ランサムウェア Q&A

ランサムウェアの歴史

1986 年:世に知られた最初のランサムウェアは、1989 年にジョセフ・ポップによって作成された AIDS というトロイの木馬(「PC Cyborg」という名称でも知られている)です。
2005 年:5 月に脅迫を行うランサムウェアが発生しました。
2006 年:2006 年中頃に、Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive などのワームが、より高度な RSA 暗号と増え続ける鍵の長さを活用し始めました。
2011 年:Windows ライセンス認証の通知を模倣したランサムウェアワームが発生しました。
2013 年:Stamp.EK エクスプロイトキットに基づいたランサムウェアワームが発生し、Mac OS X に特化したランサムウェアワームも登場しました。CryptoLocker がこの年最後の 4 か月で約 5 百万ドルを荒稼ぎしました。
2015 年:複数のプラットフォームで複数の変種が発生し、大きな被害を引き起こしました。

ランサムウェアのタイプ

  • 暗号化ランサムウェア

このタイプのランサムウェアは、個人ファイルと個人用フォルダー(ドキュメント、スプレッドシート、画像、動画)を暗号化します。

影響を受けたファイルは、暗号化されると削除され、通常、アクセスできなくなったファイルと同じフォルダーに身代金の支払い方法が記載されたテキストファイルが残されます。

これらのファイルを開こうとするときまで、問題に気付かない可能性があります。

次のような「ロック画面」が表示されるタイプの暗号化ソフトウェアもあります。

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • ロック画面が表示されるランサムウェア — WinLocker

コンピューターの画面がロックされて身代金が要求されます。

全画面イメージが表示され、他のすべてのウィンドウがブロックされます。

個人ファイルは暗号化されません。

Polyransom2

  • マスターブートレコード(MBR)を標的とするランサムウェア

マスターブートレコード(MBR)はコンピューターのハードドライブに含まれており、オペレーティングシステムを起動するために使用されます。

MBR を標的とするランサムウェアは、通常の起動プロセスを妨げるようにコンピューターの MBR を変更します。

代わりに、画面に身代金要求が表示されます。

Master-Boot.jpg

  • Web サーバーを暗号化するランサムウェア

このタイプのランサムウェアは、Web サーバーを標的とし、Web サーバー上の多数のファイルを暗号化します。

多くの場合、コンテンツ管理システムの既知の脆弱性を利用して Web サービスにランサムウェアが配置されます。

Ransomware encrypting web servers

  • モバイルデバイスを標的としたランサムウェア(Android)

モバイルデバイス(主に Android)が「ドライブバイダウンロード」によって感染する可能性があります。

また、Adobe Flash やウイルス対策製品などの広く利用されているサービスを装った、偽アプリによって感染する可能性もあります。

Mobile Ransomware

攻撃を受けた場合、身代金を支払う必要はありますか?

身代金を支払うのは、絶対にお勧めしません。主な理由として、身代金を支払っても問題が解決するという保証はないためです。また、誤って悪い方向に進む可能性がある、さまざまな問題があります。たとえば、マルウェアにバグがあるために、適切な鍵を使っても暗号化されたデータを復旧できない場合があります。

また、身代金を支払うと、ランサムウェアが有効であることをサイバー犯罪者に証明することになります。その結果、サイバー犯罪者は引き続き犯罪行為を行い、システムを悪用する新しい方法を見い出すため、感染数が増え、サイバー犯罪者が獲得する身代金も増えることになります。

ランサムウェアによる攻撃はどのような仕組みになっていますか?

ランサムウェアによる攻撃は通常、電子メールの添付ファイルとして配布されており、実行可能ファイル、アーカイブ、イメージなどが使用されています。ユーザーが添付ファイルを開くと、ユーザーのシステムにマルウェアが送り込まれます。サイバー犯罪者が Web サイトにマルウェアを植え付ける場合もあります。ユーザーが知らずにそのサイトにアクセスすると、マルウェアがユーザーのシステムに送り込まれます。

感染がユーザーにすぐに明らかになるわけではありません。システムやデータロックメカニズムが配置されるまで、マルウェアはバックグラウンドで密かに動作します。配置されると、データをロックしたことを通知し、ロック解除するための身代金を要求するダイアログボックスが表示されます。そうなってからセキュリティ対策を適用しても、データを救出するには遅すぎます。

詳細については、以下の動画をご覧ください:

誰がランサムウェアの被害者になりますか

すべての消費者と企業がランサムウェアの被害者になる可能性があります。サイバー犯罪者は、被害者を選択するのではなく、最大限の利益を得るために可能な限り多くのユーザーを攻撃しようとすることがほとんどです。

ランサムウェアは企業の成長を攻撃しますか

はい。人質となるデータが通常、機密性が高くかつビジネス継続性に不可欠であるため、サイバー犯罪者は企業が身代金を支払う可能性が高いと確信しています。また、身代金を支払うよりも、バックアップを復元する方がコストがかかる場合もあります。

ランサムウェアに対する単一ソリューションを見つけるのが難しいのは、なぜですか

現在、このマルウェア群は 50 種類を超えて出回っており、増加しているだけでなく、急速に進化しています。新しい変種では高度な暗号化が使われ、新しい機能も備わっています。このことは無視できません。

単一ソリューションを見つけるのが非常に難しい理由の 1 つとして、暗号化自体は悪意のあるものではないことが挙げられます。暗号化は優れた開発品であり、多くの無害なプログラムで使用されています。

初期の暗号化マルウェアでは、暗号化と復号に同じ鍵を使用する対称鍵アルゴリズムが使用されていました。破損した情報は通常、セキュリティ企業の支援によって暗号解読することが可能でした。時間の経過とともに、サイバー犯罪者は、ファイルを暗号化するための公開鍵と復号するための秘密鍵の 2 つの別々の鍵を使用する、非対称暗号化アルゴリズムを実装し始めました。

トロイの木馬 CryptoLocker は、最もよく知られているランサムウェアの 1 つです。CryptoLocker でも公開鍵アルゴリズムが使用されています。コンピューターに感染すると、コマンドアンドコントロール(C&C)サーバーに接続して公開鍵をダウンロードします。秘密鍵にアクセスできるのは、CryptoLocker ソフトウェアを作成した犯罪者だけです。一般に、72 時間以内に身代金を支払わないと秘密鍵が完全に削除され、ファイルを復号するのは不可能となります。

そのため、まず、防止を検討する必要があります。多くのウイルス対策ソフトウェアには、機密データの損失を発生させずに、感染の初期段階でランサムウェアの脅威を特定するのに役立つコンポーネントが含まれています。使用するウイルス対策ソリューションでこの機能をオンにしていることが重要です。

このプロジェクトによって、ランサムウェアの被害者がファイルに再度アクセスできるようになる可能性はどの程度ですか

「No More Ransom」プロジェクトは始まったばかりですが、可能な限り多くの変種および鍵を特定できるように、他のセキュリティ企業および司法当局と常に連携しています。役立つと思われる情報をお持ちの場合は、当プロジェクトと共有していただけますようお願いいたします。

Crypto Sheriff とは何ですか。どのように使用しますか

Crypto Sheriff は、デバイスに影響しているランサムウェアのタイプを特定するために設計されたツールです。このツールを使用すると、利用可能な復号ソリューションがないかどうかを確認できます。Crypto Sheriff の機能の仕組みについては、以下の動画をご覧ください:

適切な復号ツールを使用していますが、復号ツールが機能しません。なぜですか

このようなことが生じる可能性もあります。当プロジェクトが鍵のサブセットのみを入手している場合があるため、Web サイトを常に確認するようにしてください。

どのような場合に、ランサムウェアによって暗号化されたファイルを復号できますか

次の場合に、復号できます:

  • マルウェアの作成者が実装を間違えたために、暗号化を解読するのが可能な場合。これは、ランサムウェア Petya およびランサムウェア CryptXXX の場合です。
  • TeslaCrypt の場合のように、マルウェアの作成者が犯罪行為を後悔し、鍵またはマスター鍵を公開した場合。
  • 鍵を格納したサーバーを司法当局が押収して鍵を共有した場合。このような例として CoinVault が挙げられます。

身代金を支払うと効果がある場合もありますが、支払ってもファイルが復号される保証はありません。また、犯罪者のビジネスモデルを支援することになるため、さらに多くのユーザーをランサムウェアに感染させる犯罪に加担することにもなります。

No More Ransom の取り組みを開始した理由を教えてください

ユーザーシステムのデータを暗号化して身代金を要求するランサムウェアは、過去数年間でサイバーセキュリティにおける大きな問題となっているのは、よく知られていることです。かなり広がっているため、エピデミックと言ってもよいでしょう。ランサムウェアの攻撃を受けたユーザーの数は急増しています。2015 年 4 月~2016 年 3 月の期間では 71 万 8 千人のユーザーが攻撃を受けており、2014 年~2015 年の同期間と比較して 5.5 倍に増加しています。

警察はサイバー犯罪、特にランサムウェアに単独では対処できません。また、セキュリティ研究者も、司法当局の支援なしには対処できません。ランサムウェアに対処する責任は、警察、司法省、ユーロポール、および IT セキュリティ企業にあり、連携した取り組みが必須です。犯罪者による金儲けの企てを中断させ、身代金を支払うことなく、ファイルを然るべき所有者に返すために、協力し、最善を尽くす予定です。

各国で同様の取り組みが行われていますか

No More Ransom は国際的な取り組みであり、サイバー犯罪に対して真剣に措置を講じた場合に、官民連携の価値が示されます。この連携は、地理的境界を越えるものです。当プロジェクトの主な目的は、ランサムウェアの攻撃を防止する方法について、世界中で知識を共有してユーザーを啓蒙することです。当プロジェクトが最終的には、世界中の被害者に生じた損害を修復するための支援につながると確信しています。システムへのアクセスを回復することにより、措置を講じれば身代金の支払いで犯罪者に報酬を与えずに済むことを示し、ユーザーに自信を持たせます。

最初の段階では、異なるタイプのマルウェアに対応する 4 つの復号ツールをポータルに掲載しています。当 Web サイトで提供しているツールはすべて無料であり、ユーザーが所在している地域に関係なく、Web サイトに記載されている脅威に感染したユーザーに対して機能します。