パソコンやスマートフォンのデータを暗号化し、復旧したければ身代金を払えと要求するランサムウェアが猛威をふるっています。身代金要求に応じれば犯罪の助長となり、応じなければ大切なデータを失う悲劇が待っています。「感染予防」を第一に、「バックアップ」対策をしっかり行うことで、この卑劣な犯罪からあなたのパソコンを守ってください。
<INDEX>
■猛威をふるうランサムウェア
・攻撃者の目的は金銭 ・身代金要求に応じる危険 ・確実な復旧方法
★コラム:PC初期化の前に知っておきたい5つのポイント
■ランサムウェアのバックアップ対策
・「取り外し可能なメディア」に ・バックアップユーティリティ ・Windowsの場合
・アプリケーションの復旧 ・ファイルの選別 ・クラウド利用時の注意点
■ランサムウェアの感染予防対策
・OSやアプリケーションを最新版に ・不審なメールに注意
<以下本文>
ランサムウェアは、パソコン(以下、PC)のハードディスク内のデータ、スマートフォンの写真データなどを暗号化し、その解読(復旧)と引き換えに、金品(身代金)を要求するマルウェア(ウイルス)である。そのランサムウェアが世界中で猛威をふるっている。
国内では、昨年の後半に流行した、ハードディスク内のファイルを暗号化して拡張子を「vvv」に変えてしまう「CrypTesla」ウイルスを覚えている人も少なくないだろう。vvvウイルスは、CrypTeslaの亜種のひとつとされ、身代金の要求を伴うランサムウェアだ。過去にはttt、xxxといった拡張子にファイルを変換(暗号化)するマルウェアが存在しており、今回もvvv以外の拡張子にされた、暗号化されたが身代金要求はなかったという報告も一部で確認された。このため、古いウイルスによる限定的な攻撃との憶測と、主に海外での報告が先行していたことから、日本は大丈夫という見方もあったが、ほどなく日本語化された攻撃メールによるvvvウイルスの被害が広がっていった。
今年に入ってからも「Locky」「Sams」、そしてAndroidスマートフォンに感染する「MINISTRY OF JUSTICE」といった新手のランサムウェアが報告されるなど、勢いは止まっていない。図1は、IPA(情報処理推進機構)の安心相談窓口に寄せられた「ランサムウェアに感染した」という相談件数の今年1~3月の推移を示す。3月の急増ぶりが顕著で、4月に入っても相談が相次いでいるという。
図1 急増したIPAへのランサムウェア被害相談(2016年1~3月、出所:注1)
●攻撃者の目的は金銭
ランサムウェアについて議論される問題のひとつに「身代金は払うべきか?」というものがある。犯罪行為に対して屈するのは、それを間接的に正当化することにつながるので、一般論として身代金は支払うべきではない。専門家からも、支払いに応じてもデータが回復する保証はない、犯罪者が約束を守るはずはない、といった意見を耳にする。確かに、実際に要求どおりのビットコインやウェブマネーなどを支払う被害者が少なからず存在し、それがランサムウェアを蔓延させる一因にもなっている。犯罪行為に報酬を与えるような行為は推奨できない。
しかしその一方で、身代金の支払いは、暗号化されたファイル、ロックされたPCを復旧させる最も確実な方法であることも確かだ。犯罪者の目的は金銭であり、ファイルを破壊したりPCを使えなくしたりすることではない。身代金が目的ならば、支払いを受けたなら約束通りファイルを復旧させたほうが、金銭要求の効果は持続されるはずだ。無視したり約束を破ったりすると、「やはり破壊活動が目的の犯罪行為だ。要求に従う必要はない」と、誰も支払いに応じなくなる。「大事な顧客」の信頼(という言い方も変だが)を失うばかりか、規制や捜査の目を厳しくし、攻撃者自らの存在を危機にさらす。攻撃者にとって身代金を奪ってファイルを復旧しないのは、いわば自爆行為なのだ。
そのため、平均的な身代金の額も数万円から数十万円と微妙に支払い可能な金額を設定し、法外な金額を要求するものはほとんどない。実際に支払いに応じてファイルを無事に復旧させている被害者も少なくない現実がある。
●身代金要求に応じる危険
ウイルス、マルウェアの駆除、暗号の解読またはバックアップファイルによる暗号化されたデータの復旧の手間やコストを考えた場合、現実的な判断として、身代金のほうが安く済むという考え方もある。とくに組織・企業においては、その間業務やビジネスが停止するようなことになれば、損害額が跳ね上がるだろう。現在、海外でランサムウェアの被害にあう病院が増え、問題になっている。カリフォルニアの病院の被害事例では、身代金を支払ってデータおよび業務を復旧させるという苦渋の決断がなされた。ただし、これは多くの患者の生命を預かる病院というやむを得ないケースと考えれば、一般的にはやはり身代金を支払うべきではないだろう。
では、運悪くランサムウェアの被害にあってしまったら、どうすればいいのか。専門家の一部が解読方法を自身のブログなどに公開している例もあり(注2)、スキルのある人なら試してみるのもよいが、万人向けとは言えない。暗号化されたファイルの復旧を請け負う業者も存在するので、そうしたサービスを利用する方法もある。しかし、金額、修理内容、復旧の可能性など慎重に見極める必要があり、業者に依頼すれば百パーセント確実に復旧できるというものでもない。さらに、事例の報告こそないが、今後、検索結果に表示される広告や業者の中に、復旧を装う詐欺や新たな攻撃サイトが出現しないとも限らない。
●確実な復旧方法は「バックアップのリストア」
こうしてみると、身代金を支払わずに解決する最も確実な方法は、やはりバックアップしておいたデータを使ってリストアする(元の状態に戻す)ことだろう。ランサムウェアの被害を受けた場合の基本的な対応は、(1)マルウェアの駆除 (2)ファイルのリストア(復元)となる。
マルウェアの駆除は、ウイルス対策ソフトやセキュリティ対策ソフトを利用することになる。対策ソフトウェがマルウェアを検出・駆除できなかった場合、PC全体を初期化する必要があり(下記コラム参照)、そうなればアプリやデータの復旧は完全にバックアップ頼みとなる。つまり、事前にとっておいたバックアップファイルの有無が、復旧の大きな鍵を握ることになる。貴重なデータを失わずにすむように、身代金の支払い(復旧が確実ではなく犯罪の加担にもつながる)に悩まなくて済むように、しっかりしたバックアップ対策をとることを、強くお勧めしたい。
★コラム:PC初期化の前に知っておきたい5つのポイント
ランサムウェアに感染してしまった場合、感染したパソコンは初期化し、あらかじめとっておいたバックアップから復旧するようにアドバイスされることが多い。初期化とはPCを買った時の状態に戻すことで、OSのインストールからやり直すことになる。
<ポイント1>PCの初期化、OSの再インストールには、PC購入時にパッケージに同梱されていたインストールディスク、あるいは最初の起動時に作成を促されるリカバリメディアが必要となる。
バックアップをとっていれば初期化も可能だが、バックアップをとっていなかった場合、失うものはあまりにも大きい。初期化を実行する前に、データを取り戻す手だてはないか、あらゆる方法を検討してみよう。
<ポイント2>管理者権限を持たないアカウントでWindowsを使用していた場合、Windows標準のシャドウコピーが残っている可能性が高い。その場合は「ShadowExplorer」というソフト(注3)を使えばファイルを取り戻せる。
<ポイント3>オンラインストレージを利用していた場合、当該ストレージのゴミ箱や履歴からファイルを取り戻せる可能性もある。
<ポイント4>暗号化されてしまったファイルを復号するツールが公開されることもある。最近海外で感染が広がっているランサムウェア「Petya」は、4月中旬、セキュリティ研究者によって復号ツールが公開された。Petyaのバグを利用したツールなので、攻撃者がバグを修正してしまえば使えなくなってしまうが、それまでは期待できる。
<ポイント5>今は無理でも復旧の可能性を残しておきたい場合は、ハードディスクを外してそのまま残しておくとよい。
●「外部メディア」にバックアップする
バックアップは、外付けのハードディスク、NAS(Network Attached Storage;ネットワークに接続できるハードディスク)、DVDやブルーレイディスク、USBメモリなどの記憶装置に、必要なファイルをコピーする方法が基本となる。最も重要な点は、本体ハードディスクなどから分離したローカルバックアップであることだ。
バックアップファイルを利用するシチュエーションというのは、基本的に本体になんらかのトラブルが発生したときであり、本体に内蔵されたハードディスクや増設したハードディスクにバックアップを作ってもあまり意味はない。USBメモリにしろブルーレイディスクにしろ、取り外し可能なメディアであることが重要だ。
●バックアップユーティリティの長所と欠点
NASや外付けハードディスク製品によっては、専用のバックアップユーティリティが付属しているので、これらを利用する方法もある。専用アプリのため、確実にハードディスクの状態(OS、アプリケーションプログラムとその設定ファイル、各種ユーザーデータ)をバックアップし、簡単に復元してくれる。
ただし、この方法にも欠点がある。専用ユーティリティはOSやシステムに依存する傾向があるので、OSのアップデートやアップグレード(Windows 8からWindows 10へ、など)に対応せず、正常に動作しなくなる可能性がある。専用ユーティリティは高速なバックアップとリストアを実現するため、特殊なフォーマットでデータを保存することがある。このような場合、ユーティリティが正常に動作しなくなれば、バックアップデータはただのゴミデータと同じになる。
●Windowsのバックアップ
Windows10の場合、「コントロールパネル」の「システムとセキュリティ」に、ファイルのバックアップと復元関連のメニューがある(図2)。これを実行する方法が基本となる。
図2 Windows10:「システムとセキュリティ」
Windows 10の場合、外付けハードディスクなどをバックアップドライブと指定して自動的なバックアップ設定(画面左下、スタートボタンで表示される「設定」>「更新とセキュリティ」>「バックアップ」画面)も可能だ(図3、図4)。あるいは、外付けハードディスクなどに必要なデータのコピーを定期的に作成するだけでも、十分なバックアップとなりうる(下記「ファイルの選別」参照)。
図3 Windows10:「設定」→「更新とセキュリティ」
図4 Windows10:「バックアップ」
●アプリケーションの復旧
ハードディスクの初期化やOSの再インストールが伴う場合、アプリケーションも復旧させる必要がある。ユーティリティで一気に復旧できればよいが、いまどきはアプリケーションもダウンロード版が主流だ。アプリケーションはバックアップから復旧させるより、もう一度インストールしたほうが早い場合もあるし、その時点での最新版が手に入るメリットもある。ユーザーごとの環境設定などは失われるが、「C:\Program Files」「C:\ProgramData」「Program Files (x86)」「C:\ユーザー\AppData」(このフォルダは隠しフォルダなのでデフォルトでは表示されない。表示方法は注4参照)などのプログラムや関連の設定データなどが保管されたフォルダのコピーがあれば、ある程度は復旧できる。
●ファイルの選別
データについても、あまり完全なバックアップやリストアを考えるより、重要なファイル、優先度の高いファイルを選別して必要なフォルダ(「ドキュメント」「ピクチャ」「ビデオ」など)だけ、効率よくバックアップ(フォルダコピーを作成)するほうがよい。例えば、写真と音楽データだけは失いたくない、ということであればそのフォルダだけ、定期的に、手動で外付けハードディスクなどにコピーをとっておく。コピーをとるハードディスクは、USB接続タイプなど取り外し可能なものを使い、コピーをとったら感染防止のため、取り外しておくこと。目的は、いざというときに復旧(コピー)できるかどうかなので、凝ったツールやユーティリティを使う必要はない。
●クラウドを利用したバックアップの注意点
データのバックアップ方法のひとつとして、近年はクラウドの利用も考えられる。ここでいうクラウドとは、インターネット上のストレージやアプリケーションのサービスを指すこととする。具体的には「OneDrive」、「Dropbox」、「iCloud Drive」といった汎用ストレージとなる。クラウドサービスの代表例は「gmail」や「Office 365」だろう。
いまはPCやスマートフォン、タブレットなど、デバイスも多様化、モバイル化が進んでいる。それぞれのデバイスごとにアプリやデータを保存するより、クラウドで管理したほうが便利で安全だ。クラウドをうまく使えば、PCのハードディスクは、アプリケーションとちょっとしたデータが保存できればよく、数百GBもあれば十分な時代だ。ならば、ランサムウェア対策のバックアップに、クラウドストレージやNASのバックアップが使えるのではないか。そう考えてクラウドを利用する場合、注意するべき点をあげておきたい。
・バックアップデータも暗号化される危険
保存先を分散させるという意味で、クラウドストレージにファイルを保存するのは、確かに効果的ではある。しかし、注意しなければならないのは、ランサムウェアの種類によっては、ネットワーク上のドライブやフォルダも暗号化の対象になってしまうことだ。この場合、クラウドストレージだろうとNASだろうとアウトだ。バックアップデータは暗号化されてしまう。あるいは、ローカルの特定ディレクトリとクラウドストレージを同期させる使い方も、ランサムウェアがハードディスクのデータしか暗号化しないものでも、クラウドが勝手に同期させてしまい、これもアウトとなることがある。
いずれにせよ、近年のマルウェアの挙動は日々変化するものと思う必要がある。どのクラウドサービスなら安全、この使い方なら安全ということはない。
・複数のサービス、バックアップサービスの利用
上記の理由から、ランサムウェア対策を含めたバックアップとしてクラウドの利用を考える場合、常時ドライブに割り当てておく使い方や、同期させておく使い方は勧められない。幸い、クラウドストレージサービスは複数あるので、例えば、「OneDrive」を普段使うストレージとして特定フォルダと同期させておく。そして、「Dropbox」をバックアップ用に確保し、普段は同期させず、バックアップするときだけサインインし、必要なファイルまたはフォルダのコピーをするようにしておく方法が考えられる。
あるいは、クラウドストレージのサービス事業者、プロバイダーがユーザーのために、削除履歴やバックアップをとっていることもある。これらを利用する方法もある。
<Dropboxの例>
Dropboxの場合には、Dropbox純正のWindows版同期ソフトに、同期の停止やサインアウト相当の機能が用意されている。システムトレイのDropboxアイコンをクリックし、歯車のアイコンをクリックしてメニューの「同期を一時停止」を選択すると、同期が一時的に停止し、「同期を再開」で再開する。
このメニューの「基本設定」を選択して「Dropboxの基本設定」を開き、「全般」の「システム起動時にDropboxを開始」を無効にしておくと、起動時にDropboxを自動的に開始しないように設定できる。有効にしておくと、起動時に自動的に起動し同期が開始される。
「Dropboxの基本設定」の「アカウント」>「このDropboxのリンクを解除」で、クラウドから完全に切り離したサインアウト相当の操作になる。この操作を行うと、同期を再開する際に認証が必要となる。
こうした機能は、他の同期ソフトにも用意されている。ただし、サインアウト相当の操作でクラウドと切り離してしまうと、同期していたローカルのファイルが削除されてしまうものがあるので注意していただきたい(クラウド上のファイルは残っている)。
Dropboxに同期されたファイルは、サービス側で再度バックアップされるようになっており、複数のパソコンが同じアカウントで同期している場合には、それらすべてのパソコンにも同じ内容のファイルがバックアップされることになる。
削除履歴に関しては、標準で30日間、削除したファイルと更新したファイルの旧バージョンの全履歴が保存されており、いつでも復元したり旧バージョンに戻したりすることができる。ランサムウェア感染の影響が、Dropbox上の大量のファイルに及ぶ場合には、アカウント全体を問題が発生する前の時点に戻すよう、サービス側にリクエストすることも可能だ。
ランサムウェア被害の対応策としてのバックアップの考え方を見てきたが、最後に、ランサムウェアの予防対策についても述べておく。
●OSやアプリケーションを最新版に
予防策の第一は、OSやアプリケーションをとにかく最新のものに保っておくことだ。セキュリティアップデートはなるべくすみやかに適用する。ソフトウェアを最新のものにしておくということは、既知の脆弱性(セキュリティホール、セキュリティ上の不具合)に対策が施されているということである。これだけでもかなりのマルウェアの攻撃を防ぐことができる。ランサムウェア(に限らないが)に感染したとしても、OSやアプリケーションが最新であれば実際の被害を防ぐことができるかもしれない。
●不審なメールに注意
ランサムウェアは、標的型攻撃、あるいはばらまき型メール攻撃によって、添付ファイルを開いてしまったり、文面に騙されて攻撃サイトに誘導されてしまったりして感染するものが多く確認されている。不審なメールや添付ファイルは不用意に開かない、実行しないこと。不審なURLはクリックしない心掛けも重要だ。例えば、自分が要求したファイル以外、添付ファイルは開かない、といった基準を作っておくとよい。
どちらも、基本的なセキュリティ対策であるが、結局、この基本ができているかどうかで被害にあう可能性を最初の段階で低くすることができる。なお、OSを再インストールした場合、またはリカバリディスクなどでOSをリストアした場合、「Windows Update」の「更新プログラムのチェック」を実行し、それまでのセキュリティアップデートをすべて適用するのを忘れないようにしたい。面倒かもしれないが、マルウェア被害を抑えるためには欠かせない手順だ。
(執筆:現代フォーラム/中尾)
<注1>
・ランサムウェアに関する相談の月別推移(IPA)
https://www.ipa.go.jp/security/topics/alert280413.html
<注2>解読方法の公開例
・vvvウィルスの解読方法
http://csirt.ninja/?p=193
・TeslaCrack - decrypt files crypted by TeslaCrypt ransomware
https://github.com/Googulator/TeslaCrack
<注3>
・「ShadowExplorer」の入手先
http://www.shadowexplorer.com/downloads.html
<注4>
・Windows の隠しファイルや隠しフォルダーを表示する方法(Microsoftサポート)
https://support.microsoft.com/ja-jp/kb/2453311