情報処理推進機構(IPA)は13日、ランサムウェアに感染したという相談が3月から急増し、4月に入っても相次いでいるとして注意を呼びかけた。
IPAの安心相談窓口には、ランサムウェアに関する相談が1月に11件、2月に17件寄せられていたが、3月には96件に増加した。被害を受けたという相談が約88%を占めている。「受信したメールの添付ファイルを開いてしまったことでファイルが暗号化された」というものが多かった。
IPAは対策として、以下を挙げている。
・セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
・心当たりのないメールに添付されたファイルは、開く前に送信者に対して電話等で送信有無を確認する
・重要なファイルは定期的にバックアップを取得する
・バックアップを取得する装置や媒体はバックアップ時のみパソコンと接続する
・OSおよび利用ソフトウェアを最新の状態にする
■感染してしまった場合――最後の手段としての「初期化」
IPAは、ランサムウェアに感染してしまった場合、感染したパソコンは初期化し、その後、事前に取得しているバックアップから必要なファイルを復元するようにとアドバイスしている。初期化は、バックアップを取ってあった場合、または、「ファイルの復旧はあきらめるのでパソコンを使えるようにしたい」という場合にとる方法だ。初期化によって、パソコンは買った時の状態に戻る。購入後に設定した内容や作成したファイルなどはすべて消えてしまい、セットアップからやり直すことになる。
初期化しなくても済むならばそれに越したことはない。本当に初期化が必要かどうか判断できないという方は、信頼できて親身になってくれる知人や業者に相談してみることをおすすめしたい。ただ、万が一の場合に備えて、お使いのパソコンを初期化する方法を知っておくこと、セットアップメディアが手元にあるかどうかを確認しておくことも大切だ。
■初期化前に検討したい可能性――シャドウコピー、ゴミ箱や履歴、復号ツールなど
バックアップを取っていなかったけれどもファイルを復旧させたい、しかし身代金は支払いたくない(支払えない)ということもあるだろう。管理者権限を持たないアカウントでWindowsを使用していたなら、Windows標準のシャドウコピーが残っている可能性が高く、その場合は「ShadowExplorer」というソフトを使えばファイルを取り戻せる。オンラインストレージを利用していたら、当該ストレージのゴミ箱や履歴からファイルを取り戻せるかもしれない。
暗号化されてしまったファイルを復号するツールが公開されることもある。たとえば、3月に初めて確認され、海外で感染が広がっているランサムウェア「Petya」について、4月中旬、セキュリティ研究者によって復号ツールが公開された。ツールを開発し無償で公開したleostone氏に敬意を表したい。ただしツールはPetyaのバグを利用しているため、攻撃者がバグを修正してしまえば残念ながら使えなくなってしまうとみられる。
今は無理でも復旧の可能性を残しておきたいという方は、ハードディスクを外してそのまま残しておくとよい。万が一、重要なデータが暗号化されてしまった場合でも、絶望する前にあらゆる手段を検討してみよう。
(2016/04/18 ネットセキュリティニュース)
【関連URL】
・【注意喚起】ランサムウェア感染を狙った攻撃に注意(IPA)
https://www.ipa.go.jp/security/topics/alert280413.html
・Petyaランサムウェアにバグ:復号ツールが開発される(カスペルスキー公式ブログ)
https://blog.kaspersky.co.jp/petya-decryptor/10990/
・「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧(エフセキュアブログ)
http://blog.f-secure.jp/archives/50766383.html