情報処理推進機構(IPA)は23日、レポート「ランサムウェアの脅威と対策」を公開した。ファイルや端末を人質に金銭を要求するマルウェア(ウイルス)であるランサムウェアについて、「ランサムウェアの脅威」「感染事例」「対策」の3部構成でまとめている。
ランサムウェアは海外では早くから問題化していたが、国内のへの影響が懸念されるようになったのは、2014年暮れに発見された「KRSWLocker」からだろう。翌春には、欧米で被害をもたらしていたランサムウェアが日本語化され、国内の感染被害が深刻化するようになった。この間の経緯については、下欄にあげた本通信の過去記事「日本人が関与する日本語のランサムウェア出現~被害拡大のおそれ」、および「欧米標的のランサムウェアが日本語に対応、攻撃本格化のおそれ」でも詳述しているので、関心がある方は参照されたい。
IPAのレポートの第1章「ランサムウェアの脅威」では、ランサムウェアの種類や国内で問題化した主なランサムウェアの紹介、ランサムウェアによるファイル暗号化のプロセス、感染時の影響範囲、感染経路などを解説している。第2章の「IPAに寄せられたランサムウェアの感染事例」では、2016年に流行したWindowsパソコンを狙うファイル暗号化型ランサムウェア「Locky」(下欄「身代金要求のランサムウェア~Win版、Mac版、Android版それぞれの対策」参照)の事例を紹介。第3章の「ファイル暗号化型ランサムウェアへの対策」では、ランサムウェアに感染しないための対策と感染に備えた対策を解説している。
■感染に備えた対策、感染しないための対策
感染に備えた対策は、重要なファイルをバックアプしておき、万一の時の被害を最小限に留める対策だ。感染しないための対策は、一般的な感染対策のことで、以下の3項目をあげている。
<感染対策>
(1) OSおよびソフトウェアを常に最新の状態に保つ
(2) セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
(3) メールやSNSのファイルやURLに注意する
(3) は、不審なファイルやURLを開かないようにする対策だが、不審に思うことなく開いてしまうケースが多々あるので補足しておく。標準設定のWindowsでは、ファイルの種類や種類を示す「拡張子」が表示されないため、指示されるがまま不審に思うことなくファイルを開いてしまう方がいる。どんなファイルを開こうとしているのか分かるよう、下欄の過去記事「アイコンやファイル名に騙されないために―拡張子・種類を表示する方法」を参考に、設定しておくことをお勧めする。
URLは、(1) を忠実に履行してさえいれば、開いただけで問題が発生することはほとんどない。開かないに越したことはないが、うっかり開いてしまいパニックになってしまうほうが危険だ。慌てるユーザーを狙う詐欺などの別の脅威もあるので、冷静に対処したい。開いてしまったページは、黙って閉じればほぼ100%、それ以上何も起きない。
Windowsには、うっかりランサムウェアなどを実行してしまわないようにする仕組みが用意されている。詳しくは、下欄の過去記事「添付ファイル誤実行を食い止めるセキュリティの警告――仕組みを知って活用を」を参照していただきたい。最近多い各種スクリプト言語で書かれたファイルをZIP圧縮ファイル内に入れた攻撃では、セキュリティの警告なしで、外部からマルウェア本体をダウンロード/実行してしまうことがある。ファイルを開く必要がある場合には、ファイルの拡張子や種類を表示し、書類や画像などの目的通りの安全なファイルであることを確認するよう心がけていただきたい。
レポートの付録では、愛知県警がまとめたAndroid端末をロックするランサムウェアの被害事例と復旧方法も紹介されている。このランサムウェアは、昨春話題になったFusob/Locker/SLocker/PornLocなどの名前で呼ばれていたもの(過去記事「身代金要求のランサムウェア~Win版、Mac版、Android版それぞれの対策」参照)。プリインストールされた最小限のシステムだけで起動する「セーフティモード」を使えば、後から追加したアプリはたいてい削除できるというのが復旧のポイントだ。
(2017/02/01 ネットセキュリティニュース)
【参照URL】
・IPAテクニカルウォッチ「ランサムウェアの脅威と対策」(IPA)
http://www.ipa.go.jp/security/technicalwatch/20170123.html
・Android版スマートフォン用身代金要求型ウイルス(ランサムウエア)について(愛知県警察)
https://www.pref.aichi.jp/police/anzen/cyber/1news/androidransomwar.html