ランサムウェア

ランサムウェアは、ユーザーをファイルやデバイスからロックし、アクセスを回復するために支払いを要求するマルウェアの一種です。ランサムウェアの攻撃者は、企業、組織、個人を問わず攻撃してきます。

無料アンチウイルス

主なポイント

ランサムウェアとは何か?

ランサムウェアの定義

身代金要求型マルウェア(ランサムウェア)とは、ユーザーがシステムや個人ファイルにアクセスできないようにし、アクセスを取り戻すために身代金の支払いを要求するマルウェアの一種です。ウイルスがコンピュータをロックした」と考える人もいるかもしれないが、ランサムウェアは通常、ウイルスとは異なる形態のマルウェアに分類される。

ランサムウェアの初期の亜種は1980年代後半に開発され、支払いは郵便で行われた。今日、ランサムウェアの作者は、暗号通貨やクレジットカードによる支払いを命じており、攻撃者は個人、企業、あらゆる種類の組織を標的としている。一部のランサムウェア作者は、他のサイバー犯罪者にサービスを販売しており、これはRansomware-as-a-ServiceまたはRaaSとして知られている。

ランサムウェア攻撃

脅威者は具体的にどのようにしてランサムウェア攻撃を行うのだろうか?まず、デバイスやネットワークにアクセスする必要がある。アクセスすることで、デバイスやデータを暗号化、つまりロックするために必要なマルウェアを利用できるようになる。ランサムウェアがコンピュータに感染する方法はいくつかあります。

ランサムウェアの感染経路は?

  • マルスパム:悪意のある添付ファイル付きの電子メールをできるだけ多くの人に送り、誰が添付ファイルを開いて、いわば「餌に食いつく」かを見るのです。悪意のあるスパム(マルスパム)は、マルウェアを配信するために使われる迷惑メールです。メールには、PDFやWord文書など、厄介な罠が仕掛けられた添付ファイルが含まれていることがあります。また、悪意のあるウェブサイトへのリンクが含まれていることもあります。
  • 不正広告:もう1つの一般的な感染手法は、マルバタイジングである。マルバタイジング(悪意のある広告)とは、オンライン広告を利用して、ユーザーの操作をほとんど必要とせずにマルウェアを配布することです。合法的なサイトであっても、ウェブを閲覧している間に、ユーザーは広告をクリックすることなく、犯罪サーバーに誘導される可能性があります。これらのサーバーは、被害者のコンピュータとその位置に関する詳細をカタログ化し、配信に最適なマルウェアを選択する。多くの場合、そのマルウェアはランサムウェアである。マルウェアは多くの場合、感染したiframe、つまり目に見えないウェブページの要素を利用して活動する。iframeはエクスプロイト・ランディング・ページにリダイレクトし、悪意のあるコードはエクスプロイト・キットを介してランディング・ページからシステムを攻撃する。これらはすべてユーザーの知らないところで行われるため、ドライブバイダウンロードと呼ばれることもあります。
  • スピアフィッシング:ランサムウェア攻撃のより標的を絞った手段として、スピアフィッシングがある。スピアフィッシングの例としては、ある企業の従業員に対して、CEOが重要な従業員アンケートに回答するよう求めているとか、人事部が新しいポリシーをダウンロードして読むよう求めているといった内容のメールを送信することが挙げられます。Whaling(捕鯨)」という用語は、CEOやその他の幹部など、組織内のハイレベルな意思決定者をターゲットにしたこのような手法を表すのに使われます。
  • ソーシャルエンジニアリング:マルスパム、マルバタイジング、スピアフィッシングには、ソーシャルエンジニアリングの要素が含まれていることがあります。信頼できる機関や友人からのものであるかのように見せかけるなど、正規のものであるかのように見せかけることで、添付ファイルを開かせたり、リンクをクリックさせたりするために、脅威行為者はソーシャルエンジニアリングを使用することがあります。サイバー犯罪者は、他のタイプのランサムウェア攻撃でもソーシャルエンジニアリングを使用しています。例えば、ユーザーを脅してファイルをロック解除するために多額の金銭を支払わせるためにFBIを装うなどです。ソーシャル・エンジニアリングのもう1つの例は、脅威行為者が公開されているソーシャル・メディアのプロフィールから、ユーザーの趣味、よく訪れる場所、仕事などに関する情報を収集し、その情報の一部を使って、ユーザーにとって見覚えのあるメッセージを送信し、正規のものではないと気づく前にクリックしてしまうことを期待する場合です。 
不正広告とランサムウェアのインフォグラフィック。

ファイルの暗号化と身代金の要求

攻撃者がどのような方法を使うにせよ、いったんアクセス権を獲得し、ランサムウェア・ソフトウェア(通常、被害者がリンクをクリックしたり添付ファイルを開いたりすることで起動する)がファイルやデータを暗号化してアクセスできなくすると、奪われたものを復元するために身代金の支払いを要求するメッセージが表示される。多くの場合、攻撃者は暗号通貨による支払いを要求します。

ランサムウェアの種類

ランサムウェアの主な種類には、スケアウェア、スクリーン・ロッカー、暗号化ランサムウェアの3つがある:

  • スケアウェア結局のところ、スケアウェアはそれほど怖いものではない。 不正なセキュリティ・ソフトウェアやテクニカル・サポート詐欺などがそれにあたる。マルウェアが発見され、それを駆除するにはお金を払うしかないというポップアップメッセージを受け取るかもしれない。何もしなければ、ポップアップの嵐は続くだろうが、あなたのファイルは基本的に安全だ。正当なサイバーセキュリティ・ソフトウェア・プログラムであれば、このような方法で顧客を勧誘することはない。もしあなたがまだこの会社のソフトウェアをコンピューターに入れていないのであれば、ランサムウェア感染のためにあなたを監視することはないだろう。セキュリティ・ソフトウェアがあれば、感染を除去するためにお金を払う必要はない。
  • スクリーンロッカー:テロ警戒オレンジにアップグレードしてください。画面ロック型ランサムウェアがコンピュータに侵入すると、コンピュータから完全に遮断されます。コンピュータを起動すると、フルサイズのウィンドウが表示され、多くの場合、あなたのコンピュータ上で違法行為が検出されたため、罰金を支払わなければならないというFBIや米国司法省の公式のようなシールが添付されます。しかし、FBIは違法行為に対して、あなたをコンピュータから凍結したり、支払いを要求したりはしません。海賊版、児童ポルノ、その他のサイバー犯罪の疑いがある場合、FBIは適切な法的手段を取るでしょう。
  • 暗号化ランサムウェア:これは本当に厄介なものだ。あなたのファイルをひったくり、暗号化し、復号化して再配信するために支払いを要求するものです。この種のランサムウェアが非常に危険な理由は、サイバー犯罪者がいったんあなたのファイルを手に入れてしまうと、セキュリティ・ソフトウェアやシステムの復元ではファイルを戻すことができないからです。身代金を支払わない限り、ほとんどの場合、ファイルは消えてしまう。また、たとえ支払ったとしても、サイバー犯罪者がファイルを返してくれる保証はない。

Mac ランサムウェア

初の真のMac ランサムウェア、KeRangerについて学ぶ。

ランサムウェア・ゲームから取り残されたくなかったMac マルウェア作者たちは、2016年にMac OS向けの初のランサムウェアを投下した。KeRangerと呼ばれるこのランサムウェアは、Transmissionというアプリに感染し、起動すると悪意のあるファイルをコピーし、爆発してファイルが暗号化されるまで3日間バックグラウンドで静かに実行され続けた。ありがたいことに、このランサムウェアが発見された直後、アップル内蔵のマルウェア対策プログラムXProtectが、ユーザーシステムへの感染をブロックするアップデートをリリースした。とはいえ、Mac ランサムウェアはもはや机上の空論ではない。 

KeRangerに続いて、Findzipと MacRansomが2017年に発見された。さらに最近の2020年には、ランサムウェアのように見えるもの(ThiefQuest、別名EvilQuest)があったが、実際にはいわゆる "ワイパー "であることが判明した。すべてのデータを流出させるという事実を隠すためにランサムウェアのふりをし、ファイルを暗号化するものの、ユーザーがファイルを復号化したり、支払いについてギャングに連絡したりする方法はなかった。 

モバイル・ランサムウェア

ランサムウェアがモバイルデバイス上で大規模に見られるようになったのは、2014年に悪名高いCryptoLockerやその他の類似ファミリーが全盛期を迎えてからだ。モバイル・ランサムウェアは通常、何らかの違法行為によってデバイスがロックされたというメッセージを表示する。このメッセージには、料金を支払えば携帯電話のロックが解除されることが記載されている。モバイル・ランサムウェアは悪意のあるアプリを介して配信されることが多く、モバイル・デバイスへのアクセスを取り戻すためには、携帯電話をセーフモードで起動し、感染したアプリを削除する必要がある。

ランサムウェアの駆除方法は?

予防のオンスは治療のポンドに値すると言われる。ランサムウェアに関しては、まさにその通りだ。攻撃者があなたのデバイスを暗号化し、身代金を要求した場合、あなたが支払うかどうかにかかわらず、彼らが暗号化を解除する保証はありません。

だからこそ、ランサムウェアに襲われる前に備えておくことが重要なのだ。取るべき重要なステップは2つある:

  • ランサムウェアに感染する前にセキュリティソフトを導入しよう
  • 重要なデータ(ファイル、文書、写真、ビデオなど)をバックアップする。

もしランサムウェアに感染してしまったら、身代金を支払わないことが第一のルールだ。(これは現在FBIが推奨しているアドバイスです)そうすることは、サイバー犯罪者があなたや他の誰かに対してさらなる攻撃を仕掛けることを助長するだけです。 

ランサムウェアを除去するためのオプションの1つとして、無料の復号化ツールを使用することで、暗号化されたファイルの一部を取り戻すことができる可能性があります。ランサムウェアが高度で洗練された暗号化アルゴリズムを利用しているため、多くの場合、すべてのランサムウェア・ファミリーに復号化ツールが作成されているわけではありません。

また、復号化ツールがあったとしても、それがマルウェアの正しいバージョンに対応したものであるかどうかは必ずしも明らかではありません。間違った復号化スクリプトを使用してファイルをさらに暗号化することは避けたいものです。そのため、身代金要求メッセージ自体に細心の注意を払うか、何かを試す前にセキュリティ/ITの専門家にアドバイスを求める必要があります。

ランサムウェア感染に対処する他の方法としては、修復で有名なセキュリティ製品をダウンロードし、スキャンを実行して脅威を除去する方法があります。ファイルは戻ってこないかもしれませんが、感染は一掃されるので安心です。スクリーンロック型ランサムウェアの場合は、システムの完全な復元が必要かもしれません。それでもうまくいかない場合は、起動可能なCDやUSBドライブからスキャンを実行してみるとよい。

暗号化ランサムウェアの感染を阻止しようとするなら、特に警戒を怠らない必要がある。一見何の理由もなくシステムがスローダウンしていることに気づいたら、システムをシャットダウンし、インターネットから切り離してください。再び起動してもマルウェアがまだアクティブであれば、コマンド・アンド・コントロール・サーバーからの指示を送受信することができなくなる。つまり、キーや支払いを引き出す方法がなければ、マルウェアはアイドル状態のままかもしれない。その時点で、セキュリティ製品をダウンロードしてインストールし、完全スキャンを実行してください。

しかし、ランサムウェアを駆除するためのこれらのオプションがすべてのケースで機能するわけではない。上述の通り、消費者の皆さんは、以下のようなセキュリティ・ソフトウェアをインストールして、ランサムウェアに対する防御を積極的に行ってください。 Malwarebytes Premiumなどのセキュリティ・ソフトウェアをインストールし、重要なデータをバックアップしてください。企業向けには、ランサムウェアの検出、防止、ロールバックを含むMalwarebytes ビジネスソリューションの詳細をご覧ください。 

ランサムウェアから身を守るには?

セキュリティの専門家たちは、ランサムウェアから身を守る最善の方法は、そもそもランサムウェアが発生しないようにすることだと口をそろえる。


ランサムウェア感染を防ぐ最善の方法についてお読みください。

ランサムウェア感染を防ぐ最善の方法についてお読みください。

ランサムウェア感染に対処する方法はありますが、それはせいぜい不完全な解決策であり、一般的なコンピューター・ユーザーよりもはるかに技術的なスキルを必要とすることがよくあります。そこで、ランサムウェア攻撃による被害を避けるために、私たちが推奨する方法をご紹介しよう。

ランサムウェア対策の第一歩は、ランサムウェアのような高度なマルウェア攻撃を阻止するように設計されたリアルタイム保護機能を備えた、優れたサイバーセキュリティ・プログラムに投資することです。また、脆弱なプログラムを脅威から保護する機能(エクスプロイト対策技術)と、ランサムウェアがファイルを人質に取るのをブロックする機能(アンチ・ランサムウェア・コンポーネント)の両方に注目する必要がある。例えば、 Malwarebytes forWindowsプレミアム版を使用していた顧客は、2017年の主要なランサムウェア攻撃すべてから保護されていた。

次に、たとえ面倒に感じても、データの安全なバックアップを定期的に作成する必要があります。当社では、高度な暗号化と多要素認証を備えたクラウドストレージの利用をお勧めします。ただし、新しいファイルや更新されたファイルを保存できるUSBメモリや外付けハードドライブを購入することも可能です。ただし、バックアップ後は必ずデバイスを物理的にコンピュータから切り離してください。そうしないと、ランサムウェアに感染する危険性があります。

そして、システムやソフトウェアがアップデートされていることを確認してください。WannaCryランサムウェアの大流行は、マイクロソフトのソフトウェアの脆弱性を利用したものだった。同社は2017年3月にセキュリティの抜け穴に対するパッチをリリースしていたが、多くの人々がアップデートをインストールしなかったため、攻撃される可能性があった。日常生活で使用するソフトウェアやアプリケーションのアップデートのリストが増え続ける中、それを常に把握しておくのは大変なことだ。そのため、自動アップデートを有効にするよう設定を変更することをお勧めする。

最後に、情報収集を怠らないこと。コンピュータがランサムウェアに感染する最も一般的な方法の1つは、ソーシャル・エンジニアリングです。マルスパムや不審なウェブサイト、その他の詐欺を検出する方法について、自分自身(そして企業経営者であれば従業員)を教育してください。そして何よりも、常識を働かせてください。怪しいと思ったら、おそらくそうです。

hackers?

スケアウェアとは何か?

スパイウェアとは?