fbpx

ランサムウェアとは?~進化する攻撃の手口と対策をやさしく解説

ランサムウェアに感染したパソコンやスマホ
ランサムウェアとは「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムです。カプコンやホンダなどに日本企業も狙われ、個人や中小企業、海外では公的機関にも被害が広がっています。
ランサムウェアの被害の事例、防止策、「もしも感染したら?暗号解除方法について参考となるサイトは?」など対処策わかりやすく解説します。
目次
/ins>

ランサムウェア(Ransomware)とは何か?

データを人質にして身代金(Ransom)を要求するマルウェアがランサムウェア

ランサムウェア(Ransomware)は「勝手にユーザーのパソコンの中から、データだけを暗号化」するマルウェア(不正なプログラム)です。

ランサム(Ransom)とは身代金のことで、ランサムウェア(Ransomware)は「身代金を要求する不正ソフト」という意味です。

感染して暗号化されてしまったデータは、「犯人が持っている暗号を作った際の鍵データ」がないと、元に戻せません。そこで犯人は「暗号を解除する鍵」を提供する代わりに「身代金(Ransom)を要求」します。

さらにこの頃では「二重脅迫型ランサムウェア」と呼ばれ「暗号化」するだけでなく、情報を盗み出し「身代金を支払わなければ情報を公表する」と脅迫する手口が増えてきました

ランサムウェアに感染するとどうなる?

1.パソコン内のデータが暗号化されて読めなくなる

ランサムウェアに感染したパソコンの画面(IPA様 ■出展:IPA「世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について」より

不正プログラムに感染すると、猛烈な勢いでパソコン内のデータファイルだけを暗号化し、画面上に上記の様な脅迫状を表示します

感染は、自分のパソコンだけでなく、ネットワークに繋がってパソコンに次々に広がっていきます。
その結果、組織内のすべてのデータの読み書きができなくなってしまい、業務が止まってしまいます。

日本でも民間企業だけでなく、大学や病院で感染が広がり、業務がすべて停止したケースが頻発しました。 被害額は計り知れませんし、命に関わる仕事だったら大変な事になります。

2.身代金を要求され、データの漏えいも脅される

感染すると画面に表示されるメッセージはかつては外国語表示でしたが、今では日本語で「何時までに代金を払えば解除パスワードを送る」などと詳しく説明されるのが多くなりました。

個人を攻撃対象にしたランサムウェアでは被害はここまでですが、企業や組織を攻撃するランサムウェアでは、データも同時に盗み取られ、「漏えいされなければ身代金を払え」と二重に脅迫される例も増えてきました。

身代金の支払は、犯人の足が着きにくい「ビットコインなど仮想通貨口座」が指定され、期日を過ぎると値上げされるケースもあります。

ランサムウェアの感染経路は?

感染方法は「サイトを見ただけ」「メールを開いただけ」では感染しません。

一般的には、、

  1. メールの添付ファイルに、一般的なWordやオフィス製品のファイル、PDF、役に立ちそうなソフトなどに偽装した不正プログラムを潜り込ませる。
  2. ユーザーにクリックさせて、「インストールして良いか?」「コンテンツの有効化」の警告をOKさせる。

ことで感染します。

また現在流行しているマルウェアのEMOTETを利用して感染させることも多いです。

ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。EMOTETに感染したら情報漏えい以外にも多くの脅威にさらされてしまいますが、そ[…]

ますます増殖しているランサムウェアと拡大する被害

ビジネスになるサイバー攻撃として、ランサムウェアは増殖中!

かつてユーザーに大きな損害を与えてきたコンピューターウイルスは、WindowsやAppleOSのようなOS(Operation software)のセキュリティが強くなり、脆弱性もすぐに対処されるようになってきたため、次第に被害が少なくなってきました

またスマホやパソコンの様なデジタル機器も、セキュリティが強化され、簡単にはコンピューターウイルスの侵入ができなくなっています。

サイバー犯罪は金銭を得ることが目的なので、利益の出ない攻撃は減っていき、今の主流はフィシングメールのように、詐欺でユーザーをだまして、情報を奪う手法が主流になっています。

ところが、その中で依然として増え続けているコンピューターウイルスが「ランサムウェア」です。

それは犯人にとってもっとも「もうかる、ビジネスになる攻撃」だからです。

 

ランサムウェアは念入りに準備された標的型攻撃から「ばらまき型攻撃」に移行中

ランサムウェア攻撃は、以前はより高い収益を目指して、「目標とした大企業や大組織を狙って、周到に準備して行う攻撃」に使われてきました。

事前に企業内で実際に使われているメールを盗み出し、実際のやりとりを巧みに真似た偽装メールを送りつけ、ユーザーにクリックさせる手口ですが、成功させるためには念入りな準備が必要となりました。

これを標的型攻撃と言います。

しかし、次第に「分業や外注で身代金を回収する」など、犯人側の組織が進んだため、中小企業や一般人をねらう「ばらまき型」も増え、誰もが被害に直面する危険があります

日本でもランサムウェアの被害は拡大し続けており、一説では国内の組織の28%は直近1年間に1回以上、24%は1回の攻撃を受けているとも言われています。

すでにランサムウェアは完全にビジネス化している

ビジネスになるランサムウェアは日に日に進化する

ランサムウェアは犯罪者にとっては大変おいしい攻撃です。

被害者からすると、データを暗号化されて業務が止まってしまう損害に加え、データも盗まれてしまう「二重脅迫ランサムウェア」の場合は、重要情報の拡散も防がなければならず、「身代金を払った方が得だ」効率的に身代金を集金できます。

「ハッカーがランサムウェアを通じて奪ったビットコインの額は、2013年10月から2019年11月の間で1億4400万ドル(約158億円)相当だったという。米連邦捜査局(FBI)のジョエル・デカプア氏が2月24日に述べた。」 ■出典:コインテレグラフジャパン

もちろん警察は身代金の支払いを「犯罪を助長する」と戒めていますが、実体はかなりの割合で身代金の支払いが行われているようです。

REvilというランサムウェアを配布する犯罪者グループは、「成功報酬として20%受け取る条件」でハッカー達に開発したランサムウェアを配布し、1年で1億ドル(105億円)以上稼いでいると言われます。

また日本でもセキュリティベンダー「Sophos」が行った調査で、31%の日本企業が身代金を支払って解決しているとのことです。

犯行は組織化され、ビジネスになりつつある

ランサムウェアの被害実例は下記で説明しますが、すでにランサムウェア犯罪は完全にビジネスになってしまったかのようです。

ランサムウェアの犯人は、優秀なハッカーをリクルートし組織化して、犯行に関わる作業を分業化し、効率的に攻撃するようになりました。

さらにはランサムウェアを犯罪者に貸し出すサービスまで出現しています。

またランサムウェアの犯人グループはメディア戦略にも長けており、真澄も向けのニュースリリースやFacebookなどに「感染成功」を告知し、情報流出の危険性をあおって被害企業を「身代金支払い」へ向けて追い込みます。

またアメリカでは企業が「ランサムウェア攻撃の備え」として保険に入ることが当たり前になりつつあリ、犯人と交渉する専門の交渉人もいます。

このように暗号化だけでなくデータを人質に取る手法は、ランサムウェアの威力を一層高め数百億円以上の身代金を集めたとも言われています。

犯罪者の間では、ランサムウェアは立派なビジネスとなっているのです。

さらにはランサムウェアの犯人が「われわれは高い利益を上げている企業だけを狙っているのだ」と現代のロビンフッドを気取って、慈善団体に寄付をする事例まで発生しました。

アメリカで起きたことは少し遅れて必ず日本にも波及するため、非常に心配です。

身代金を払えばランサムウェアの暗号は解除されるのか?

企業はケース・バイ・ケース、個人は支払わない

これはケースバイケースとしかいえませんが、個人の場合は支払うべきではありません

企業を狙うケースでは、犯罪者側もビジネスを継続したいため、一定の信義も必要となります。

「解除されないことが多く」なれば、誰も身代金は払わなくなってしまいますので、たいていの場合、身代金が支払われると、ビジネスライクに、解除方法が知らされて暗号化が解除できるようです。

しかし個人向けでは、犯罪者は企業相手のように犯人は遠慮はしません。

支払ってもまず解除されることは少なく、大半は泣き寝入りとなっているはずです。

ブログ内の関連記事(新しいウィンドウで開きます)

2020年11月12日(木)22時からのNHK「クローズアップ現代」で「コロナ禍あなたを狙うサイバー攻撃」が放映されました。今テレワークは狙われています!番組では民放顔負けの「突撃取材」や「サイバー攻撃の体験実験」まで、実例を元に対策ま[…]

2020年11月12日NHKクローズアップ現代「コロナ禍あなたをねらうサイバー犯罪」

【最新情報】アメリカ政府はランサムウェアへの身代金支払を助長する活動を禁じた

2020年10月、アメリカの米国財務省外国資産管理室(OFAC:Office of Foreign Assets Control)は、金融機関、サイバー犯罪向けのセキュリティ保険会社など、ランサムウェアに関係する支援ビジネスを行っている企業に対して以下のような勧告を行いました。

  • 犯罪者への身代金支払いを助けることは、犯罪者に利益を与え、違法な目的を助長し、アメリカの安全保障と外交政策の目的に反する活動に資金を提供することになるため、OFAC の規制に違反するため、罰金や制裁の対象とする。
  • ランサムウェアの被害が出た際は、法執行機関に報告して全面的に協力すること

アメリカでは、これまで企業がランサムウェアの被害に会うと、「情報漏えいや企業活動が止まる損害と、身代金の金額」を比較して保険会社と協議し、秘密裏に身代金を支払うケースが多かったのですが、今回の勧告によって、大きく流れが変わっていくと思われます。

 

次第に高度化するランサムウェア攻撃の事例

ランサムウェアは暗号化だけでなくデータも人質にして二重に身代金を要求するようになった

事件例1.トランプ大統領も顧客のロサンゼルスの法律事務所が狙われた事件

2020年5月中旬に、トランプ大統領やマライヤ・キャリー、レディー・ガガ、マドンナなどのセレブを顧客に持つ、ロサンゼルスの大手法律事務所がランサムウェアに感染してしまいました。

このケースでは、データを暗号化されただけでなく、データそのものを盗み出して、「トランプ大統領の再選を妨げる秘密も手に入れた」と22億円もの巨額の身代金を要求してきました。

さらに交渉終了時刻が過ぎると、一部の機密情報は公開されてしまい、身代金はさらに45億円に値上げされました。
※トランブ大統領関連の機密情報は身代金が支払われ「公開は取り下げられた」とも言われています。

事件例2.アメリカの名門大学が次々にランサムウェアの被害にあった

7月から8月にかけてアメリカの名門大学がランサムウェア攻撃を受けました。

どの大学も、重要な研究データを読めなくされて持ち出され「身代金を払わないと研究成果を暴露する」と脅されています。

一部の大学では、秘密保持のため身代金を支払いましたが、「ミシガン州立大学」のように支払わなかった大学は秘密を公開されてしまいました。

支払われた身代金額

  • ユタ大学社会行動科学部・・・46万ドル(約4800円)
  • カリフォルニア大学サンフランシスコ校医学部・・・114万ドル(約1.2億円)

他にもシカゴのコロンビア大学など何校かが犯人と交渉中とのことです。

事件例3.アメリカで学校や病院も狙われている。

2020年9月、ネバダ州のある学区の学生や教職員の個人情報およそ32万人分の情報が、「身代金を払わなかった」とネット上に公開されてしまいました。

また同じ月、ニュージャージー州のニュージャージー大学病院は、患者情報を含む大量のデータが公開されるのを防ぐため、67万ドル(7000万円)を支払いました。

全米では学校を狙ったランサムウェア攻撃が続発し、データを取り戻すため5万ドル(530万円)を支払った自治体や、学校業務が長時間止まって閉校を余儀なくされた自治体もありました。

当初犯人からは170万ドル(1億7000万円)要求されましたが、交渉の結果「新型コロナウイルス禍だから」と大幅値引きに応じたそうです。

事件例4.アルゼンチンの入国管理やブラジルの最高裁判所への攻撃

南米では、2020年8月27日にアルゼンチンの入国管理局のコンピューターがランサムウェアに感染し、国境が4時間にわたって閉鎖された事件がありましたが、2020年11月3日にはブラジルの最高裁判所がランサムウェア攻撃を受けて、業務を1週間停止する事件も起きました。

このように企業だけでなく、国家の重要な機能がランサムウェアによって止まる事態も起きており、もしも日本でこんな事が起きたら、どれだけの混乱に繋がるか?考えただけでも恐ろしいです。

 

日本のゲーム会社「カプコン」もランサムウェア攻撃の餌食に

2020年11月初旬「バイオハサード」「モンスターハンター」で有名なゲーム会社のカプコンもランサムウェアの被害にあい、1TB(1テラバイト=1000GB)もの膨大なデータが持ち出されてしまいました。

カプコンプレスリリース「不正アクセスによる情報流出に関するお知らせとお詫び」

すでに情報を盗んだ証拠として社員の個人情報や販売レポートなど機密情報の一部が公開されてしまいました。
さらに犯人側は、13万件もの国内顧客の氏名や住所、3万件もの顔写真他、多数の機密情報を盗み出している見込みで、今後大規模な情報漏えいに発展する可能性もあります。

Ragnar Lockerと証する犯人からカプコンに1100万ドル(11億円)もの身代金が要求されているとのことですが、カプソン側は支払を拒否する方針との事です。

しかし、流失した可能性が高いデータに「廃棄していたはずの採用応募者データが含まれていた」といった事実が明るみになるなど、今後も影響は広がりそうです

 

ランサムウェアの被害を防ぐ対策は?

ランサムウェア被害へはバックアップが最大の予防策

ランサムウェアはデータを使えなくして身代金を要求する手口ですから、「データをそっくりバックアップ」しておけば、仮にデータが暗号化されてもあわてることはありません

パソコンの暗号化されたデータをすべて消して、バックアップからデータを書き戻せば元に戻ります。

事実、上でご紹介した調査では、日本の企業の、58%が「バックアップからデータを戻して復旧できた」そうです。

しかし残念ながら「16%がバックアップを行っておらず、データを復旧できなかった」と答えたそうです。
そうなると泣き寝入りするか、身代金を払うしかなくなります。

パソコンは、いつ壊れてデータを失うか予測できない、大変もろい製品です。
ランサムウェア対策だけでなく、データを保護の観点からも、バックアップはぜひ行っていただくべきです。

Windows のシステム復元機能も試してみる。

Windowsには システムの復元機能があり、Windows 7, Windows 10をお使いの方は、この機能が有効になっていて、復元された以前の内容が書き戻せる様になっています。

このシステムの復元機能によって、暗号化される以前のデータが取り戻せることもあります

しかし、ランサムウェアの多くは、この機能を無効にしますし、できたとしても、復元できるポイントはかなり過去にさかのぼるため、多くのデータが救えません。

やはり頻繁なバックアップが最も有効な対策です。

その他のランサムウェア防止策

1.OSやソフトウェアをアップデートしておく

ランサムウェアはソフトウェアやOSの欠陥(脆弱性)につけ込んで感染しようとする事が多いのです。

そこで脆弱性を修正する各種アップデートには敏感に対応して、速やかに実施することが極めて大切です。

2.絶対確実でないメールは疑ってかかる。

  • 「怪しい添付ファイルを開かない」
  • 「絶対に確実なもの以外はメール文中で薦められたプログラムをインストールしない」

ことが何より大切です。

仮に実物のようでも、メールの添付ファイルや、ダウンロードのリンクは、十分に真偽を確認してから処理しましょう。
請求書とか確認書とか、一見それらしい物ほど注意が必要です。

ランサムウェアは、現在猛威を振るっているEMOTETを経由して感染することが多いため、EMOTETの感染予防策を参考にしてください

ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。EMOTETに感染したら情報漏えい以外にも多くの脅威にさらされてしまいますが、そ[…]

セキュリティソフトも、新種のランサムウェアが次義と生まれているため、必ずしも万全とは言えませんが、やはり有効な安全策です。

【最重要】WordやExcelファイルの「コンテンツの有効化」を安易にクリックしない!

EMOTETに感染しないための見逃してはならないWordのセキュリティ警告

 

上のような警告が出た際に、「これは危ない!」と「コンテンツの有効化をクリック」さえしなければ、ランサムウェアほか多くのマルウェアの感染は防げます。

身元が確かでない添付ファイルの「コンテンツ有効化」のボタンは決して押さない


後は不正なメールとダウンロードした添付ファイルを完全に削除してしまえば安心です。

3.オンラインでURLや添付ファイルをスキャンしてくれるサービスもある

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」

なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

ランサムウェアの被害を受けてしまったら

ランサムウェアの暗号化解除情報を集めた公式サイト「No More Ransom」。

全世界のセキュリティ技術者が協力して、世の中のランサムウェアを分析して、暗号化されたデータを復元するノウハウ(復号ツール)を集めたサイト「No More Ransom」は心強い味方です。

2016年に「欧州刑事警察機構(Europol)のサイバー犯罪センター」「オランダ警察の国家ハイテク犯罪部」「セキュリティ会社のMcAfee」が共同で立ち上げた組織です。 No More Ransom 「No More Ransom」は発足して4年で、サイト上の各種復号ツールを使用してなんと420万人の6億3,200万ドル(約660億円)分の身代金被害を防いだとのことです。 サイトの使い方は下記IPA様のサイトがとても詳しく参考になります。

その他のランサムウェアの暗号化解除ツールを配布するサイト

世界のセキュリティ会社でも独自に、以下の様なランサムウェア暗号解除ツールの提供を行っています。 一定の知識は必要ですので、万一感染してバックアップとってなければ、詳しい方に相談して対応を依頼しましょう。 また、悪い奴がいる物で「どんな暗号でも解除します」とうたって「実はさらにランサムウェアに感染させる」偽ツールも出回ってます。情報は正しいサイトから得るようにしてください。

■トレンドマイクロ社様のサイト ランサムウェア ファイル復号ツール ■カスペルスキー社様のサイト  ランサムウェア対応 無料復号ツール ■マカフィー様のサイト        McAfee Ransomware Recover (Mr2)[英語サイト] ■AVG(アバスト)社様のサイト  無料ランサムウェア復号ツール

 

 

まとめ:
ランサムウェア対策も基本的な対策が大事です。ぜひバックアップを励行しましょう。

ランサムウェア対策も、まず感染しないことが基本ですから、他の攻撃と同様に「うっかりクリック」したり「確認せず添付ファイルを開く」ことのないよう、日頃から注意することが最大の対策です。

企業でも個人でも、データを失うことが最大の痛手となります。

「データのバックアップ」は、ランサムウェア対策だけでなく、機器の故障や誤ってデータを削除した際も有効です。

ぜひ日常のパソコン作業を見直して、頻繁にバックアップをとる事をはじめるようお薦めします。

 

Digital Keeperお薦めのセキュリティソフト

セキュリティ専門ソフトがやっばり必要です

今ではWindows10のようなOSは標準でセキュリティ機能が含まれており、コンピューターウイルスやマルウェアの侵入を防御してくれますが、セキュリティ専門ソフトは、より強力な防御力とさまざまな追加機能であなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

いろいろなセキュリティソフトがありますが、選択に当たっては、価格や広告上の性能だけでなく、

  • 老舗で世界各国で使用されてきた実績が豊富で、ユーザー数の多いもの
  • ご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの

を選択して下さい。
こうしておくと「機械に不慣れな奥様がスマホを紛失した際にご主人が探し出す」事など家中の機器をもれなく一括してセキュリティ管理できてしまいます

またセキュリティソフトは店頭で箱に入っているパッケージ版より、ダウンロード販売の方が価格も安く、ご自宅の環境に併せてライセンス内容を選択できるため便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選び下さい。

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできます。使ってみて性能を実感してみてください。