ランサムウェアは、あなたの大切なデータを人質に取る恐ろしいサイバー犯罪です。このマルウェアは、あなたのコンピューターに侵入し、データを暗号化してロックしてしまうことで、身代金を要求してきます。近年では、ウイルスよりもランサムウェアが企業や組織にとって大きな脅威となっています。そのため、多くのIT管理者は、この「身代金要求型ウイルス」の侵入を防ぐために日々奮闘しています。
1.ランサムウェアとは?
1.1 身 代金要求型ウイルス(ランサムウェア)
ランサムウェアは、あなたの大切なデータを人質に取る悪質なコンピューターウイルスの一種です。このウイルスに感染すると、パソコンやスマホ内のファイルが暗号化され、開けなくなってしまうことがあります。そして、暗号化を解除し、ファイルを復元するためには、犯人に「身代金」と呼ばれるお金を支払うよう要求されます。
身代金の額は、個人であれば150~500ドル程度から、企業であれば数千ドルにまで上ることがあります。ビットコインなどの仮想通貨を用いた身代金の支払いを求めることが一般的です。これは、ビットコインが匿名性が高く、追跡が困難であるためです。
1.2. ウイルス vs. ランサムウェア:同じ?それとも違う?
「ウイルス」という言葉は、ベトナムではもはや一般的な言葉となり、多くの皆さんがコンピューターのトラブルの原因として連想するのではないでしょうか。そのため、ランサムウェアのような他の種類のマルウェアもまとめて「ウイルス」と呼ぶ人が多いかもしれません。しかし、ウイルスとランサムウェアは、全く異なる種類のマルウェアなのです。
ウイルスとランサムウェア、どちらもマルウェアの一種であるという点は共通しています。 しかし、その特徴や目的は大きく異なります。
ウイルスは、非常に速い速度で拡散し、広がる能力を持つマルウェアを指す用語であり、制御が効かなくなることがあります。
一方、ランサムウェアは、被害者から「身代金」を要求する目的で設計されたソフトウェアです。通常、ランサムウェアを拡散させるために、悪意のある者はフィッシング詐欺などの手法を使用して、ユーザーを「引っかける」必要があります。
このような特徴の違いから、ウイルスとランサムウェアの両方の性質を併せ持つマルウェアは非常に稀です。「ウイルス・ランサムウェア」という用語は、特に急速に感染が広がるタイプのランサムウェアを指す際に使われることがあります。有名な例としては、WannaCryが挙げられます。
2.ランサムウェアに感染する経路
ランサムウェアに感染する経路はさまざまですが、代表的なものとしては以下のようなものが挙げられます。.
- クラック版のソフトウェアや、信頼できないサイトからダウンロードしたソフトウェアの使用
- メールの添付ファイル(通常はWordファイルやPDF)のクリック
- 悪意のある広告のクリック
- アダルトサイトや不正なウェブサイトのアクセス
その他、ハッカーの手口は日々巧妙化しており、新たな感染経路が常に生まれています。
3. ランサムウェアの分類と動作原理
ランサムウェアは、ユーザーが気付かないうちにコンピューターに侵入することがよくあります。ハッカーは、ランサムウェアをWord文書やPDFファイルなど、一見無害なファイルに偽装することが多く、ユーザーがうっかりクリックしてしまうと、コンピューター内でこっそりと実行されます。
動作原理の違いによって、ランサムウェアは大きく3種類に分類されます。暗号化型(Encrypting)、非暗号化型(Non-encrypting)、リークウェア(Leakware)です。しかし、近年では、ランサムウェアは技術の進歩とともに、モバイル(AndroidやiOS)やIoTデバイス、さらにはDSLRカメラに感染する新たなランサムウェアも登場しています。
3.1. 暗号化型ランサムウェア(Encrypting)
暗号化型ランサムウェアは、最も一般的な種類のランサムウェアで、ユーザーのファイルやフォルダを暗号化してロックしてしまうものです。別の呼び方として、クリプトランサムウェア(Crypto Ransomware)とも呼ばれます。
このタイプのランサムウェアは、一度コンピューターに侵入すると、犯人のサーバーと通信し、あなたのファイルを暗号化する鍵を生成します。この鍵は2種類あり、一つはファイルを暗号化するための「公開鍵」、もう一つは犯人だけが持って暗号を解くための「秘密鍵」です。これらのファイルは特定の形式に拡張子が変更され、開こうとしてもエラーが表示されます。
ファイルの暗号化が完了すると、コンピューターの画面には、身代金を要求するメッセージが表示されます。場合によっては、被害者に一定の期限内に支払うよう圧力をかけます。期限内に支払わないと、復号キーが破棄されるか、身代金の金額が上昇するなど、さらなる脅迫が加えられることもあります。
3.2. 非暗号化型ランサムウェア(Non-encrypting)
非暗号化型ランサムウェア、またはロッカー型ランサムウェアと呼ばれるこのタイプのマルウェアは、ファイルを暗号化することはありません。代わりに、デバイス全体へのアクセスを遮断し、ユーザーが画面のオン・オフを除いてコンピューターを操作できないようにします。感染すると、コンピューターの画面に身代金を支払うよう要求するメッセージが表示されます。このメッセージには、支払方法や支払い期限などが詳細に記載されています。
3.3. リークウェア(Doxware)
リークウェア(Leakware)は、ユーザーのデータを盗み出し、それをインターネット上に公開すると脅迫し、身代金を要求するタイプのランサムウェアです。
この種のランサムウェアに感染すると、コンピューター内の個人情報、機密データ、写真など、さまざまなファイルが盗み出されます。その後、犯人は、盗んだデータを公開すると脅し、身代金を要求してきます。もし、身代金を支払わなければ、盗まれたデータがインターネット上に拡散され、プライバシーが侵害される可能性があります。
3.4. モバイルランサムウェア
スマートフォンが世界中で広く普及し、人々の生活に欠かせない存在となるにつれて、ランサムウェアもスマートフォンを狙うようになりました。通常、モバイルランサムウェアは、データを暗号化するのではなく、ユーザーのデータアクセスを妨げる形(非暗号化型)で現れます。これは、モバイルデバイスのデータがオンライン同期を通じて簡単に復元できるためです。
モバイルランサムウェアは、特にAndroid端末を標的とする傾向があります。その理由は、Androidがサードパーティ製のアプリのインストールを許可しているためです。ユーザーがモバイルランサムウェアを含む.APKファイルをインストールすると、次の2つのシナリオが考えられます:
- ポップアップ通知が表示され、ユーザーは他のアプリケーションにアクセスできなくなります。
- 「クリックジャッキング」手法を使用して、ユーザーに誤ってデバイスの制御権限を付与させます。この場合、モバイルランサムウェアはシステムに深くアクセスし、他の違反行為を実行することができます。
iOS端末への攻撃は、Android端末に比べて高度な技術が必要となります。例えば、iCloudアカウントを悪用し、「iPhoneを探す」機能を使用してデバイスへのアクセスをロックします。
3.5. IoTデバイスとDSLRカメラへのランサムウェア感染
近年、サイバーセキュリティの専門家は、ランサムウェアが狙うことができることを証明しました。また、産業用IoTデバイスなど、さまざまなIoTデバイスにも存在する可能性があります。また、産業用IoTデバイスなど、さまざまなIoTデバイス(Internet-of-Things)にも存在する可能性があります。
2019年8月、セキュリティ研究者は、DSLRカメラがランサムウェアに感染する可能性があることを証明しました。デジタルカメラは通常、画像転送プロトコル(PTP:Picture Transfer Protocol)を使用して画像を転送します。研究者たちは、このプロトコルの脆弱性を悪用して、ターゲットカメラにランサムウェアを感染させることができることを発見しました(または任意のコードを実行することも可能です)。この攻撃は、今年8月にラスベガスで開催されたDefconセキュリティカンファレンスで実験されました。
4. 有名なランサムウェア攻撃
4.1. WannaCry
WannaCryは、テクノロジーやセキュリティに関心のある人なら誰でも知っている有名なランサムウェアです。2017年、このマルウェアは世界116カ国、25万台以上のコンピューターに感染する大規模なサイバー攻撃を引き起こしました。ベトナムもその被害国の一つでした。
WannaCryは、2017年まで「史上最悪のランサムウェア攻撃」と呼ばれ、数億ドルから数十億ドルもの損害をもたらしたと推定されています。このマルウェアは、Microsoft WindowsのSMBプロトコルの脆弱性を悪用し、ネットワーク内の他のコンピュータに自動的に感染を広げることができました。
わずか4日間で、WannaCryは116カ国、25万台以上のコンピューターに感染拡大しました。ヨーロッパでは、フェデックス、英国の国民医療サービス(NHS)、ロシア内務省など、多くの政府機関や大企業が深刻な被害を受けました。
この攻撃から数ヶ月後、アメリカ政府は、北朝鮮がWannaCry攻撃の背後にいると正式に非難しました。イギリス政府やマイクロソフトも同様の見解を示しています。
4.2. GandCrab
GandCrabは、2018年1月下旬に発見されたランサムウェアです。このマルウェアは、悪意のある広告やフィッシングメールを通じて拡散され、感染したコンピューター内のファイルを暗号化し、身代金を要求します。身代金を支払うためには、ユーザーはTorブラウザをインストールし、匿名性の高い仮想通貨であるDashまたはBitcoinで支払う必要があります。支払い額は、暗号化されたファイルの数によって約200ドルから1200ドルが要求されます
GandCrab 5.0.4
Bkavの統計によると、2018年末時点で、ベトナムでは約3,900台のコンピューターがGandCrabに感染し、データが暗号化される被害を受けていました。ハッカーはGandCrabを常に改良しており、より複雑な4つのバージョンが確認されています。
4.3. Bad Rabbit
Bad Rabbitは、2017年初頭以降、WannaCryやNotPetyaに次いで大規模なサイバー攻撃を引き起こしたランサムウェアです。特に東ヨーロッパ地域を中心に猛威を振るい、政府機関や企業など、多くの組織が被害を受けました。具体的には、トルコのオデッサ空港、ウクライナのキエフ地下鉄システム、ウクライナ運輸省、ロシアの3つの新聞社などが、Bad Rabbitの攻撃を受けました。
Bad Rabbitは、偽のAdobe Flash Playerのアップデートを装って拡散されました。
具体的には、ハッカーに侵入されたウェブサイトで、Adobe Flash Playerのアップデートを促す偽の通知を表示し、ユーザーに偽のインストールファイルをダウンロードさせます。このような偽のアップデート通知は、インターネット上でよく見かけるため、ユーザーはうっかり騙されてしまう可能性が高いです。
4.4. NotPetya
NotPetyaは、WannaCryと同様に、Microsoftの脆弱性を悪用したランサムウェアです。ウクライナを中心にヨーロッパ各地で猛威を振るい、コンピューターからコンピューターへ、さらにはネットワーク間を自動的に広がっていきました。特に恐ろしいのは、単にファイルを暗号化するだけでなく、ハードディスクを完全に破壊してしまう点です。つまり、身代金を支払ってもデータを復元できないケースが多かったのです。
多くの専門家は、この攻撃がロシア政府によって仕掛けられたのではないかと疑っています。
4.5. その他のランサムウェア攻撃
上記のランサムウェア以外にも、Reveton(2012年)、CryptoLocker(2013年)、CryptoWall(2014年)、TorrentLocker(2014年)、Fusob(2015年)、SamSam(2016年)など、世界中で大きな被害をもたらしたランサムウェアが数多く存在します。これらのランサムウェアによって、世界中で数百万ドル規模の損害が発生しました。
5. ランサムウェアの標的となるのは誰か?
5.1. 企業
ランサムウェアの標的として最も多いのが、企業です。特に、成長しているもののセキュリティ体制が不十分な企業が狙われやすい傾向にあります。これらの企業は財政的に安定しており、顧客データの削除や暗号化の脅迫に直面した際、ハッカーに支払うことが多いです。
5.2. 医療機関、政府機関、教育機関
ハッカーは、短期間で身代金を支払う可能性が高いと考えられる組織も標的にします。 具体的には、政府機関や医療機関など、頻繁にデータベースにアクセスする必要がある組織が挙げられます。また、法律事務所や機密性の高いデータを多く保有する組織も、サイバー攻撃の標的となりやすいです。これらの組織は、データ漏洩によって大きな損害を受けることを恐れて、身代金を支払う可能性が高いと考えられているからです。
ハッカーは、大学も標的にします。 大学は、セキュリティ担当者が少なく、一方で学生の個人情報など、大量のデータを保有しているため、魅力的な標的となるからです。
5.3. 個人
ランサムウェアの標的は、組織だけでなく、個人も含まれます。特に、経済的に余裕があり、身代金を支払う能力があると見られるCEOや経営者などが狙われることがあります。
しかし、インターネットを利用するすべての人が、ランサムウェアの被害に遭う可能性があるという点も忘れてはいけません。現代では、ランサムウェアは自動的に拡散するよう設計されており、ちょっとしたクリックミスが原因で感染してしまうケースも少なくありません。
6. ランサムウェアに感染した場合の対処法
6.1. 身代金を支払うべきか?
ハッカーがランサムウェアを仕掛ける最大の目的は、金銭を得ることです。あなたのコンピュータにマルウェアを感染させ、身代金を要求することで、不正に利益を得ようとしているのです。そのため、あなたは犯罪者と対峙していることになります。残念ながら、この取引は正当なものではなく、身代金を支払ったとしても、必ずしもデータを取り戻せる保証はありません。過去には、身代金を支払ったにも関わらず、データが復元されなかったという事例が多数報告されています。サイバーセキュリティの専門家や政府機関は、このような状況下では、決して身代金を支払うべきではないと警告しています。
ランサムウェアに感染した場合、安易に身代金を支払うべきではありません。 その理由は以下の2つが挙げられます。まずは、身代金を支払っても、必ずしもデータを復元できるとは限りません。また、一部のランサムウェアの場合、セキュリティ研究者によって復号ツールが開発されていることがあります。専門家に相談することで、無料でデータを復元できる可能性があります。
6.2. ランサムウェアの削除方法
もし、あなたのコンピューターが会社のネットワークに接続されている場合は、まず最初にネットワークから切断してください。これにより、他のコンピューターへの感染を防ぐことができます。
コンピュータがロックされておらず、データが暗号化されているだけの場合は、セーフモードを起動し、ウイルス対策ソフトを実行することで、ランサムウェアを削除できる可能性があります。
しかし、コンピューターが完全にロックされてしまっている場合は、ランサムウェアの削除プロセスはより複雑になり、CryptoLockerを削除する必要があります。この場合は、迅速なサポートを受けるために専門のセキュリティサービスに依頼する必要があります。
6.3. データを復元できるのか?
過去に大規模な被害をもたらしたいくつかのランサムウェアに対しては、セキュリティ研究者たちが復号ツールを開発し、被害者のデータを復元できる可能性が出てきました。これらのプログラムは、一定のコンピュータ専門知識を必要とします。興味がある場合は、「No More Ransom」や「Free Ransom Decryptors」といった復号ツールを参照してみてください。
しかし、ハッカーの手口はますます巧妙になっており、新たなランサムウェアは日々生まれ続けています。一度感染してしまうと、復元が困難なケースも多く、大切なデータが失われてしまうリスクが非常に高くなります。そのため、今すぐ対策を始めることが不可欠です。ランサムウェア対策の知識を身につけ、自分を守るための第一歩を踏み出しましょう。
7. ランサムウェア対策:効果的な予防策
7.1. データのバックアップ
ランサムウェア対策として最も重要なのは、定期的なデータのバックアップです。バックアップするデータ量が多い場合は、外付けハードディスクがおすすめです。50GB以下のデータであれば、Dropbox、Google Drive、Mega、OneDriveなどのクラウドストレージサービスを利用することもできます。特に重要なデータは、毎日バックアップすることをおすすめします。万が一、ランサムウェアに感染してしまった場合でも、バックアップデータがあれば、被害を最小限に抑えることができます。
7.2. ソフトウェアの定期的なアップデート
ソフトウェアのアップデートには、セキュリティ上の脆弱性を修正するパッチが含まれていることが多く、これを行うことで、ランサムウェアなどの攻撃から身を守ることができます。特に、ブラウザ、Flash Player、Javaなどの頻繁に利用されるソフトウェアは、こまめなアップデートが重要です。
また、ウイルス対策ソフトも、定期的なアップデートが不可欠です。まだウイルス対策ソフトを導入していない場合は、すぐにインストールしましょう。Kaspersky、Norton、McAfee、ESET、そしてWindowsに標準搭載されているWindows Defenderなど、多くの信頼できるウイルス対策ソフトがあります。ウイルス対策ソフトは、ランサムウェアなどのマルウェアを検出し、駆除するだけでなく、未知の脅威からコンピュータを保護する役割も果たします。
7.3. 不審なリンクやファイルに注意
これは、ハッカーがよく使う巧妙な手口です。例えば、重要な書類や興味深い情報があるように見せかけて、メールやSNSでファイルを送りつけます。ダウンロードしたファイルは、WordやExcelのファイルに見えますが、実際には実行ファイル(.exeファイル)が隠されている場合があります。、ユーザーがうっかり開いてしまうと、コンピューターがマルウェアに感染してしまうのです。
従って、ダウンロードする前に、必ず送信元のアドレスやメールの内容に不審な点がないか確認しましょう。ダウンロードしたファイルは、直接クリックせず、Word、Excel、PowerPoint などを使用してファイルを開くようにしましょう。もし偽装された .exe ファイルであれば、ソフトウェアが開けないというエラーメッセージが表示されます。
ハノイ市、カウ・ジャイ区、ディック・ボング・ハウ町、82ズイ・タン、3Aビル5階 
