ランサムウェアからビジネスを守るために、できること。

ランサムウェアとは何ですか?

ランサムウェアは、悪意あるプログラムの一種です。コンピューターやタブレットやスマートフォンをロックしたり、こうしたデバイスの中にあるファイルを暗号化したりしたのちに、元に戻して欲しければ身代金としてお金を払うようにと要求してきます。ランサムウェアには、大きく分けて2つのタイプがあります。

1つは、暗号化型ランサムウェアです。このタイプは、ファイルを暗号化して開けなくします。ファイルを復号するには、暗号化に使った鍵が必要で、この鍵と引き替えに身代金が要求されます。

もう1つは、画面ロック型ランサムウェアです。このタイプはデバイスの画面をロックして、何も操作できない状態にします。暗号化型よりは、画面ロック型の方が比較的対処しやすいです。

要求される身代金は、普通どのくらいですか?

ケースによって異なりますので、一概にはいえません。平均としては約300米ドルですが、30ドル程度しか要求しないランサムウェアもあれば、数万ドル を要求するものもあります。企業などの大規模な組織はスピア型フィッシング の標的となりやすく、高額の身代金を要求される傾向にあります。

注意したいのは、身代金を支払ったからといって、必ずしもファイルが元に戻るわけではないことです。

身代金を支払わなくても暗号化されたファイルを復号できますか?

できる場合もあります。ランサムウェアの大半は、強靱な暗号化アルゴリズムを使用しています。つまり、暗号化キーがない場合、復号には何年もかかります。

時にはランサムウェア攻撃を仕掛ける犯罪者がミスを犯し、暗号化キーが保存された攻撃用サーバーを警察に押収されることがあります。そういう場合は、

身代金の支払い方法は?

身代金は通常、暗号通貨(具体的にはビットコイン)での支払いを要求されます。ビットコインは偽造できません。取引履歴は誰でも見ることができますが、ウォレットの所有者を追跡するのは容易ではありません。できるだけ尻尾をつかまれないようにしているサイバー犯罪者がビットコインを好むのはこのためです。

中には、匿名のオンラインウォレットやモバイル決済を利用するランサムウェアもあります。これまでで一番驚かされた支払方法は、50ドルのiTunesカードでした。

ランサムウェアはどうやってコンピューターに侵入するのですか?

一番よくある経路はメールです。ランサムウェアは役に立ちそうな、または重要そうな添付ファイル(緊急の請求書、面白そうな記事、無料アプリ)のふりをしています。この添付ファイルを開くと、コンピューターが感染してしまいます。

ネットを見て回っているだけでも、ランサムウェアに侵入される可能性があります。ランサムウェアを操るサイバー犯罪者は、OS、ブラウザー、アプリの脆弱性につけ込んでシステムを掌握しようとします。そのため、ソフトウェアやOSのアップデートをきちんと適用することが大切なのです。なお、 カスペルスキー インターネット セキュリティ (カスペルスキー セキュリティ のWindows対応プログラム)の最新バージョンには、アップデートを自動的に処理する機能があります。

ランサムウェアの中には、ローカルネットワークを通じて 自ら感染を拡げるものもあります。家庭や企業のネットワークに接続しているデバイスのどれかにこのようなランサムウェアが感染したら、他のデバイスにも感染が広がるのは時間の問題です。ただし、これはレアなケースです。

明らかに危険がありそうなパターンも、当然ながらあります(英語記事)。たとえば、P2Pファイル共有からファイルをダウンロードする場合などです。

悪質なWebサイトや怪しい添付ファイルに近寄らなければ、感染しないで済みますか?

残念ながら、用心深い人であってもランサムウェアに感染することがあります。たとえば、大手の有名なWebニュースサイトを見ている間にコンピューターが感染する可能性があります。

このようなWebサイト自体がマルウェアをばらまいているのではありません(ハッキングされていた場合は話が別ですが)。サイバー犯罪者によってセキュリティが侵害された広告ネットワークが配布元となり、未修正の脆弱性を利用してマルウェアを送り込んでいるのです。この場合も、ソフトウェアを適宜アップデートし、OSにきちんとパッチを適用してあるかどうかがポイントとなります。

Macを使っています。ランサムウェアのことは心配しなくていいですよね?

Macもランサムウェアに感染する可能性がありますし、現に感染例があります。たとえば、有名なBitTorrentクライアントのTransmissionに侵入した KeRangerというランサムウェアは、Mac利用者を攻撃しました。

当社のエキスパートは、Appleのシステムを標的とするランサムウェアの数は徐々に増加していくと 見ています。Appleのデバイスは比較的高価ですから、恐喝犯はMacの所有者をよいカモと見て、身代金の額をつり上げてくるかもしれません。

Linuxを標的とするランサムウェアでさえ、複数の種類が存在します。どのOSも安全とは言い切れません。

インターネットには、スマートフォンからアクセスしています。やっぱり気をつけないとダメですか?

もちろんです。たとえば、Androidデバイスを標的とするランサムウェアには、暗号化型も画面ロック型 もあります。画面ロック型のほうが一般的ですが。スマートフォンにアンチウイルス製品をインストールする のは、もはや用心しすぎではありません。small-fusob-screen-1024x1006

iPhoneも危ないのでしょうか?

今のところ、iPhoneやiPadだけを狙うランサムウェアは存在しません。ただし、これが当てはまるのはジェイルブレイク(脱獄)していないiPhoneの場合です。iOSや、App Storeの厳重なセキュリティ規制に縛られていないデバイスは、マルウェアに感染する可能性があります。

しかし、iPhone向けのランサムウェアもすぐそこまで迫っているだけかもしれず、ジェイルブレイクしていなくても感染するようになるかもしれません。また、話は広がりますが、IoTを標的とするランサムウェアが出現する可能性もあります。スマートテレビやスマート冷蔵庫を乗っ取ったサイバー犯罪者が、高額な身代金を要求してくるかもしれないのです。

コンピューターがランサムウェアに感染したかどうかは、どうすればわかりますか?

ランサムウェアは、自分の存在を大々的にアピールしてきます。たとえば、こんなふうに。

rfaq-dedcryptor-screen

または、こんなふうに。

rfaq-eda2-screen

画面ロック型はこんな感じです。

rfaq-locker-screen

どのタイプのランサムウェアが一番出回っていますか?

新しいタイプのランサムウェアが毎日のように出現しているので、一番出回っているものを挙げるのは難しいのですが、特に目立つものをいくつか挙げることはできます。たとえば、Petyaはハードディスクを丸ごと暗号化します。また、当社で2度にわたり撃退した CryptXXXは、いまだに健在です。そして、2016年に入って4か月の間に最も感染を拡げたTeslaCryptがあります。このマルウェアの作者が意表を突いて突然 マスター鍵を公開した のは、記憶に新しいところです。

ランサムウェアに感染したら、どうすればいいですか?

コンピューターがロックされている、つまりOSが起動しないことがわかったら、Kaspersky WindowsUnlockerを使ってみてください。画面ロック型ランサムウェアを削除してWindowsを起動できるようにする無料のツールです。

暗号化型ランサムウェアの場合は、これよりも手間がかかります。まずは、スキャンを実行してマルウェアを除去する必要があります。コンピューターに適切なアンチウイルス製品がインストールされていない場合は、こちらから無料体験版をダウンロード.してお使いいただけます。

次に、ファイルを元に戻す作業です。

ファイルをバックアップしてある場合は、そのバックアップからファイルを復元するだけです。現時点では、これが一番の手段です。

バックアップをとっていない場合は、復号ツールという特別なプログラムを使って、ファイルの復号を試してみましょう。Kaspersky Labが開発した無料の復号ツールは、すべて Noransom.kaspersky.com(本サイト)に公開されています。

Kaspersky Lab以外のアンチウイルス製品企業も復号ツールを開発しています。ここで1つご注意を。復号ツールを入手する際には、必ず、信頼できるWebサイト(たとえば、その企業の公式サイト)からダウンロードするようにしてください。そうしないと、別のマルウェアに感染するリスクが高くなります。

適切な復号ツールが見つからない場合は、身代金を払うか、ファイルに永遠の別れを告げるか、どちらかです。とはいえ、身代金の支払いはお勧めしません。

さっさと身代金を支払ってはいけないのですか?

まず、ファイルを取り戻せる保証はありません。恐喝犯は信用できませんから。たとえば、Ranscamの開発者を例に挙げましょう。このRanscam というランサムウェアは、ファイルを暗号化せず、あっさり削除してしまいます(なのに、脅迫文には身代金と引き替えに復号すると書いてありました)。

Kaspersky Labの調査によると、ランサムウェア攻撃を受け、身代金を払っても、被害者の約20%はファイルを取り戻すことができませんでした

no-no-ransom-featured_ja-1

また、身代金を支払うと、このサイバー犯罪モデルを支援し、成長を後押しすることになります。

必要な復号ツールを見つけましたが、うまくいきません。なぜですか?

新しい復号ツールがリリースされると、ランサムウェアの開発者はすぐにマルウェアを修正し、公開されたツールでは復号できないようにします。もぐら叩きゲームと同じです。そういった意味で、残念ながら復号ツールの動作は保証されていません。

一番危ないタイプのファイルは何ですか?

最も怪しいのは、実行可能形式のファイル(拡張子が.EXEや.SCRのファイル)です。また、Visual Basicスクリプト(.VBS)やJavaScript(.JS)も、それに続きます。こういったファイルは、危ないファイルだと思われるのを避けるために、ZIPやRARなどのアーカイブに圧縮されていることがよくあります。

他に危ないタイプは、脆弱性を悪用するマクロが含まれている可能性がある、MS Officeのファイル(.DOC、.DOCX、.XLS、.XLSX、.PPTなど)です。Word文書を開いたときにマクロの有効化を要求するメッセージが表示されたら、有効化する前にもう一度よく考えましょう。

ショートカットファイル(.LNK)にも用心してください。Windowsのショートカットファイルには、好きなアイコンを割り当て可能です。アイコンに紐付くファイル名が害のなさそうな名前だったりすると、ついうっかりクリックしてしまい、トラブルが発生するかもしれません。

ここで、注意したいことがあります。Windowsでは、既知の拡張子を持つファイルを開くとき、開いてよいかどうかの確認メッセージが表示されません。また、既定の設定では、既知の拡張子がWindowsエクスプローラーに表示されません。たとえば、「Important_info.txt」と表示されているファイルは「Important_info」と表示されるような具合です。したがって、エクスプローラー内に「Important_info.txt」という名前のファイルが表示されていても、実は「Important_info.txt.exe」という名前で、マルウェアのインストーラーかもしれません。拡張子が表示されるようにWindowsを設定し、セキュリティを強化しましょう (英語記事)

今まさにコンピューターが感染中なのに気づいた場合、何かできることはありますか?

まさに感染中に気づいたのであれば、コンピューターの電源を切ってハードディスクを取り出し、別のコンピューターに装着し、そのコンピューターにインストールされているアンチウイルス製品を使って駆除することが、理論上は可能です。しかし現実には、利用者が感染に気づくのは難しいことですし、まったく気付かないこともあります。ランサムウェアは密かに事を進め、身代金要求メッセージを表示するときまで姿を現しません。

感染を回避するには、アンチウイルス製品で十分ですか?

とんどの場合は、それで十分です。どのアンチウイルス製品を選ぶかですが、著名な第三者テスト機関が実施したベンチマークテスト では、カスペルスキー製品は他社製品よりも優れた保護機能を示しました。しかし、100%の効果を発揮するアンチウイルス製品はありません。

自動検知の精度は、マルウェアがどのくらい新しいかに左右されることが多いのですが、シグネチャが定義データベースに追加されていない新種マルウェアであっても、ふるまいの分析による検知が可能です。また、マルウェアの操作によってシステムにダメージが及びそうになると、ただちにその操作はブロックされます。

カスペルスキー製品には システムウォッチャー という機能があります。システムウォッチャーは、大量のファイルを暗号化しようとする動きを検知すると、このプロセスをブロックしてすべての変更を元に戻します。この機能は無効化しないでください。

定期的にファイルをバックアップしておけば安全ですか?

ファイルのバックアップは間違いなく有益ですが、100%安全とは言い切れません。例を1つ紹介しましょう。自動バックアップが3日に一度行われるように、あなたは自分の家族が使っているコンピューターを設定しました。しばらくして、暗号化型ランサムウェアがこのコンピューターに侵入し、文書や写真などのファイルをすべて暗号化してしまいましたが、コンピューターの持ち主(夫?妻?祖父母かも)は、そのことに気付かないまま。1週間が経った後、あなたがこのコンピューターをチェックしてみると、バックアップされたファイルもすべて暗号化された状態に…。バックアップはとても重要ですが、ただバックアップを取るだけでは、こうした落とし穴に嵌まってしまいます。

設定を調整して、防御力をアップすることはできますか?

以下の手順をお勧めします。

1. まず、アンチウイルス製品をインストールします。

2. ブラウザーでスクリプトを実行できないようにします。ブラウザー経由の攻撃は、サイバー犯罪者が好んで利用する手段です。スクリプトを無効化する方法は、次のページでご確認ください:Chromeの場合Firefoxの場合

3. Windowsエクスプローラーでファイル拡張子が表示されるようにします (英語記事)

4. VBSファイルとJSファイルを開くときに既定で使用するアプリケーションを、メモ帳に設定します。Windowsでは通常、危険なVBSスクリプトやJSスクリプトがテキストファイルとして表示されます。そのため、コンピューターにあまり詳しくない人が誤ってこれらのファイルを開いてしまう可能性がありますが、メモ帳に関連づけられていればスクリプトは実行されません。

5. カスペルスキー インターネット セキュリティの 実行アプリケーションの制限 をオンにすると、ホワイトリストに載っていないプログラムのインストールが制限されます。この設定は既定で有効化されておらず、多少の調整と設定が必要になりますが、非常に役立ちます。特に、コンピューターにあまり詳しくない方にお勧めの機能です。

クリック 拡張する

Infographic about ransomware Infographic about ransomware
kaspersky-video
play
シェアする: