特別企画

「ランサムウェア」はスマホにも感染! 端末を人質に取って“罰金”の支払い求める「ポリスランサム」が主流

8年前にはすでに兆候? 世間を騒がせる「ランサムウェア」

 「ランサムウェア」という言葉が世間一般を駆け巡ったのは、ちょうど1カ月前の5月13日ごろのこと。英国の病院がランサムウェアに感染した影響で手術ができなくなった――そんなニュースが新聞・テレビでもしきりに取り上げられました。

5月に騒動となった「WannaCry」はランサムウェアの一種。Windowsで感染すると、このような画面が表示されるといいます

 ランサムウェアは、いわゆる「コンピューターウイルス」「マルウェア」などと呼ばれるものの一種で、コンピューターに良からぬ働きをします。中でもランサムウェアは、コンピューターに保存されているデータを勝手に暗号化するなどして使えなくしてしまい、所有者に対してその復元料を要求するものを指します。データを奪って身代金(Ransom)をせしめようとする手口から、ランサムウェアと呼ばれています。英国の病院では患者データにアクセスできなくなったそうですから、恐らく電子カルテの情報などが暗号化されたのでしょう。

 実はランサムウェアというのはそれほど新しいものではなく、1980年代にすでに存在していたとされます。また、「INTERNET Watch」でバックナンバーを調べてみたのですが、少なくとも2009年12月にはすでにランサムウェアに言及している記事がありました。「2010年にはこんなオンライン詐欺が発生しそうだから気を付けてね」という内容で、当時はまだ予防的な周知が目的だったとは思います(2009年12月16日付関連記事『2010年に注意すべき12のオンライン詐欺、マカフィーが発表』参照)。ただ、少なくとも8年以上前にランサムウェアが存在しており、数年かけて徐々に被害が拡大してきてことが分かります。

身代金1万円を「iTunesギフト」で支払うよう脅迫、しかも法務省が!?

 5月の一件で注目を集めたのは、ランサムウェアの中でも「WannaCry」と呼ばれるものです。基本的にはWindows環境を狙ったものであり、極論すれば、Macには関係がありません。また、Windowsであっても、最新のセキュリティ更新プログラム(修正パッチ)を適用したWindows 10などであれば感染する心配はなかったのです。

 もちろんWannaCry騒動が一段落したからといって、それですべてが終わったわけではありません。WannaCryと似た別のランサムウェアが今後も続々発見されていくでしょう。

 そして、今この段階で覚えておいてほしいのが、「スマホでもランサムウェアの被害に遭う可能性がある」ということです。WannaCryがWindowsを狙うように、スマホを狙う「モバイルランサムウェア」はすでに実在します。しかも日本語表記のものが。

 セキュリティ会社のトレンドマイクロによると、日本では2016年3月に「ANDROIDOS_FLOCKER.A」(当時の呼称は「AndroidOS_Locker」)と呼ばれるモバイルランサムウェアを検出しています。これが、Androidを狙った初の日本語表示対応モバイルランサムウェアだといいます。

Androidを狙ったランサムウェアとして初めて日本語表記がなされていた「ANDROIDOS_FLOCKER.A」(画像提供:トレンドマイクロ株式会社)

 感染後に表示される画面では、「MINISTRY OF JUSTICE(法務省)」を詐称し、いかにもそれっぽく見せていますが、「残り時間は、罰金を支払います」という具合で文法がヘン。さらに1万円の身代金(罰金)をiTunesギフトカードで支払うように要求してきます。いや、ちょっとそれはいくらなんでも……。

感染後にはこのような画面を出し、身元がバレているかのように煽ってきます。とはいえ、日本語文法としてはどこかヘン(画像提供:トレンドマイクロ株式会社)
もっとヘンなのは、身代金(罰金)をiTunesギフトカードで支払うよう要求してくる点(画像提供:トレンドマイクロ株式会社)

 法務省に限らず、警察やFBIなど何らかの法執行機関を名乗るこうした手口は「ポリスランサム」と呼ばれ、変種・亜種が多数出回っているそうです。日本には存在しない「国土安全保障省」を名乗るケースすらあるとか。

 ところで、ANDROIDOS_FLOCKER.Aの人質の取り方ですが、端末内のデータを暗号化するのではなく、端末にロックをかけて、身代金支払い以外の操作をできないようにしてきます。WannaCryとは似ているようで、細部が違うわけです。

対策の基本は「信頼できるストア以外からアプリを入手しない」

 少なくとも現時点では、ANDROIDOS_FLOCKER.Aへの過度な警戒は不要です。普段から実施している対策を冷静に継続すれば大丈夫。

 というのも、このモバイルランサムウェアは、WannaCryのようにソフトウェアの脆弱性(セキュリティ上の抜け穴)を突いて知らぬ間に感染してくるのではなく、ユーザーをだましてアプリとしてインストールさせることで感染します。そして、その問題のアプリは、Android公式アプリストアである「Google Play」では配信されていません。スマホ側の設定で「提供元不明のアプリのインストールを許可する」の項目を無効化しておけば、少なくとも無断でGoogle Play以外からアプリがインストールされる心配はありません。

 とはいえ、必要に応じてGoogle Play以外の場所からアプリをインストールしなければならないケースもあるでしょう。そういったときは、いつにも増してアプリのダウンロード場所(URL)を確認したり、セキュリティ対策アプリを併用するなどの対策が必要です。

 初心者は、最初のうちはとにかく「Google Playからだけ」と覚えておきましょう。ただ、それでもブラウザーでのサイト閲覧中、Google Playによく似た偽サイトへ誘導されるケースもあるので、くれぐれもご注意を。

これは「Moto G5 Plus」(Android 7.0)の本体設定画面。「提供元不明のアプリ」の設定がオフになっています
オンにしようとすると、かなり強めの調子で警告してきます。よーく考えて、本当に必要なときだけオンにしましょう

もし感染してしまっても、「セーフモード」で復旧できる可能性があるが……

 それでももし、ANDROIDOS_FLOCKER.Aをインストールしてしまい、端末がロックされた場合は、「セーフモード」を試してみてください。Android端末はほとんどの場合、電源オン/オフ時にある手順を踏むことで、通常とは異なる特殊なセーフモードが起動し、アプリを削除できる場合があります。

 不幸中の幸いといいますか、ANDROIDOS_FLOCKER.Aはあくまでも端末をロックするだけで、スマホ内データの暗号化は行いません。そのため、モバイルランサムウェアのアプリだけを削除して問題解決に繋がるケースがある……というわけです。

ファーウェイ端末における「セーフモード」の呼び出し法。その他のメーカーについても、ネット検索すればすぐに見つかるはず

 ただし、この方法で未来永劫データが助かるかどうか、保証はありません。実際のところ、端末のロックだけでなく、スマホ内のデータを暗号化するモバイルランサムウェアも、海外ではすでに2014年の時点で確認されているそうです。また、セーフモードですら起動できない(電源の再起動ができない)ようになってしまうモバイルランサムウェアもあるそうです。

 Androidのセキュリティ機能は今後も改良されていくでしょうが、それでもやはり何らかの抜け穴を突いたサイバー攻撃などの対象になる可能性があります。日本語の文法のおかしさがなくなり、SNSで繋がっている友達の名前を騙ってインストールさせるようなランサムウェアも出てくるかもしれません。

 結局のところ、PCやスマホを安全に利用するためには不断の努力、そして最新情報の収集が欠かせません。新しい手口のウイルスが発見されても、それをいち早く知れば、手の打ちようはあります。

 最近は「INTERNET Watch」のようなメディアはもちろん、セキュリティ関連の民間機関、警察などもウイルス対策の情報を発信しています。まずは「スマホでもランサムウェアに感染する恐れがある」ことを認識しておき、これら情報源を上手く活用してみてください。