大事な写真や重要ファイルが人質に…「身代金」を悪質ウイルスに払う前にできること

ランサムウェアに感染すると大切なデータが利用できなくなってしまいます

　ウイルスにもさまざまな種類が存在しますが、中には感染後に身代金を要求してくる「ランサムウェア（Ransomware）」という悪質なものがあります。

　「ランサム」とは「身代金」という意味で、ユーザーの大事なファイルを人質にお金を要求してくるのが特徴です。感染すると、そのPC内のファイルを暗号化して使えない状態にしてしまい、「元に戻すのと引き換えに金銭を支払え」と脅迫してきます。

　2013年ごろに米国で発見され、2015年には日本国内でも被害が発生しました。その後、2017年に感染が急激に拡大し、世界中で被害が多発しました。

　企業・個人での被害事例はたくさんあります。仕事で使うデータだけでなく、撮り溜めた家族との思い出の写真など、全てが失われてしまう恐れがあります。

　現在、セキュリティソフトやWindowsなどのOSのセキュリティ機能が対応し、ランサムウェアのほとんどを検出・除去できるようになっています。しかし、ランサムウェアの脅威は無くなったわけではありません。

　今回は、感染すると甚大な被害を被ってしまうランサムウェアについて紹介します。

【今回のポイント】

大切なデータも全て暗号化する「WannaCry」

ランサムウェアを簡単に作成できるサービスが存在

感染した場合の対策方法もある

【記事提供者より】

「ますます重要になるインターネットを安心して使ってほしい」というのが我々の思いです。
@niftyは在宅ライフを支援するプロバイダーとして「安全で、安心できるサービス」を提供していますので、ぜひご活用をご検討ください。[詳細はこちら]

「あなたがファイルを失うまであと○時間」……要求に応じて身代金を支払うケースは今も続いている

　最初に、ランサムウェアに感染するとどうなるのかを見てみましょう。

　2017年に大きな被害を引き起こしたのが、「WannaCry」というランサムウェアです。別名として「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WCry」という名前でも呼ばれています。

「WannaCry」感染直後の画面です。猛烈な勢いでPCやクラウドストレージ上のファイルを暗号化しています

　WannaCryに感染すると、利用者に気が付かれないよう、こっそりと画像や文書ファイルなどを暗号化し始めます。

　ファイルの拡張子も「.WNCRY」に変更され、開けなくなります。拡張子を戻しても、中身が暗号化されているので開くことができません。

　「OneDrive」などのクラウドストレージも、感染したPCと同期している場合はファイルも根こそぎ暗号化するので、被害はそのPCだけに収まりません。

　さらにPCの壁紙も勝手に変更され、「あなたの大切なファイルは暗号化されました」という英語のメッセージが表示されます。その後、身代金を要求するメッセージと振り込み先が表示されたソフトが開きます。

　なんと、多言語対応しており、日本語も表示してきます。書かれているのは「PCがどういうことになったのか」「回復する方法（＝身代金の支払い方）」「いくら払うのか」などです。画面の左側にはファイルが完全に失われるまでのタイムリミットをカウントダウン表示しています。ちなみに今回の検証で実際に要求された身代金は300ドル相当のビットコインでした。

復号化したいなら300ドル分のビットコインを支払うよう要求してきます

　送金先に指定されているビットコインのアドレスを調査してみると、今回テストしたWannaCryは2017年5月12日に稼働し始めたことが分かります。そして、恐ろしいことに未だに身代金が振り込まれ続けていることが分かりました。

　2020年7月だけでも10人からビットコインが振り込まれています。これまで、合計200回、約2300万円分もの利益を手にしているのです。

このWannaCryを作ったサイバー犯罪者は2300万円分以上のビットコインを手に入れたようです

　WannaCryの被害が急速に拡大したのは強い感染力が理由です。今回はマルウェア本体のファイルを直接実行したのですが、ネットワークを介して広まっていく機能も備えているのです。

　Windowsの脆弱性を突いて感染するのですが、脆弱性が見つかってすぐにマイクロソフトは修正パッチを公開しました。しかし、パッチを当てなかった企業が多数あり、被害が広がっていくことになったのです。

　Windows 10だけでなく、すでにサポートが終了していたWindows 8やWindows XPなどにも被害が広まったため、マイクロソフトはこうした古いOSへのセキュリティ更新プログラムの提供も行いました。いかに重大な事件だったかが分かります。

世界中で猛威を振るった脅威はWannaCry以外にもある

　日本でも多数の企業がWannaCryの被害に遭いました。2017年5月には大手電機メーカーの社内ネットワーク全体にWannaCryの感染が広がりました。メールや受発注システムが動作しなくなり、業務に支障が出ました。大きな被害は出ていませんが、大手鉄道会社も業務で利用しているPCが感染したと発表しています。

　イギリスでは国民保健サービスで使っていたPCがWannaCryに感染し、被害が拡大。複数の診療所に広まり、診察ができなかったり、救急車を受入れられないという事態に発展しました。

　被害の大きいランサムウェアはWannaCryだけではありません。例えば、「Bad Rabbit」は、正規のプログラムに偽装され、改ざんされたウェブサイトなどを介して拡散しました。感染するとPCのファイルが暗号化されて身代金を要求する画面が表示されるようになります。感染したPCと同じネットワーク上にある他のPCへの感染拡大も行います。

　また、「Petya」というランサムウェアも登場しました。こちらは感染するとOSが起動する際に利用する「マスターブートレコード」という情報を書き換えてしまいます。同時にファイルの暗号化も進行し、再起動すると身代金を要求してきます。Petyaの亜種も確認されています。

「Bad Rabbit」感染後も身代金を要求されます。独立行政法人情報処理推進機構（IPA）の注意喚起ページより

誰でもランサムウェアが作れる？ダークウェブで売られる「作成キット」は5万円……

　ランサムウェアは膨大な数の亜種が見つかっています。これは誰でも簡単にランサムウェアを作れる環境が用意されているためです。

　プログラムが書けなくてもランサムウェアを作ることができるのです。「ダークウェブ」と呼ばれる市場では、ランサムウェアの作成キットを購入できます。5万円もしない価格で、自分だけのランサムウェアを作成できるのです。

　マニュアルを用意し、プロモーションビデオまで公開しているものもありました。前述の例で言えば、「5万円の投資でかなりの売り上げが見込める」という計算になるわけで、これではサイバー犯罪者が増える一方なのも頷けます。

ダークウェブでは、ランサムウェア作成ツールも発売されています

重要なのは「脆弱性は放置しないこと」「バックアップ取ること」

　被害に遭った場合、身代金を払うかどうか悩むことでしょう。

　実際、サイバー犯罪者のビットコインアドレスを見ると、多数の被害者が入金していることが分かります。しかし、多くのセキュリティ企業や専門家は支払わないように推奨しています。

　 最大の理由は、復元できないケースがあるためです。

　そもそも復元するための機能を備えていないケースや、暗号化技術が無いため、実は単にファイルを完全削除しているだけ、ということもあり得るのです。

　裏を返せば、送金すると復号化できるケースも確かにあります。しかしこれは、サイバー犯罪者に資金を提供してしまうということでもあります。

　サイバー犯罪者は儲かるからランサムウェアをばらまいているので、誰も身代金を払わなければ無駄手間になるだけです。資金を渡す行為そのものが、ランサムウェアの被害を拡大させている原因になっているのです。ランサムウェアに感染したら、身代金は支払わずに被害回復にチャレンジするのが良いでしょう。

OSのセキュリティ機能を有効にしていれば、ランサムウェアから防御してくれます

　当然、そうならないために、普段からランサムウェア対策を行っておくことが重要です。まずは、OSの自動更新を有効にして、常に最新の状態に保っておきましょう。更新を怠り、脆弱性を放置するとWannaCryに感染してしまうリスクが高まります。

　また、重要なデータのバックアップを取ることも忘れないでください。マルウェアに限らず、ハードウェアの故障やユーザーの誤操作など、いろいろな原因でデータを失うことがあります。バックアップを取っていれば復旧も容易です。

　ランサムウェア対策機能を備えた「常時安全セキュリティ24」のようなセキュリティ製品を導入することも有効です。ランサムウェアが感染しようとすると、検知し、防御してくれます。

統合セキュリティソフト「常時安全セキュリティ24」

総合セキュリティソフト「常時安全セキュリティ24」ではマルウェア対策機能に加えて、危険なウェブサイトへの接続を防止する機能、オンラインバンキング保護機能などを搭載する

復元ツールもあるが、過信は禁物

　万が一感染してしまった場合は、ランサムウェアの種類を調べましょう。

　経済産業省の外郭団体である独立行政法人情報処理推進機構（IPA）のウェブサイトでは、暗号化されたファイルを復元するためのツール「No More Ransom」が紹介されています。

　感染して暗号化されてしまったファイルをアップロードしたり、記載されているビットコインのアドレスなどを入力すると、どんなランサムウェアなのかを分析してくれます。ランサムウェアがわかれば、対応する復元ツールをダウンロードできるようになります。

　とはいえ、必ずしも対応する復元ツールが全て用意されているとは限りません。今回テストで利用したバージョンのランサムウェアも、復元ツールは提供されていませんでした。

「No More Ransom」でランサムウェアの種類を調べ、復号化ツールがあるか確認してみましょう

　普段からセキュリティを意識していれば、既知のランサムウェアに感染することはほとんどありません。自分の大切なデータは自分で守るのが一番確実です。自分だけは大丈夫と思わず、日々、OSのアップデートやデータのバックアップを忘れないようにしてください。

【インタビュー】「任せて安心、と思って欲しい」 @niftyが語る、コロナ時代のプロバイダ

　「自分で安全を守る」意識はとても大切ですが、刻々と変化、高度化するネットの脅威に対し、知識と情報を高めていくのは大変です。大手インターネットプロバイダーの「@nifty」では、「任せておけば安全・安心」を掲げ、プロバイダーならではのセキュリティサービスを実施しています。その思いや、サービスの概要についてインタビューしましたので、是非ご覧ください。