写真提供:マイナビニュース

写真拡大

●有効な対策は「開けない」「最新」「バックアップ」
ランサムウェアの実態や最新の状況、対策などを全4回にわたり紹介していく本連載。第1回では、ランサムウェアの歴史や最新の脅威動向、第2回ではランサムウェアを取り巻く環境や実際に感染した挙動を紹介。第3回ではランサムウェアの感染経路を紹介した。

ランサムウェアの脅威動向の最後となる今回は、どうすれば感染を防げるか、そして暗号化されたファイル復元の手段などを紹介したい。

○ランサムウェアにどう対処する?

さて、ランサムウェアへの対策は何が有効か。まとめると以下のようになる。

・不審なメールの添付ファイルは開かない

・OSやアプリケーションをつねに最新の状態に

・セキュリティソフトをインストールし、こちらも最新の状態に

・必要なファイルのバックアップを取っておく

これまで何度もいわれてきたことだが、これらがランサムウェア対策の基本だ。感染経路でも触れたように、スパムメールの多くは英文(最新の攻撃では日本語メールも出現しつつあるが)。送信元などを確認すれば、気が付くことも多いはずだ。

また、不正広告はOSやアプリケーションの脆弱性を悪用する。逆にいえば、修正パッチが当たっていれば、脆弱性を突かれてランサムウェアをダウンロードすることはない。そして、セキュリティソフトは、少なくとも既知のランサムウェアならばほぼブロックするだろう。

加えて実行したいのが、バックアップである。ランサムウェアは、拡張子で暗号化するファイルを決定する。そのほとんどは、ユーザーの作成したファイルだ。ドキュメントやライブラリフォルダだけでも、バックアップしておくことで対策となる。できれば、専用のバックアップソフトで、定期的にバックアップを行いたいところだ。

●セキュリティベンダもランサムウェア対策を重視
ランサムウェアの流行を受け、セキュリティベンダ各社もランサムウェア対策に力を入れてきている。国内で一般的な個人向けセキュリティがどのようなランサムウェア対策を講じているかをまとめてみた。

・トレンドマイクロ
任意のフォルダに対するアクセスを制限し、正規プログラム以外のアクセスを防止する。さらにデータの自動バックアップを実施するほか、レピュテーションで、不審なメールのブロック、不正なサーバ(暗号化で通信)との通信を遮断する。
・ノートン
シマンテックセキュリティレスポンスによって解析され、更新された定義がLiveUpdateを介して直ちに配布。また、ファイルのエミュレーション機能や、攻撃のパターンを識別することで定義ファイルなしで脆弱性を防御する機能、多層防御も備える。
・マカフィー
インテリジェンスフィードを厳重に監視することで、ランサムウェアの活動を事前にストップする。次世代マルウェア対策エンジンで脅威のふるまい検知と機械学習によるマルウェアの自動検出・ブロックを実施する。
・ESET 従来搭載してきた多層防御に加え、ランサムウェアの特徴的な挙動をメモリ内で検知し、データが暗号化される前に防御する。
・カスペルスキー
システムウォッチャーでランサムウェアの行動を監視。保護対象ファイルのコピーをローカルに保持し、ランサムウェアによって変更された部分を復元する。

各社ともに、ランサムウェア対策には傾注している。カスペルスキーやトレンドマイクロはランサムウェア対策にかなり力点を置いており、トレンドマイクロでは暗号化の挙動を検知してデータの自動バックアップを行い、カスペルスキーはシステムウォッチャーによる監視を2015年のバージョンで導入している。

ESETでは最新版でランサムウェア対策を盛り込み、その挙動をメモリ上で検知し排除する機能を取り入れた。ノートンはコミュニティの規模が大きく、レピュテーションなども信頼性が高かった。その長所はいまでも受け継がれている。

感染経路で紹介したように、スパムメールや脆弱性の悪用もある。セキュリティ対策ソフトの基本機能の1つであるスパムメール検知なども有効にしたい。

●暗号化型ランサムウェアに感染してしまったら
先述のように、きちんとランサムウェア対策を施しているのであれば、ランサムウェアに感染する可能性はきわめて低い。

しかし、新種や亜種などに感染する可能性は否定しきれないし、ちょっとしたミスをしてしまうこともある。端末ロック型ならば、ランサムウェアの駆除を行えば、問題は解決する。しかし、暗号化型の場合は、データが暗号化されたままとなる。

○身代金は支払ってはいけない

では、どうすべきか。やっていけないのは、身代金を支払うことだ。その理由は3つある。1つ目は、身代金を払っても、復号キーを入手できる保証はどこにもないからだ。前述のように、攻撃者は身代金を支払わせようと、さまざま策を弄する。それに乗ってはいけない。

2つ目は、攻撃者を潤すことは、ランサムウェアの被害を拡大させることになるためだ。資金を得た攻撃者は、さらに新たなランサムウェアの開発を行う余裕が生まれる。この連鎖を断ち切るためにも、身代金の支払いは決して行ってはいけない。

そして、最後は、身代金を支払うことで、攻撃者から第二、第三の攻撃の対象となる可能性があることだ。一度身代金を支払うことで、再度ランサムウェアに感染したら、また身代金を支払うと攻撃者は思うだろう。格好の標的となりかねない。

○無償公開の復元ツールが試用できる

では、暗号化されたファイルの復元はあきらめるしかないのか?

一筋の光明ではあるが、一部のセキュリティベンダでは、復元ツールを無償公開している。まずは、これを試すことが最初の方針となるだろう。まずはトレンドマイクロ。CryptXXX、TeslaCryptなどに対応する(詳細は下記のWebサイトを見ていただきたい)。

次いで、カスペルスキーの復元ツール。最初は、ランサムウェアのRannohによって暗号化されたファイルの復元を目的に公開された。その後、機能追加により、CryptXXXにも対応する。使用方法などは、Webページを参考にしてほしい。

ESETは以下の通り。TeslaCrypt V3、TeslaCrypt V4というランサムウェアに対応する。

続いて、マカフィー。LeChiffreというランサムウェアに対応する。LeChiffreは、Blowfish方式を使用してファイルを暗号化する(暗号化のアルゴリズムは、下記ブログに詳しく解説されている)。第3回紹介した経路で感染するランサムウェアと異なり、手動で暗号化を行う。

最後に、NO MORE RANSOM!のランサムウェア復元ツール。NO MORE RANSOM!は、欧州刑事警察機構(ユーロポール)、オランダ警察、Intel Security、Kaspersky Labがランサムウェア関連の情報を掲載するプロジェクトだ。

NO MORE RANSOM!では、複数のセキュリティベンダーの復元ツールをダウンロードできる。本稿執筆時点(2016年11月)では、7つの復号ツールをダウンロードできる。

・WildFire Decryptor

・Chimera Decryptor

・Teslacrypt Decryptor

・Shade Decryptor

・CoinVault Decryptor

・Rannoh Decryptor

・Rakhni Decryptor

ツールによっては、上述したセキュリティベンダーの復号ツールのダウンロードリンクとなっていることもある。ランサムウェアの種類がわかれば、そのランサムウェア用の復元ツールを使う。

○過信は禁物、「必ず復元できる」ものではない

注意すべきことは、いずれのツールもすべてのランサムウェアに対応するものではないし、暗号化されたすべてのファイルが復元可能というわけでもない点である。

今回、多少、重複しても、複数の復元ツールを紹介したのは、できるだけ試してみることでひょっとしたら、復元できることもあるかもしれない。そんな可能性に期待したかったからである。

まずは、これらのツールを使ってみることが一歩である。決して、身代金を支払ってはならない。各社とも、ランサムウェアの分析を進めていくなかで、復号ツールも対応を広げていくと予想される。今回、紹介した復元ツール以外にも、新たに登場したり、バージョンアップが行われる可能性もある。できる限り、情報収集を行うべきであろう。

さて、ランサムウェアに限ったことではないが、ウイルスに感染してから対応を行うのは、どうしても時間と労力がかかる。やはり、ウイルスに感染させない対策を十分にとることこそ、最善のウイルス対策といえるだろう。

(c-bou)