大流行中の身代金ウイルス「CrytoLocker」に要注意!

写真拡大 (全2枚)

ユーザーのデータを勝手に暗号化して300ドルを請求してくる、超悪質なウイルスへの対処法。

普段通りパソコンを使っていたら、知らない間にファイルがすべて暗号化されていてアクセスできない。突然画面に警告が表示され、「96時間(4日)以内に300ドルを支払わないと、すべてのファイルを永久に失うことになるでしょう」と告げられる。画面上ではすでにカウントダウンが始まっており、刻々と時間が刻まれていく。

これが今流行中のコンピューター・ウイルス「CryptoLocker」だ。データの身代金を要求する悪質なトロイの木馬型ランサムウェアであり、CryptoLockerはそのなかでも高額な身代金を非常にシビアなデッドラインで請求する最新かつ最凶のウイルスである。さらに困ったことに、これまでに例を見ないペースで世界中に広まっているという。

身代金を要求するわけだからこのウイルスの作成者を突き止めることが出来そうなものだが、実際はそう上手くいかないようだ。CryptoLockerはMoneyPakまたはBitcoinからの支払いしか受け付けず、これらの支払いシステムは分散型の金融構造であるためにお金の流れを追う事が困難となっている。

残念ながら、今我々にできることはこのウイルスの実態について最新の情報を集め、事前に感染を防ぐ以外になさそうだ。そこでWatchguard Security社のコーリー・ナチュリーナ氏に話を聞いてみた。

感染を防ぐには

ナチュリーナ氏によれば、CryptoLockerはその感染スピードゆえに極めて危険だと言う。「弊社には既に多くの問い合わせが寄せられています。これほど顧客の関心度が高いウイルスは久しぶりです。」

米国のコンピュータ緊急対応チームによると、CryptoLockerはUPSやFedExの荷物配送に関する問い合わせメールを装うことで広まっており、その対象は米国に限ったものではない。

実際の感染方法についてだが、ただメールを開いただけではパソコンは感染しない。メールに添付されているzipファイルをダウンロードして開かなければ問題はないとナチュリーナ氏は説明する。ちなみにこのzipファイルには、「.pdf.exe」という拡張子が2つ付いたいわゆる「二重拡張子」のファイルが入っている。「.exe」が付いた実行ファイルによってCryptoLockerはパソコンにインストールされるのだが、「.pdf」という無害な拡張子がこのファイルの実態を隠してしまうというわけだ。

コンピュータに慣れ親しんでいるユーザがこの手口に引っかかるとは思えないが、感染が拡大している原因には時期的な問題もあるとナチュリーナ氏は指摘する。そもそもCryptoLockerが2013年のもっと早い時期ではなく9月に登場した理由も、クリスマスや年末に向けて物流が増加するタイミングを狙ったものと見られる。

「この季節はホリデー•ショッピング・シーズンと重なり、インターネットでの買い物が増える時期です。よって多くの人は配送に関するメールをあまり疑いません。おそらく今後はアマゾン等のショッピングサイトのメールを装うこともあるでしょう。」

今のところCryptoLockerのターゲットはWindows7、Vista、XPに限られているようだが、ナチュリーナ氏によればWindows8やMacが感染する可能性もゼロではないようだ。

では我々は何をすればよいのだろうか。まずはアンチウイルス・ソフトを更新して実行しよう。しかしそれだけでは万全とは言えない。すべてのファイルのバックアップを行い、特に共有ファイルがある場合は注意しよう。CryptoLockerはまず最初に共有ファイルから攻撃する性質を持っているからだ。

また、一部の善意ある開発者たちが対策ツールを無償で公開してくれている。例えば「CryptoPrevent」は二重拡張子のファイルをコンピューターにダウンロードできないようにし、CryptoLockerの侵入を未然に防いでくれる。

もし感染してしまったら?

万が一CryptoLockerに感染してしまったらどうすればよいのだろうか。まずはウイルスが表示する警告と真逆の行動を取ることから始めよう。警告画面には「パソコンをインターネットから切断したり電源を切るな」と表示されるが、この両方を敢えて行うのだ。

「ウイルス作成者はそもそも犯罪者なので、本当のことを言うはずがありません。」とナチュリーナ氏は言う。「電源を切ってインターネットから切断することで、感染の進行を抑えることができます。」

もしウイルスがまだ完全にファイルを暗号化していなければ、電源を切ってしまうことで残りのデータを救える可能性もあるのだという。

次に行うのは被害の大きさを調べる事だ。どのファイルを失ったのか、バックアップはしてあったのか?もし自分でバックアップをとっていなければ、Windowsのシステム復元ファイルをチェックして自動でバックアップされていないか見てみよう。

もし自力でなんとかできそうであれば、なるべくCryptoLockerの脅迫には屈してほしくないとナチュリーナ氏は強調する。

「ウイルスの作成者には絶対に身代金を支払うべきではありません。類似のウイルスの発生を助長してしまう恐れがあるからです。」

幸運にもファイルをしっかりバックアップしてあった場合には、各アンチウイルス業者がCryptoLocker消去ツールを出しているのでそれを使うことをお勧めする。普段使い慣れているアンチウイルス・ソフトを選択し、場合によってはチュートリアル等を読みながら消去を実行すると良いだろう。ナチュリーナ氏のブログではBleeping ComputerのFAQが紹介されている。

消去が終わったらバックアップからファイルを復元し、作業完了だ。もう二度と怪しいメールを開くのはやめよう。

身代金を支払うとどうなる?

さて。ファイルのバックアップも無いままこのウイルスの餌食となってしまい、身代金を払うほかどうにもならない場合はどうだろうか。皮肉なことに、CryptoLockerの制作者はこのプロセスを非常に簡単にしてある。

「警告画面に表示された期日に間に合わなかった場合でも奴らは身代金を受け付けます。ただし当初の金額である2BTC(300米ドル)ではなく、一気に20BTCも請求されるのです。」とナチュリーナ氏は説明してくれた。

実際に支払いを余儀なくされた被害者たちの話を聞くと、身代金を払えば暗号化されたデータは本当に解除されるようだ。しかし残念ながら支払ったお金を追跡することは極めて難しい。また、暗号解読キーを使わずに自力で解除できるほど安易な暗号でもないようだ。

「ウイルス作成者が捕まるかどうかは定かでないし、彼らが暗号解読キーをすべて持っているとも限りません。」とナチュリーナ氏は推測している。「たとえ彼らが捕まったとしても、暗号が近いうちに解明されるという保証はどこにもないのです。」

今のところCryptoLockerを阻止する手段は見つかっていない。一番重要なことは、CryptoLockerの存在をなるべく多くの人に知ってもらい、人々が感染する前にその危険性を認識してもらうことだとナチュリーナ氏は強調した。

「まずは自覚することから始まります」と彼は言う。「あなたの同僚や家族にこのウイルスの存在を教えてあげてください。」

画像提供:Sophosが作成したCryptoLockerの動画より

Lauren Orsini
[原文]