mailinspector’s blog

安全なメールへのご案内

「身代金」を要求するランサムウェア - 危険性と生存戦略

 

 

 

イントロダクション

コンピュータの画面が突然暗くなり、不吉な赤い警告文が目の前に表示されます。 ファイルが暗号化されました。回復するにはお金を払ってください」このようなメッセージが表示された瞬間、胸がドキドキしてパニックになることでしょう。 このようなタイプのサイバー攻撃が、まさにランサムウェアです。ランサムウェアは、ユーザーのデータを暗号化し、その回復に対する費用を要求する攻撃です。

しかし、もう恐れることはありません。 この記事を通じて、その不安感は少しでも解消されることでしょう。 私たちはこの記事でランサムウェアとは何か、どのように私たちの日常生活に浸透するのか、そしてどのように予防し、対処できるのかについて説明します。

 

 

 

1.定義

 

 

ランサムウェア(Ransomware)は身代金を意味するRansomとマルウェアを意味するMalwareの合成語で、ユーザーの同意なしにコンピュータに侵入してユーザーのデータを暗号化させ、その復号化キーを得るためにユーザーに身代金を要求する悪質なソフトウェアを指します。ランサムウェアに感染したコンピュータで暗号化が完了する前に再起動をすると、「あなたのコンピュータはランサムウェアに感染しました」というテキストが表示されます。ファイルを暗号化した後は、プログラムが実行される時点で300ドル相当の対価を要求し、3日以内に送金をしない場合、2倍の600ドルに増やし、7日が過ぎるとファイルの復元ができなくなるなど、ハッカーは機密性のあるファイルを口実に金銭を要求します。

 

 

 

2.危険性

 

ランサムウェアはモバイルとmacOSだけでなく、現存するほぼすべてのオペレーティングシステムで活動可能であるため、いつでも脅威にさらされる可能性があります。仮にハッカーに金銭を支払ったとしても、ファイルが完全に復元されることを保証することはできず、金銭強奪後そのまま潜伏する場合もあります。 また、被害者のコンピュータファイルを一度に暗号化するため、メモリに負担がかかり、治療をした後でも90%以上性能が低下します。

 

 

3.国際標準案で調べた攻撃方法 

 

 国際標準案は、標的型メール攻撃に備えるため、セキュリティ要件と対応策を体系的に記述した文書です。 特に、国連専門機関に接続されている国際電気通信連合(ITU)に登録されているため、国際的に信頼できる内容です。 メールセキュリティの「教科書」と言える国際標準案でランサムウェアがどのように扱われているのか詳しく見てみましょう。

  ランサムウェア攻撃はしばしばフィッシングまたは標的型メール攻撃で始まり、悪意のある攻撃者は詐欺的なメールを使用して受信者を騙してマルウェアをダウンロードするように誘導します。 つまり、メール内の悪質なランサムウェアが含まれた添付ファイルをダウンロードさせることでユーザーに被害を与えるのです。 これは国際標準案の7.1.2 Malware in Attachment(添付ファイル内のマルウェア)に関連する内容です。

"悪質な電子メールの添付ファイルは、攻撃者が一般的に電子メールで送信されるファイルの中にマルウェアを隠す脅威の一種です。 このような悪質な電子メールの添付ファイルは、文書、実行可能ファイル、さらには画像や動画ファイルとして偽装することができます。これらのファイルは別の拡張子で暗号化されることもあります。実行ファイルを使った攻撃は、送信者アドレスを偽装し、受信者をだまして悪意のある文書を含むメールを開封させることができます。"

ランサムウェアマルウェアの一種と言えるので、上記の方法を活用して被害者にランサムウェア攻撃を行うこともできるでしょう。 では、より具体的にランサムウェア攻撃がどのように実行されるのかについて説明します。

 

一般的なファイルに隠されたマルウェア

ランサムウェアは、多くの場合、無害に見えるファイルを介してシステムに侵入することから始まります。攻撃者は、一般的な文書、実行可能ファイル、またはマルチメディアファイルと思われる添付ファイルにランサムウェアを挿入します。これらのファイルは、記事で言及されたマルウェアの媒体と同じタイプのファイルです。

 

偽装された添付ファイル

記事でさまざまなファイル形式に偽装したマルウェアについて説明したように、ランサムウェアもこのような形式に潜んでいる場合が多いです。 疑いを持たないユーザーがこのような感染したファイルを開くと、ランサムウェアが実行されます。

 

暗号化されたファイルの使用

暗号化された拡張子についての言及は、特にランサムウェアに関連しています。ランサムウェアは、ユーザーのファイルを暗号化し、復号化キーの身代金を要求すると知られています。初期の侵害は、メールに含まれる暗号化されたファイルを介して発生する可能性があり、このファイルを実行するとランサムウェアが活性化します。

 

送信者アドレスのなりすまし(スプーフィング)

この手口は、ランサムウェアを拡散するために使用されるフィッシングメールによく見られます。攻撃者は、送信者アドレスをスプーフィングしてメールを信頼できるソースから送信されたように見せることで、受信者が添付ファイルを開いて誤ってランサムウェアをインストールする可能性を高めます。

 

 

 

4.事例

 

- ワーナー・クライ

 

2017年5月12日、ワームの特性を利用することで強力な伝播力を持つ「ワーナー・クライ」が全世界を襲いました。 企業だけでなく、一般人にも被害を与え、米国、英国、ロシアなど150カ国以上、30万台のPCを感染させ、世界中の病院、銀行、企業などのコンピュータネットワークを麻痺させました。被害額は約40億ドル-80億ドルと推定され、世界的に大きな損失を与えた事例として残っています。

 

- NotPetyaについて

2017年にウクライナを中心に発生したNotPetyaランサムウェア攻撃は、世界中の企業に影響を与えました。 この攻撃は、一般的なサイバー犯罪ではなく、サイバー戦争の一部であり、その結果、数十億ドルに達する大規模な被害をもたらしました。 一般的なランサムウェアとは異なり、ユーザーのファイルを暗号化して身代金を要求するのではなく、システムのファイルを破損させる方法で作用しました。

 

 

 

5.攻撃原理と種類

 

 

ランサムウェアは、電子メールの添付ファイル、フィッシングサイト、ダウンロードファイルなど様々な経路を通じてユーザーのシステムに侵入します。ランサムウェアに感染すると、CPU、ハードディスク、メモリ使用量が急増し、ファイルの暗号化を開始します。これにより、ユーザーは自分のデータにアクセスできなくなります。ユーザーのファイルが暗号化されると、ランサムウェアはユーザーに身代金を支払うようにメッセージを送ります。通常、暗号通貨で身代金を要求し、支払わない場合、ファイルを永久に破損させたり、公開すると脅します。

ランサムウェアは攻撃方式によって様々な種類に分類することができます。代表的なランサムウェアには次のようなものがあります。

 

- 暗号化ランサムウェア(Crypto Ransomware) : 被害者のディスクに保存されたファイルやデータを直接暗号化します。暗号化過程では強力な暗号化アルゴリズムが使用され、一度暗号化されたファイルは、特定のキーがなければ回復が極めて困難です。 暗号化ランサムウェアは主にメールの添付ファイル、悪質な広告、フィッシングサイトなど様々な経路を通じてシステムに侵入します。

 

- ロッカーランサムウェア(Locker Ransomware) : ユーザーの全体システムや特定の機能をロックする方式で動作するランサムウェアの一種です。 このようなランサムウェアは、ユーザーがコンピュータを正常に使用できないようにした後、ロック解除のための身代金を要求します。

 

- スケアウェア(Scareware): これは、偽のセキュリティソフトウェアやクリーンアップツールなどに偽装して、ユーザーを不安にさせて製品を購入するように誘導するランサムウェアです。通常、偽のウイルス警告やシステムエラーメッセージでユーザーを驚かせた後、該当の問題を解決するセキュリティソフトウェアの購入を要求します。

 

- ダックスウェア(Doxware): この種類のランサムウェアは、ユーザーの個人情報を盗んだ後、公開しない身代金を要求します。これは「doxing」という行為から名前を取ったもので、「doxing」は人々の個人情報を収集し、これをインターネットに公開する行為を指します。

 

 

 

6.防止する方法

 

ランサムウェア感染は、セキュリティが不備な場合やメール、偽のウェブサイト、ソフトウェアのダウンロードや悪質な添付ファイルなどを通じて様々な方法で起こります。 したがって、安全でない経路へのアクセスを避け、バックアップとセキュリティ対策をするなどのPCユーザーがセキュリティ管理を徹底するしかありません。

- メールセキュリティ国際標準案を遵守する : 第一、新型マルウェア攻撃の脅威に対応するため、パターンに登録されていない新しいウイルスを検出するための行動基盤分析を実施する必要があります。 第二に、受信メールに含まれる添付ファイルを検査した後、そのメールが悪性と判断された場合、隔離することをお勧めします。第三に、すべてのURLにマルウェアが含まれているかどうかを確認し、接続された複数のURL内の最終URLも追跡する必要があります。

- セキュリティソフトウェアのアップデート:優れた保護機能で検証された代表的なベンダーのウイルス対策ソフトウェアをインストールし、定期的にアンチウイルスおよびセキュリティソフトウェアを最新の状態に維持して、新しいランサムウェアに対する防御力を高めます。

- ネットワークセキュリティの強化: 強力なファイアウォールおよびイントラネットセキュリティを通じてランサムウェアの伝播を防止します。ネットワーク防御の重要な原則を理解することが重要です。暗号化、アクセス制御、監視と検知でセキュリティ事故を事前に予防することができます。

- 定期的なバックアップ:定期的なバックアップが重要な理由は、紛失または破損したデータを復元し、サイバー攻撃から回復することができるからです。重要なファイルは定期的にバックアップし、ランサムウェアに感染したときにデータを回復できるバックアップを保有することが重要です。

 

 

 

7.解決策

 

攻撃者に身代金を支払うことが唯一の方法ではありませんハッカーにお金を支払うことは、ランサムウェア攻撃が成功したことを保証することになるため、同じハッカーまたは他のハッカーからの追加攻撃を引き起こす可能性があります。

まず、感染したデバイスをすべてのネットワーク接続から直ちに切断しますが、デバイスの電源を切らないでください。非常に深刻な場合は、Wi-Fiを遮断し、重要なネットワーク接続を無効にし、インターネットとの接続を切断する必要があるかもしれません。

次に、特に管理者やその他のシステムアカウントを含むパスワードをリセットする必要があります。このとき、復旧に必要なシステムから自分自身をブロックしないように注意する必要があります。

復号化ソリューションが存在するかどうかを確認し、復号化ソリューションが存在しない場合は、システムの復元を試みるか、コンピュータを初期状態に再インストールする必要があるかもしれません。感染したデバイスを安全に完全にフォーマットし、OSを再インストールします。

その後、ウイルス対策ソフトウェアをインストールし、最新バージョンにアップデートした後、実行します。ネットワークに再接続し、ネットワークトラフィックを監視し、ウイルススキャンを実行して残留感染の有無を判断します。

 

今やすべての企業がサイバーセキュリティが単に選択的な要素ではなく、必須の要素として認識しなければならない時代に入りました。ランサムウェアに関連する一連の事件は、私たちにコンピュータシステムのセキュリティ更新の重要性を感じさせます。これにより、私たちはサイバーセキュリティの重要性を改めて認識するようになり、個人的なデータ管理とセキュリティに対する理解をさらに強調するようになりました。 この攻撃を防ぐためには、定期的にデータをバックアップし、信頼できないメールの添付ファイルやリンクをクリックしないように警告してくれる標準を信頼し利用することが必要です。 

 

 

 

参考文献

 

<ノモレランサム>

https://www.nomoreransom.org/en/index.html

<DarkSide Pipelineのランサムウェア攻撃は重要インフラのサイバーセキュリティ向上を促進するか?>

https://www.beyondtrust.com/blog/entry/will-darkside-pipeline-ransomware-attack-fuel-cybersecurity-upgrades-for-critical-infrastructure

<WannaCryptランサムウェア・ワームの標的は旧式のシステムか?>

https://www.microsoft.com/en-us/security/blog/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

<ITU-T勧告>

https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en