新種のサイバー攻撃に備える 〜 感染したらもうお終い その1
皆さん、いきなりですが、サイバー攻撃に備えていますか ?
本ブログでも、過去に何回か、サイバー攻撃やウィルスについて紹介してきました。
・Iot 日本復活か? それとも破滅か?
・マクロ・ウィルスの逆襲
・シャドーIT
しかし、良い意味でも、悪い意味でも、技術の進歩は早いもので、悪い方の話では、ウィルスも着実に進化しています。
ちょっと古いデータですが、2015年、日本国内でも問題になった、年金機構を狙った「標的攻撃型」のウィルスでは、125万件ものデータが流失したと言われています。
この「標的攻撃型」のウィルスとは、不特定多数ではなく、特定の組織や個人を狙い、情報を盗み取ろうとするウィルスです。
その手口は、年々巧妙化しており、次のようなメールを送りつけ、ウィルスを仕込んだ添付ファイルを開かせたり、あるいはフィッシング・サイトに誘導したりしようとします。
・請求書/注文書の送付
・宅配便の通知メール
・日本郵政からのメール
・マイクロソフトからのプロダクトキー不正利用メール
【 マイクロソフトを騙った偽メール 】
本当に、「あの手この手」で、他人を騙そうとしてきます。よくも、まあ、色々な手口を考えるものだと、逆に感心してしまいます。
皆さん、こんな手口に騙されていないですよね ?
近頃は、上記のような「標的攻撃型」が増加傾向にありますが、それとは別に、以前から存在した「ソフトウェアの脆弱性」を狙った攻撃や、これら脆弱性の隙きを突く「ゼロデイ攻撃」も増えているようです。
「ソフトウェアの脆弱性(Vulnerability/バルネラビリティ)」とは、ご存知の通り、ソフトウェアの欠陥のため、プログラムの設計者が想定していなかった操作が可能になってしまったり、本来は参照できないはずのデータが参照出来てしまったりする事です。
このような「脆弱性=欠陥」が、何故問題になるのかと言うと、外部のプログラム(ウィルス)が、「管理者権限」で動作して、パスワード等の機密情報を盗み取ったり、あるいはデータの書き換えを行って、Webサイトの改ざんを行ったりと、好き勝手な事が出来るようになってしまうからです。
そして、この「脆弱性=欠陥」が明らかになると、当然、ソフトウェア・メーカーは、この「欠陥」を修正しようとしますが、プログラムの修正には時間が掛かります。
このため、プログラムの欠陥が明らかになった時点と、プログラムが修正されるまでの間の「空白の時間」に、ウィスル攻撃を仕掛ける事を「ゼロデイ攻撃」と言います。
メーカーは、「欠陥」が明らかになると、損害賠償責任を回避するために「欠陥」を公表し、さらに、プログラムが修正されるまでの間の予備対策も公表しますが、逆に、この情報を悪用して「ゼロデイ攻撃」を仕掛けようとする者も出てきます。
もう「イタチごっこ」のような状態になってしまいます。
これも少し古いデータですが、脆弱性が多いソフトウェアは、下表のような状況になっているそうです。
順位 | 2014年 | 2015年 |
1 | Microsoft Internet Explorer | Mac OS X |
2 | Mac OS X | Apple iOS |
3 | Linuxカーネル | Adobe Flash Player |
4 | Google Chrome | Adobe Air SDK |
5 | Apple iOS | Adobe Air |
MicrosoftとLinux、そしてGoogleは、セキュリティ対応を強化しているようですが、AppleとAdobeは逆に、脆弱性が増加しているようです。
Apple社は、Adobe社の「Flash Player」を、「セキュリティ対策が悪い」と非難して、「Mac OS」や「iOS」では「Flash Player」のサービスを提供していませんが・・・他人の事を非難する前に、自分達のセキュリティを強化すべきなのかもしれませんね。
また、Google社も、以前から「Flash Player」の脆弱性を問題視しており、昨年の春以降、自社が提供するブラウザ「Chrome」では、Flashサービスの廃止に向かって着実に歩みを進めています。
但し、上記とは別に、ソフトウェア・メーカー自身が、脆弱性を報告していますが、その報告件数を比較すると、次のようになっているみたいです。
順位 | メーカー名 | 報告件数 |
1 | Microsoft | 1,561件 |
2 | Adobe | 1,504件 |
3 | Apple | 1,147件 |
4 | Oracle | 370件 |
5 | 317件 |
全て、IT業界では、有名なメーカーばかりですので、ソフトウェアを使うのが怖くなってしまいます。
さらに、上記以外の攻撃となると、次のような攻撃も増えていると、警視庁も警告を発しています。
●「オープンプロキシサーバー」への探索行為
「プロキシ」とは、「プロの騎士」ではなく、インターネットの接続を中継したりする「代替サーバー」です。
しかし、主に、設定ミス等により、本来は、外部からは利用不可となっているべきものが、不正アクセスにより乗っ取られてしまい、「DDoS攻撃」の踏み台として利用されてしまうケースが増加しています。
また、一般のPCも同様で、パスワードを設定せずにインターネット接続を行っていると、外部からPCが乗っ取られてしまい、そのPCが、攻撃用の「プロキシ・サーバー」として利用されてしまうケースもあります。
※DDoS攻撃:Distributed Denial of Service attack
●インターネット・バンキング不正利用
「フィッシング(Phishing)」等により、偽のWebサイトに誘導され、インターネット・バンキング用のID/パスワードを盗まれ、その後、不正送金などにより、貯金を盗まれるケースが増えています。
従来は、大手金融機関やクレジット会社が対象でしたが、近頃では、信用組合や信用金庫などにまで手口が広がって来ているそうです。
ちなみに、「偽の情報で相手を釣る」事から、「Fishing(釣り)」と勘違いしている方も大勢いるようですが、正しくは、上記の通り「Phishing」となります。
語源は、確かに英語圏では「Fishing」のスラングと言う説と、「Phreaking(音声による不正行為)」から来ていると言う説があるそうです。
しかし、近頃、猛威を振るっているのが「マルウェア」の一種となる「ランサムウェア」と呼ばれるウィルスです。
別名「身代金ウィルス」とも言われており、このウィルスに感染してしまった個人や企業の内、約70%もの人や企業が、犯人に屈服して身代金を支払ってしまっていると言われている程、今では、非常に恐ろしいウィルスになってしまっています。
そこで、今回のブログでは、この「ランサムウェア」に関して、次の内容を紹介したいと思います。
●「ランサムウェア」とは
●「ランサムウェア」に感染した場合の心構え
●「ランサムウェア」への備え
●「ランサムウェア」に感染してしまった場合の対応
●最近の「ランサムウェア」
それでは今回も宜しくお願いします。
----------------------------------------------------------------------------------
■「ランサムウェア」とは
「ランサムウェア(Ransomware)」とは、前述の通り、「マルウェア」の一種で、複数の亜種が存在している事が確認されています。
しかし、近頃の「ランサムウェア」は、感染したPCのハード・ディスク・ドライブ(HDD)を「暗号化」してしまいます。
そして、「暗号」を解除したければ、「身代金(hostage)」を支払うよう催促するメッセージを出力します。
PCのデータを暗号化する事で、PCとデータを人質(ransom)にして恐喝する手口から「暗号化ウィルス恐喝」とも呼ばれています。
データを暗号化されたPCは、強制終了は出来ますが、データ全てが暗号化されていますので、その後、再起動出来なくなってしまいます。
さらに、これが企業の場合は、感染したPCを踏み台にして、ネットワークに侵入し、さらに複数台のPCを感染させ、最後には、企業全てのPCを占領してしまうことも可能です。
このような状態になってしまうと、企業では、社員に給料も支払えなくなりますし、商品/製品も受発注さえ出来なくなってしまうので、企業業務は完全にストップしてしまいます。
元々、この「ランサムウェア」の始まりは、1989年、「WHO(世界保健機関)」が主催する「AIDS会議」において、「ジョセフ・L・ポップ(Joseph L. Popp)」博士が、「AIDS」、あるいは「PC Cyborg」とも呼ばれている「トロイの木馬」を仕込んだ2万枚のフロッピー・ディスクを配布した出来事とされています。
そして、このフロッピー・ディスクを差し込んだPCでは、PCがロックされてしまい、画面に、下記の身代金要求メッセージが表示されたそうです。
幸いにも、この事件では、暗号化技術が単純だったので、直ぐにウィルス作成者、つまり「ジョセフ・L・ポップ博士」が特定され、逮捕されました。
その後は、より高度な暗号化技術を持ちた「ランサムウェア」が登場する事になり、もう、素人レベルでは、暗号化されたデータを復号するのは不可能となってしまっています。
まあ、元々、私を含め、素人さんでは、復号化は無理だと思いますが・・・
また、「ランサムウェア」は、当初、ロシア地域で動きが活発だったようですが、現在では、全世界に拡がってしまい、ウィルスの検知数は、毎年、倍増しているそうです。
さらに、現在では、単独犯ではなく、チームで役割分担をしながら活動している犯罪者集団も確認されているそうです。
・ウィルス作成担当
・ウィルス配布担当
・仲間募集担当
・身代金回収担当
身代金の回収担当などは、どうやって身代金を振り込むの等のテクニカル・サポートまで行っているグループの存在まで確認されています。これら犯罪者集団は、既に、企業体になってしまっているようです。
そして、これら犯罪者集団ですが、どうやら、通常のインターネット空間ではなく、「ダークウェブ」と呼ばれている「闇のインターネット空間」で活動していると言う報告があります。
「ダークウェブ」??・・・皆さん、聞いた事がありますか ?
正直な所、お恥ずかしい話ですが、私は、このブログを書くまで、「ダークウェブ」なる存在を、全く知りませんでした。
よく似た言葉で「ディープウェブ」や「深層ウェブ」と言う言葉やページの事は知っています。
皆さんが、インターネットに接続して見ているページは、GoogleやBing等、検索エンジン各社が、全世界のWebサーバーをクロール(巡回)して集めてきたWebサイトの情報です。
しかし、これらのWebサイトは、ホームページ作成者/企業が、検索エンジン各社に、閲覧を許可したサイトだけを表示しています。
弊社のホームページにも、社員専用ページがあり、このページに関しては、検索エンジン各社のクローラーは、アクセス出来ないようにパスワード・ロックを掛けていますし、アクセスを拒否する指示を行っています。
このため、このようなページに関しては、検索サイトには、表示されませんので、このようなWebページを「ディープウェブ」と呼んでいるのです。
しかし・・・「ダークウェブ」は、「ディープウェブ」とは全く異なります。
そもそも、上記「ディープウェブ」に関しては、URLやパスワードを知ってさえいれば、皆さんが、普段、普通に使っているブラウザで参照可能です。
ところが、「ダークウェブ」に関しては、通常のブラウザでは、絶対に閲覧出来ません。
今回は、話題がちょっと異なるので、詳しい説明は行いませんが、「Tor(トーア)」と呼ばれ、インターネットの匿名性を高めた特殊なブラウザでしか閲覧出来ません。
そのWebサイトの内容はと言うと・・・具体的な表現は避けますが、基本的には、法律に違反する事ばかり掲載されています。
このため、犯罪者集団のスカウトの場や「身代金」の支払い指示の場として活用されているようです。
どうやら、インターネットの世界は、皆さんが知っている世界だけではないようです。将に、「ネットの世界は広大だわ・・・」と言う感じです。
ちなみに、この「ディープウェブ」と「ダークウェブ」、言葉は厳密に使い分けられていないので、どちらも同じ意味合いで使われるケースもあるようです。
ちょっと話が脱線してしまいましたが、次は、「ランサムウェア」への心構えを、簡単にですが、紹介します。
----------------------------------------------------------------------------------
■「ランサムウェア」に感染した場合の心構え
この「ランサムウェア」に関しては、マルウェアの一種であることは、既に紹介した通りです。
このため、このウィルスには、マルウェア同様、次のような行為で感染します。
・メール中のURLアクセス
・メール添付ファイルの開封
右下の画像が、「ランサムウェア」が仕込まれた請求書を騙るメールとなります。
このようなメールに対して、簡単に添付ファイルを開いてしまうと、それだけでウィルスに感染してしまいます。
まあ、右図は英語表記なので、こんなメールは相手にしないと思いますが、2016年頃からは、日本語対応メールも多数送りつけられていますので、注意が必要です。
特に現在では、「RaaS(ラーズ)」と呼ばれるサービス(?)まで提供されており、このサービスを使うと、当然、ウィルス作成ツールは無償提供ですし、メールの文面も、ちゃんと日本語に翻訳までしてくれるそうです。
至れり尽くせりのサービスになっており、「Ransomware as a Service(RaaS)」の名に恥じないサービスを提供してくるようです。全く・・・
さて、この「ランサムウェア」に感染すると、前述の通り、「身代金」を要求されます。
過去には、アメリカ/ロスアンゼルスの「Hollywood Presbyterian Medical Center」のPCが「ランサムウェア」に感染してしまい、業務続行が不可能な状態にまでなってしまったそうです。
そこで、この病院側では、患者の安全、および業務の遂行のため犯人側の要求に屈し「9,000ビットコイン(340万ドル相当)」の身代金を支払ったと報道されています。(※下図、病院側の発表では40ビットコインとなっていますが・・・)
このケースでは、「身代金」を支払った事で、無事に、データを復号化する事ができたようですが、このケースは、本当に「幸運(ラッキー)」だったと言わざるをえないケースとの事です。
つまり、相手は犯罪者集団です。アメリカならマフィアやギャング、日本なら暴力団関係者が多いと思われます。
このような相手に対して、「身代金」を支払っても、暗号化されたデータを復号するキーを、簡単に教えてくれるとは限りません。さらに、要求金額を釣り上げて来る可能性の方が高いと思われます。
このため、「ランサムウェア」に感染してしまったら、次の事を念頭に置いて対処するのが大事とされています。
(1)「身代金」を支払っても、犯人が「解除キー」を教えてくれるとは限らない
(2)「身代金」を支払う事で、別のネット犯罪に巻き込まれる可能性が高い
(3)「身代金」の支払いで、犯罪者集団の活動資金を援助してしまう
将に、「誘拐犯」との対応と一緒です。
不幸にも、「ランサムウェア」に感染してしまったら、上記の点を考えて行動する必要があると思いますが、やはり、それ以前に、次の対応が必要です。
・ウィルスに感染しない様に心掛けた行動を取る
・ウィルスに感染した場合に備えて、常にバックアップを取る
・PC環境は、常に最新の状態を保つ
何度も言われ続けている事ばかりですが、やはり基本に忠実なのが一番重要です。
それと、「ランサムウェア」の種類によっては、一度、暗号化したデータを復号できないウィルスも過去には存在していたようです。
この場合、最終的に、「身代金」を支払う覚悟を決めて、「身代金」を支払っても、データが復旧出来ません。
まずは、後述する「事後対応」を読んで、その上で、今後の身の振り方を決めて下さい。直ぐに、「もうダメだ〜!! 身代金を支払おう!!」とはならない様に、気を付けて下さい。
それと、一部の情報ですが、近頃では、「身代金」を支払えば、データを復旧出来る確率が増えている、との情報もあります。
それは「何故か ?」
犯罪者にとって、これは『 ビジネス 』だからです。
「ランサムウェア」をバラまく犯罪者集団は、遊びで、このような犯罪行為を行っている訳ではありません。
最終的に、「身代金」を取る事が目的の『 ビジネス 』です。
ですから、ビジネスに「悪評」が立つ事だけは、どうしても避けたいのが本音です。
つまり、「身代金を支払ってもデータが復旧出来ない !!」と言う悪評が拡がってしまえば、もう誰も身代金は支払いません。
このため、犯罪者集団も、その辺りの事は、ちゃんと理解して対応を取る、と言う情報が流れていますが・・・まあ確かに正論では、そうでしょう。
しかし、「身代金」を支払えば、100%復旧出来るのか否かは、実際に「身代金」を支払ってみないと解りません。
まずは、「ランサムウェア」に感染しないよう注意するのが始まりだと思います。
----------------------------------------------------------------------------------
■「ランサムウェア」に備えた事前準備
さて、前章にも記載しましたが、「ランサムウェア」への対応策を紹介します。
基本的には、他のウィルス対応と同様、次の様な行動や対応を取る事になります。
(1)ウィルス対策ソフトウェアの導入
(2)対策ソフトウェアのウィルス定義を最新の状態に保つ
(3)不正サイト、危ないサイトには極力アクセスしない
(4)出所不明なソフトウェアは絶対にダウンロードしない
(5)差出人不明のメールの添付ファイルは絶対に開かない
(6)OSや使用ソフトウェアのバージョンを最新に保つ
上記のような対応を取っていれば、100%とは言えませんが、ウィルス対策としては、ほぼ大丈夫だと思います。80%位は大丈夫な感じがします。
但し、「OSを最新状態に保つ」と言う点に関しては、メーカーが行う、下記のような対応により、過去には、「痛い目」を見た方も大勢いると思いますが・・・まあ、それは「不可抗力」として諦めるしかないと思います。
・Windows 10 November Update
・Windows 10 Anniversary Update
PCが起動出来なくなってしまったり、急にフリーズしてしまったりと、「Windows Update」を行う事で、まるでウィルスに感染したみたいな状態にはなってしまいますが、「身代金」を請求されることもありませんし、データが暗号化されることもありません。
「フザケルナ〜!!」と言いたい気持ちはよく解ります。
しかし、2〜3週間もガマンすれば、またPCが使えるようになりますし、他のPCに悪影響を及ぼす心配もありませんので・・・そこは我慢のしどころです。
それと、さらに防御力を高めたいのであれば、次のような対応が効果的です。
(7)各PCにアクセス権限を設定する
(8)重要ファイルは事前に暗号化/パスワードを設定しておく
(9)PC/データのバックアップを取得する
(10)PCの起動ディスク/起動USBの作成
ウィルスの最初の足がかりは、末端のPCです。
末端のPCに感染した後、社内ネットワークを経由して、他のPCやサーバーの情報を暗号化します。
このため、個々のPCにアクセス制限を掛けておけば、まあ、感染したPCは諦めるしかありませんが、サーバーへのアクセス権限が無ければ、サーバーのデータはウィルスから守る事は可能です。
但し、サーバー管理者のPCが感染源の場合は・・・次の手段で防ぐしかありません。
それは、ファイルを事前に暗号化しておくか、あるいはファイルにパスワードを設定しておく事です。
事前に暗号化して、さらにパスワード・ロックを掛けておけば、いかに優秀なウィルスと言えども暗号化は出来ませんので、データを守る事が出来ます。
まあ、データを、事前に暗号化/パスワード・ロックしておけば、確かにウィスルからは守れると思いますが・・・データを使う都度、パスワードを入力しなければならないので、使い勝手は悪くなると思います。
そこは、効率性と保全性/安定性の二律背反になってしまいますので、どちらを優先するのか、企業として決断するしかないと思います。
それと、やはり、データやPCのバックアップは必須だと思います。そして、出来れば、バックアップ環境は、通常は、オフライン状態にしておく事が望ましいと思います。
何故なら、「ランサムウェア」は、ネットワーク接続可能なデータは、全て暗号化してしまうからです。
一方、後述する手段を使えば、暗号化されたデータを復号出来るかもしれません。しかし、「復号出来るかもしれない」と言う、根拠のない情報を信頼するよりは、事前にバックアップを取っておいた方が良いと思います。
そもそも、「PCやデータのバックアップを取る」と言う事は、ITを使う上での【 大前提 】です。
これは、何もウィスル対策だけのための作業ではありません。
PCは、何時壊れるのか全く解りません。今、壊れるかもしれませんし、明日、壊れるかもしれません。これは、データを保存しているサーバーも同じことです。
一般的に、PC環境で使われているハードウェア群やソフトウェアは、信頼性が低い物ばかりです。
皆さんも、急にPCがフリーズしたり、ダウンしたりした経験はありますよね。また、ExcelやWordも、急に、ウンともスンとも言わなくなった経験ってありますよね。
その後、PCやソフトウェアを再起動して、これまでと同様に使えれば問題ありませんが、再起動すれば元に戻るなど、誰も保証していません。
購入したばかりのPCなら、無償で修理してくれる保険があるかもしれませんが、もしもサーバーが壊れて、データが消えてしまったら、どうしますか ?
バックアップを取っていなければ、誰も、データを元には戻せません。サーバーは、ホスティングしており、バックアップしてくれているはずだ、と言うケースもあるかもしれません。
しかし、過去には、Yahooの小会社でホスティング事業を行っていた「ファーストサーバー」と言う企業で、サーバー・ソフトの不具合によりデータを消してしまったのですが、バックアップ・データまで消去してしまい、結局、何千社分ものデータが消えてしまったと言う事件がありました。
つまり、現在のIT環境では、何も信用出来ないと思った方が良い、と言うことです。「〜のはずだ」と言う根拠のない期待は持たないで下さい。
故に、ウィスル対応に限った話ではなく、全てに備えて、バックアップは必要と言うことになります。
また、感染したPCに関しては、再起動出来れば良いですが、PCの起動情報(ブート情報)まで暗号化されてしまうケースもあります。
このため、別途、起動ディスクや起動USBを作成して置き、万が一の時のために、備えておけば、90%位までは、対応可能だと思います。95%かな・・・
そして、最後に行っておくべき事しては、「社員への啓蒙活動」を挙げておきたいと思います。
前述の通り、企業において、最初にウィスルに感染するのは、末端の社員のPCです。(これも本当は違うと言う調査結果もあるのですが・・・)
このため、社員に対しては、前述のように、下記の徹底を図るよう、常日頃から教育や啓蒙活動を行う必要があります。
(1)ウィルス対策ソフトウェアの導入
(2)対策ソフトウェアのウィルス定義を最新の状態に保つ
(3)不正サイト、危ないサイトには極力アクセスしない
(4)出所不明なソフトウェアは絶対にダウンロードしない
(5)差出人不明のメールの添付ファイルは絶対に開かない
また、自身のPCにおいて、何か、普段と異なる現象が発生したら、直ぐに担当部署に相談/報告する運用体制を取る仕組みが必要です。
まず、その前に、LANケーブルをPCから抜いた方が良いかもしれませんが・・・
しかし、まあ、近頃のウィルス攻撃の場合、感染して直ぐに症状が現れるなら、まだ良い方で、現在では、PC使用者に気が付かれない様に、密かに動作して「気が付いた時には既に手遅れ」となるケースの方が多いようです。
とは言え、日本年金機能のアホ達のように、ウィルス感染後、3日間も、他の会社/組織から指摘されるまで感染に気が付かず、情報を外部に送信し続けていた・・・なんて事態にならないように気を付ける事が肝心です。
----------------------------------------------------------------------------------
■「ランサムウェア」に感染した場合の事後対応
さて、それでは、いよいよ、PCが「ランサムウェア」に感染してしまった場合の対応について紹介します。
まずは、もう手遅れの感はありますが、該当PCをネットワークから遮断する必要があります。
その後、被害状況を分析し、対応方法を検討する事になるかと思います。
その対応方法ですが、まずは「ランサムウェア」の種類を明らかにする必要がありますが、このブログを書いている時点で、309種類の「ランサムウェア」が確認されているようです。
下記「Malware Hunter Team」のサイトに行けば、次の2つの情報を元に、「ランサムウェア」の種類を特定してくれるようですが、これは、あくまでも過去情報が基礎となるので、新種には対応出来ません。
→ https://id-ransomware.malwarehunterteam.com/
・身代金要求のメッセージ
・暗号化されたデータ
そして、「ランサムウェア」の種類が特定できれば、次の手段を取る事で、PCやデータを復旧する事になります。
(1)「ランサムウェア」の特定
下記サイトのツール、あるいは暗号化ファイルのファイル拡張子を元に、「ランサムウェア」の種類を特定する。(※掲載サイトはトレンドマイクロ社のサイト)
・ID Ransomware :https://id-ransomware.malwarehunterteam.com/
・Crypto Sheriff :https://www.nomoreransom.org/crypto-sheriff.php
・拡張子記載サイト :http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
(2)「解除ツール」による復旧
「ランサムウェア」の種類が特定できた場合、上記「トレンドマイクロ」でも解除ツールを無償提供していますので、このツールを使って暗号化されたファイルを復号します。(※2017年2月時点)
または、Google等の検索エンジンに、「ランサムウェア」の種類と「解除ツール」と言うキーワードを指定して検索すると、各種の解除ツールを紹介するサイトが表示されるので、これらサイトから良さそうなツールをダウンロード(DL)して使用して下さい。
但し、怪しげなサイトからツールをDLすると、別のウィルスに感染したり、意味不明なソフトウェアまで勝手にインストールされたりする可能性があるので注意して下さい。
【 復旧ツール 】
・トレンドマイクロ社 :http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
・カスペルスキー社 :https://support.kaspersky.co.jp/8527
・マカフィー社 :https://www.mcafee.com/japan/security/stinger.asp
(3)バックアップからの復旧
本ブログや各種忠告に従い、バックアップを取得していた場合は、バックアップからデータを復旧させる事になります。
復旧方法は、基本、バックアップ・データからのコピーとなりますので、出来るだけ最新のバックアップを用意して、そこからデータをコピーして下さい。
なお、PC自体が、通常の様に、HDDから起動出来ない場合は・・・もうPCを初期化するしか、対応方法は無いと思います。
その場合、前述の通り、別途作成したりオプションで購入したりした起動ディスク、あるいは起動USBを用いてPCを起動し、Cドライブをフォーマットして、OSを再インストールする事になります。
そして、OSやOffice等のツールの再インストールが完了した後、バックアップ・データからデータを戻す事になります。
(4)「システムの復元ポイント」からの復元
「システムの復元」機能を用いて、ボリュームシャドウコピー(VSS)から復旧する方法もあります。
この「システムの復元」機能ですが、「Windows 7」では、デフォルト(初期値)で有効になっていますが、どうやら「Windows 10」では無効になっている可能性が高い、と言う情報が広まっています。
「Microsoftコミュニティ」でも、「無効になっている」と言う訴えがあったのですが、回答者も、明確な回答は出来ていないようです。
念のため、「システムの復元」の設定を確認した方が良いでしょう。
ちなみに、私の「Windows 10」のPCでは、「デフォルト=無効」になっていました。
(5)「削除ファイル復元ツール」の活用
「ランサムウェア」は、通常、データを暗号化した後、元ファイルを、「上書き削除」してしまいます。
このため、ファイルの復旧が出来なくなってしまうのですが、一部の亜種では、元ファイルを「上書き削除」しないウィルスも存在するそうです。
そこで、余り確率は高くないそうですが、右の「Recuva」等のファイル復元ツールを用いて、元ファイルを復旧出来るかもしれない、との事です。
上記「Recuva」は、「窓の杜」等、無償ツール提供サイトから、無償でダウンロードできます。
そして、誠に残念ながら、上記方法で、データを復旧出来ない場合・・・最終的には、「身代金」を支払う決断をしなければならなくなるケースも出てくるかもしれません。
前述の病院の様に緊急性が高い場合、あるいは企業の業務を続行する必要がある場合、データ復旧に時間が掛けられないケースでは、「身代金」の支払いを選択しなければならなくなります。
これは、当事者の決断ですので、「良い/悪い」の判断を、部外者が、簡単には判断出来ないと思いますが、「身代金」を支払う場合でも、今後のために、暗号化されたデータは保存しておき、調査機関に提出した方が良いと思います。
----------------------------------------------------------------------------------
■最近の「ランサムウェア」
「ランサムウェア」」に関しては、その出現当時から、「人質」を取って「身代金」を要求すると言うコンセプトは変わりません。
何が変わって来ているのかと言うと、次々に亜種を作成して、解除ツールと「イタチごっこ」を繰り返す事以外では、次のような点が変わって来ているとの事です。
・私書箱を使用した身代金回収から「Tor」を用いたビットコイン回収
・仕組みの複雑化(レジストリまで暗号化)
・PCのみならずスマートフォンまで被害拡大
特に、スマートフォンへに被害拡大は深刻になってきているようで、「Android端末」の被害は深刻です。
以前から、スマートフォン向けのウィルスの存在は問題になっており、「Android端末」向けウィルスは拡がり続けています。
一方、4〜5年前ならば、「iPhone」に関しては、『 Apple社がスマホ用アプリを厳密にチェックしているからウィスルなど存在しない。』と言われていましたが・・・今では、この神話も、崩れ去ってしまっています。
それでも、「iOS」は、「Android OS」に比較すれば、まだマシの状況のようです。
そして、スマートフォン向け「ランサムウェア」ですが、こちらは、データを暗号化するのではなく、「端末ロック型」が多いのだそうです。
スマートフォンへの感染ですが、これは他のウィルスと同様、アプリに見せかけて、不正ウィルスをインストールさせる手口になっています。
そして、ウィルス感染を防ぐためには、次の様な対策が必要です。
(1)正規のアプリストアからのみインストールする
(2)セキュリティ・ソフトウェアを導入し最新に保つ
(3)外出先で怪しい「Wi-Fi」には接続しない
(4)定期的なバックアップを実施する
PCの場合、「身代金」の相場は3万円程度と言われていますが、スマートフォンの場合は、ちょっと安めの1万円前後となっているようです。
これも、「思いやり」でしょうか・・・・
ちなみに、「身代金」の支払いは、「iTunesギフトカード」での支払いを要求するようです。
そして、スマートフォンにおけるウィルス駆除方法ですが、これはAndroid端末のみですが、次の手順となっています。
(1)スマートフォンをセーフモードで起動する
(2)アプリ一覧から次のアプリを削除する
①My Application
②System Update
現状、この程度の対応策しか無いようですが、スマートフォンを「セーフモード」で起動できない場合は、初期化するしか対応策は無いようです。
ちなみに、下記窓口に連絡すれば、最新の対応策を教えてくれるようです。
・警察のサイバー犯罪相談窓口:03-3431-8109(警視庁)
・IPA(情報処理推進機構) 情報セキュリティ安心相談窓口:https://www.ipa.go.jp/security/anshin/index.html
・各携帯事業者の相談窓口
----------------------------------------------------------------------------------
今回は、「ランサムウェア」に関して、次の情報を紹介しましたが、如何でしたか ?
●「ランサムウェア」とは
●「ランサムウェア」に感染した場合の心構え
●「ランサムウェア」への備え
●「ランサムウェア」に感染してしまった場合の対応
●最近の「ランサムウェア」
過去のウィルス犯罪は、自身の能力の誇示が、その主たる目的でしたが、現在では、これまで説明して来た通り、「犯罪ビジネス」になってしまいました。
このため、「ランサムウェア」の作成ツールや翻訳ツールまで、サービスとして提供するようになってしまっています。
その昔は、「超アタマの良い」技術者しか作成できなかったウィルスが、今では、バカでも使えるようになってしまったので、犯罪件数も「うなぎ登り」状態となっています。
「ランサムウェア」が拡散する状況は、その昔、「オレオレ詐欺」が現れた当初と似たような状況となっています。
「オレオレ詐欺」、今では『特殊詐欺』と総称されるようになってしまいましたが、これも、指南書、ツール等、全てが事前に準備された「ビジネス」になってしまっています。
私は、今後、この「ランサムウェア」が、ウィルスの主流となり、もっと広範囲に拡散し、「犯罪者集団」の利益の源になってしまうのではないかと危惧しています。
ウチの会社で、防御ソフトウェアが作れれば良いのですが・・・何分、専門分野が異なるので、弊社では何とも出来ません。
勝手な言い分で、誠に申し訳ないとは思いますが、情報セキュリティ会社の方達には、もっと頑張って欲しいと思います。
次回の、このシリーズでは、以前も取り上げた「IoTの危険」について、再度、警鐘を鳴らしたいと思っています。
それでは、次回も宜しくお願いします。
以上
【画像・情報提供先】
・Wikipedia(http://ja.wikipedia.org/)
・日本マイクロソフトの情報(https://news.microsoft.com/ja-jp/2017/01/12/170112_information/)
・トレンドマイクロ(http://www.trendmicro.co.jp/jp/index.html)
・カスペルスキー(http://www.kaspersky.co.jp/)
・McAfee(https://www.mcafee.com/jp/index.html)
・大塚商会(https://www.otsuka-shokai.co.jp/)
・MalwareHunterTeam(http://malwarehunterteam.com/)
・窓の杜(http://forest.watch.impress.co.jp/)
【株式会社 エム・システム】 本 社 :〒124-0023 東京都葛飾区東新小岩8-5-5 5F TEL : 03-5671-2360 / FAX : 03-5671-2361 盛岡事業所 :〒020-0022 岩手県盛岡市大通3-2-8 3F TEL : 019-656-1530 / FAX : 019-656-1531 E-mail : info@msystm.co.jp URL : http://msystm.co.jp/ : http://msystm.co.jp/excel_top.html ブログ : http://d.hatena.ne.jp/msystem/ Facebook : http://www.facebook.com/msysteminc