身代金を要求するウィルス、ランサムウェア。2017年5月に「WannaCry(ワナクライ)」が世界的に大流行したことで、セキュリティ分野ではホットな脅威の一つである。しかし、マカフィーの調査によれば、IT部門に限ったアンケートでもWannaCryの認知度は50%を切っているという。システム担当者、セキュリティ担当者であれば現在のサイバー攻撃で主要な攻撃に一つでもあるランサムウェアについて理解しておいて損はない。そこでランサムウェアについて解説してみたい。

■ランサムウェアの目的

　ランサムとは身代金のことであり、ユーザのデータを人質に取り、データを解放する代わりに身代金(ランサム)を要求することから、ランサム(身代金)ウェアと呼ばれている。

　コンピュータにダメージを与えることを目的としたマルウェアと異なり、一般的にランサムウェアは金儲けを目的としている。金儲けを実現するために、ランサムウェアは通常、以下の3つの機能を備えている。

　1.ファイルの暗号化機能

　2.復号化機能(解読機能)

　3.身代金振込者の確認方法

　これらの機能を持っていることで、身代金が送金されれば、被害者のデータを復旧させる仕組みを作ることが出来る。もし、こういった機能を持っておらずデータを暗号化するだけで、身代金を支払ってもデータが復旧されないのであれば、誰も身代金を支払わない。

　サイバー攻撃であるが、「身代金さえ支払えば復旧するという"信頼関係"が欠かせない」という奇妙なウィルスなのだ。

　この種のランサムウェアとしCerber、Lockyが有名だ。

　実は前述した「WannaCry」は、身代金振込者の確認方法を持っていなかった。そのため身代金を振り込んでもデータが復旧せず、振り込んでも解決しないのなら振り込まないとなり、身代金獲得目的ウィルスとしてはWannaCryは失敗と評価されるに至った。

■身代金詐欺と破壊を目的としたワイパー

　ランサムウェアは前述した通り、身代金さえ支払えばデータが復旧する「ビジネス?」という側面が有る。しかし、中には身代金だけを要求し、データ復旧機能を持たないマルウェアが存在する、これらは一見ランサムウェアのように見えるが、身代金詐欺と破壊だけを目的とした「ワイパー」と呼ばれるランサムウェアとは異なるマルウェアだ。

　Petyaとその亜種のNotPetyaや、ExPetrはデータを暗号化し身代金を要求するため一見するとランサムウェアのように見えるが、データ復号化機能を持っておらず、被害者が身代金を支払ってもデータが復旧されることは無い。そのため「ワイパー」で有るとの見方が強い。このワイパーに対しては身代金を支払うことは無駄なので注意が必要だ。

■対策と予防

ランサムウェアやワイパーの基本的な感染経路はメールの添付ファイルやサイバー攻撃者に改ざんされたウェブサイト経由となるため、以下の対策が有効だ。

　・一般ユーザ

　　ランサムウェアは通常一般ユーザを対象に攻撃を行うため、感染を防ぐには一般ユーザのITリテラシー向上が重要だ。

　　-　不審なメールは開かない、URLをクリックしない

　　-　ウィルス対策ソフトのパターンファイルを最新に保つ

　　-　不要なアプリをインストールしない

　　-　不審なサイトを訪問しない

　　-　Windowsやアプリを最新のバージョンにする

　・システム管理者

　　システム管理者の視点では、自社のウェブサーバ等がランサムウェア配布の踏み台にされないことや、もし社内で感染が見つかった時に、影響を最小範囲に留める施策や、データを復旧する仕組みを持っておくことが重要だ。

　　-　エンドポイントセキュリティの実施

　　-　自社システムの脆弱性アップデート

　　-　ファイルサーバのバックアップ

　　　　※Box等のクラウドストレージサービスではファィル変更時に自動的に版管理が行われるため、もしマルウェアに感染しても一世代前のファイルに復旧することで、データを復旧することも可能だ。