第1回

PCを操作不能にしてしまう「ランサムウェア」被害の裏の裏

急増の背景には「サイバー犯罪の分業化」と「ビットコイン」が!?

文/三上洋


身代金目当てのサイバー犯罪「ランサムウェア」の被害が日本で急増中

 セキュリティ、モバイル、クラウドサービスなどに詳しいITジャーナリストの三上洋氏に、昨年から日本でも話題になっている「ランサムウェア」の被害について、その概要と急増の背景について語っていただいた。

三上 昨年12月頃から特に増えているのがランサムウェアの被害です。海外ではすでに一昨年頃から流行していましたが、ここにきて国内でも被害が目立つようになりました。IPA(情報処理推進機構)はもちろん、セキュリティ企業各社も口を揃えて被害件数が増えていると語っています。なかには3ヵ月で50%増という数字まで挙がっているほどです。

 いまさら言うまでもありませんが、ランサムウェアに感染してしまうきっかけは、その多くがメール経由です。ランサムウェア入りの添付ファイルを不用意に開いてしまうと、PC内のデータが暗号化され、そのデータを使う業務が遂行できなくなってしまう。そして同時に「この暗号化を解除したければいくら払え」というような文面が表示される、というのが一般的な手口です。

 要は「PC内のデータを人質にして金銭を要求するサイバー犯罪」ですね。

 絶対数としてはまだ個人狙いが多いのですが、企業を狙ったものも増えており、しかもソーシャルエンジニアリング的な「人間の心理を突く攻撃」が多いことがやっかいです。典型的なパターンとしては健康保険の案内や他社からの報告書といった、会社で働く人間が思わず開いてしまうファイル名に偽装されているようです。

三上氏「海外では、身代金要求に対して払うべきか否かで議論が分かれています。解除キーがわからない限り業務が止まってしまうことを考えると、それによる損失と身代金の額を天秤にかけた場合、支払って暗号化を解除するほうがビジネスとしては得と考えることもできるわけです。社内ネットワークを通じて複数台が一気に感染してしまうケースもありうるので、これは難しい問題ですね」

犯罪者にとっては「新手のアフィリエイト稼ぎ」に過ぎない

三上 ここまでランサムウェア被害が増加した背景には、「犯罪の分業化」が進んでいることが挙げられます。

 いくつかのパターンがありますが、最近目立っているのはアフィリエイト方式の分業です。まず、ランサムウェアを作成している悪徳業者が存在します。その業者は、感染した個人・企業から金銭を回収する手段も備えています。一方、いわゆる犯人は業者からランサムウェアを入手し、標的に対して送りつけているだけです。そして送り付けたランサムウェアが標的を感染させると、業者経由でアフィリエイト的に金銭が手に入ります。集金や匿名化といった面倒な手続きはすべて業者任せにできるというわけです。

 一昨年に起こった、国内初のランサムウェア被害と思われる事例もまさにそのタイプで、犯人は悪徳業者から入手したランサムウェアの一部を日本語化して送りつけていました。この、ある種スマートな仕組みこそ、ランサムウェア被害が世界中で拡大した理由の1つと言えます。

 そしてもう1つ見逃せないのが、ビットコイン(仮想通貨)の一般化です。

 犯人側は、ランサムウェアで暗号化したデータを人質にして金銭を要求するわけですが、ほとんどの場合ビットコインでの支払いを要求してきます。これは受け渡し時に身元を隠す手段として仮想通貨は使い勝手がよいからですが、そもそも「仮想通貨がポピュラーになったからこそ成り立つ犯罪」であるともいえます。

セキュリティ企業は暗号化解除ツールを提供開始

三上 さて、日本でランサムウェアの被害が目立つようになって半年ほど経ち、セキュリティ企業各社からは被害に遭った場合の応急処置の提供が始まっています。たとえばトレンドマイクロでは自社ユーザー以外からの相談にも応じています。被害の特徴からランサムウェアの種類を推測し、解決手段の有無を教えてくれます。また、マカフィーでは一部のランサムウェアについての暗号化解除手段を提供しています。

 なお、これまで最も多くの被害を生み出し、ランサムウェアの代名詞ともなった「TeslaCrypt」(今年1月に話題となった「vvvウイルス」も亜種とみられている)については、セキュリティ企業ESETの要求に対して大元の作者がマスターキーを公開したことで、そのマスターキーをもとにした解除ツールがESETから提供されています。

 たとえ私用PCが感染してしまった場合もあきらめず、暗号化されたファイルの拡張子や脅迫の文面を検索して、ランサムウェアの種類を特定しましょう。もしかしたら解除ツールがすでに提供されているかもしれません。

ランサムウェアの種類によっては、セキュリティ各社から解除キーが提供されている場合も。

リカバーを謳う広告に惑わされず、まずセキュリティ企業に相談を

三上 ただし、ここで注意したいことが1つ。現在、「ランサムウェア 復旧」などの語句で検索すると、「暗号化されたPCを復旧します」などと謳うウェブサイトや広告が多数見つかります。

 これをどう判断するかは難しいところで、私も実際に試してみたわけではないのでなんとも言えません。ただ、復元する=解除キーを所持している、ということですから、それはセキュリティ各社や有志がすでに提供しているものを流用しているのでは、と考えることができます。前述のような広告を出している会社が、独自の解除方法を見つけ出したとは思い難いのです……断定はできませんが。まずは現在使っているセキュリティソリューションの開発元に相談することをおすすめします。

 ちなみに、この件に関してはいわゆるワンクリック詐欺の流れを彷彿とさせるところがありますね。ワンクリック詐欺とは、アダルト動画サイトなどを閲覧していると突然、「これは有料です。お金を払うまでこの画面は消えません。振り込みはこちら」といった文面がポップアップして、それをいくら消しても復活してしまう……みたいなものですが、これも「ワンクリック詐欺」で検索すると、「払ってしまったお金を取り戻します」と謳う広告がいっぱい出てくるんです(笑)

 こういった、セキュリティ被害に対してのリカバーを謳う会社すべてが怪しいとは言いませんが、検索で見つけただけの聞いたこともない会社に頼むよりも、実績の見えるセキュリティ企業に相談したほうがベターなことは確かでしょう。

筆者プロフィール:三上洋

ITジャーナリスト・ライター。東京都世田谷区出身、1965年生まれ。都立戸山高校、東洋大学社会学部卒業。テレビ番組制作会社を経て、1995年からフリーライター・ITジャーナリストとして活動。専門ジャンルは、セキュリティ、ネット事件、スマートフォン、Ustreamなどのネット動画、携帯料金・クレジットカードポイント。毎週月曜よる9時に、ライブメディア情報番組「UstToday」制作・配信。Ustream配信請負、ネット動画での企業活用のお手伝いもしています。