世界中で猛威を振るうコンピューターウイルス。日本の大企業や行政機関でも被害が続出している。サイバー攻撃から会社をどう守ればよいのか。専門家たちに解説してもらう。

プロフィール
つじ・のぶひろ●ソフトバンク・テクノロジーの脅威情報調査室でプリンシパルセキュリティリサーチャーを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティー上の弱点を発見するペネトレーションテストなどを担当する。著書に『あなたのセキュリティ対応間違っています』(日経BP社)などがある。

ランサムウエアにどう対処するか

サイバー攻撃の脅威

 おととし末くらいから日本でもだいぶ被害が報告されるようになってきたランサムウエア(身代金要求型ウイルス)。感染すると、ファイルを暗号化するなどして、パソコンを利用不能にしてしまう。それを元に戻すための対価として身代金(ランサム)を要求してくるところが、ランサムウエアと呼ばれるゆえんだ。暗号化するもの以外にも、画面をロックしてパソコンを使えなくするものなどもあり、必ずしもファイルを暗号化して身代金を要求するものだけがランサムウエアというわけではない。

 暗号化を行うタイプのランサムウエアに狙われるのは、会社のパソコンなら「業務に必要なファイル」だったり、自宅のパソコンであれば「家族写真の入ったファイル」や「趣味(音楽・ゲーム等)で使うファイル」など。要するに、使えなくなっては困るファイルが狙われている。厄介なのは、ウイルスに感染したパソコンだけでなく、社内のファイルサーバーにある「共有フォルダ」などにも被害が及んでしまうこともあるため、ネットワークでつながった周囲のパソコンまで使えなくなってしまう可能性があるところ。とにかくみんなを困らせて身代金を支払わせようとする、非常にいやらしいウイルスなのだ。

脅迫メッセージが画面上に

 ランサムウエアに感染すると、一体どうなるのか。暗号化型ランサムウエア「JIGSAW(ジグソウ)」の例で紹介しよう。

  1. ウイルスに感染すると、パソコン画面に表示された各ファイルのプレビューが真っ白になり、中身が暗号化されていく。
  2. ホラー映画『ソウ』に登場するビリー人形の顔が画面上にあらわれ、「私はあなたとゲームがしたい」という内容のメッセージが表示される(『戦略経営者』2017年7月号P25・図1参照)。
  3. 「あなたのファイルを人質にとった。返してほしかったら、お金を払ってもらいたい」「1時間に1個ずつファイルを消していく」「再起動すると、罰としてランダムでファイルを消していく」などのルール解説がなされる。
  4. 赤いデジタル時計のカウントダウンがはじまる。

 暗号化されたファイルを元に戻す(復号化)ためには、秘密鍵(パスワード)が必要となる。それを入手するためには身代金を払う必要があるが、その支払い方法としては仮想通貨のビットコインが指定されている。現金の振り込みよりも、足がつきにくいからだろう。

 このほか、音声で脅迫文を読み上げる「Cerber」や、ドライブを読めなくし、結果的にOSを起動できなくしてしまう「Petya(ペチャ)&Mischa(ミーシャ)」などもあるが、パソコンを人質にとって身代金を要求してくる点は変わらない。

 IPA(独立行政法人情報処理推進機構)の資料によると、ランサムウエアに関する相談件数は、2015年末から2016年初頭にかけて約2.5倍に増えたという。なぜこの時期に急増したかというと、ランサムウエアをばらまくことによってお金もうけができる〝ビジネスモデル〟が確立されたのが、ちょうどこの時期だったからである。

 実は、ランサムウエアを実際にばらまいているのは、その開発者だけというわけではない。自分でばらまくのはあまりに非効率だからだ。中小企業のなかにも営業代理店(パートナー企業)を募って、自社製品の販売をしているところがあるが、それと同じ構図がランサムウエアの世界にも存在するのである。なにゆえ彼らが、ランサムウエアのばらまきに協力しているかというと、入手した身代金の何割かを報酬としてもらえるから。現にその料金表(同P18・図2参照)が出回っており、1週間で5ビットコイン未満(1ビットコイン=10数万円~20数万円で推移)の稼ぎだと分け前は25%だが、125ビットコイン以上を稼いだら、そのうち85%が自分のもうけとなる。つまり、元締めよりも多く稼げるわけだ。

メールの添付ファイルで感染

 ランサムウエアの感染経路は、ほかのコンピューターウイルスとさほど変わらない。大別すると、①メール添付②ウェブサイト改ざん③悪意のある広告の3つがある。

 ①メール添付については、例えばこんな手口があった。配送業者を装って「荷物を届けられなかったので、注文番号を確認してください」と記したメールを送り、ウイルス付きの添付ファイルを開封させる──。巧妙だったのは、ファイルの拡張子を「PDF」に偽装していたところ。実際は、「実行ファイル(拡張子はEXE)」と「画像ファイル(拡張子はGIF)」の2種類のファイルが仕込まれたものだった。画像ファイルのほうは配達記録の内容で、もう一つの実行ファイルがウイルスをパソコンに感染させた。

 なぜ拡張子がPDFだったのに、EXEファイルとGIFファイルが開いたのか。実はこのファイル、アドビ社のPDFのファイルのように見せかけているだけで、本当の拡張子はまるで違う。このときメールで送られてきたファイルの名前は、「EMS~略~AT5886488RRCS.PDF」。最後のほうの「RCS.PDF」と、その1文字前の「R」との間に目に見えない制御文字を入れることで、あたかもPDFファイルのように見せかけていたのである。

 米国や日本のように文字を「左から右」に読むのは、世界共通というわけではない。アラビア語などは「右から左」に読む。こうした言語を使う際に用いられるのがRLO(Right-to-Left Override)という制御文字で、これをRとRの間に入れていた。つまり「~FDP.SCR」と反転させた形が正しいわけだ。「SCR」というのは、スクリーンセーバーの拡張子。EXEファイルと同じように実行して動く形式のものである。このような騙しのテクニックは、「RLOを利用したファイルの拡張子偽装」と呼ばれている。

 ただ最近は、実行形式のファイルそのものを添付してくるパターンは減りつつある。代わりに増えているのが、「ジャバスクリプト(JavaScript)」など、スクリプトファイルをメールに添付する手法だ。そのファイル自体はウイルス的な動きはしないが、感染すると外からウイルスをダウンロードしてくる。こうした手口が増えた背景には、サンドボックスという製品の存在がある。これは、外部からきたプログラムを保護された領域で実行して、おかしな動きをしたら「危ない」と教えてくれる役割を果たすもの。ソフトウエアメーカー各社が製品化している。しかしジャバスクリプトの添付ファイルについては対象外としているメーカーもあり、その隙を突こうとする攻撃者が増えてきている。

広告やサイトを表示したら

 つぎに②ウェブサイト改ざんについてだが、千葉県・房総半島の観光情報サイトが改ざんの被害にあったことを知り、調査したことがある。詳しく調べてみると、このサイトにアクセスすると、自動的に別サイトに飛んでしまい、ウイルスがダウンロードされるように改ざんされていることが分かった。つまり、攻撃者が改ざんしたサイトにアクセスするだけで、ウイルスに感染してしまうわけだ。ブラウザー上では何の変化もないため、ウイルスに感染したことになかなか気づきにくい。

 またウイルス感染以外にも、改ざんされたサイトにアクセスしただけで、パソコンを乗っ取られたり、大事なファイルをこっそり盗み出されたりする場合もある。映画やゲームのように、急にパソコン画面が爆発するといった見た目に派手な攻撃はあまりないが、静かに、そして、確実に被害を与えてくる。

 そして③悪意のある広告は、ウェブサイトに表示される広告の脆弱(ぜいじゃく)性を利用して、ウイルスを感染させたり、ファイルを盗んだりするものだ。その広告を表示するだけで感染してしまう。malicious(悪意のある)とadvertising(広告)の言葉をくっつけてマルバタイジング(malvertising)とも呼ばれている。特に攻撃者に狙われやすいのが、動画に使われる「Flash(フラッシュ)」である。こちらについては最新版を常にインストールして、脆弱性を悪用されないようにしておくことをお勧めする。

感染前と感染後の対策

 さてここからは、ランサムウエアの脅威にどう対処すればよいかについて述べていきたい。「事前の策」と「事後の策」の2つにわけて説明しよう。

 ランサムウエアに感染しないための「事前の策」としては、「ウイルス対策ソフト」と「脆弱性修正プログラム」の2つが重要となる。パソコンにウイルス対策ソフトを入れて、パターンファイルを最新にしておくことはもちろん、OSやアプリケーションに関しても修正プログラムで最新の状態に保っておくことが求められる。

 とはいえ、自分が使っているパソコンにどんなソフトが入っているかをきちんと把握している人はそう多くないだろう。パソコンにもともと入っていたソフトについては、自分でインストールした意識がないぶん、いくら注意喚起してもスルーされるおそれがある。まずは、自分が使っているパソコンの中にどんなソフトがあるのかをチェックしておきたい。システム管理者の方においては管理しているリソースの中にどういったものがあるのか、それらは最新であるのかといったことを明確にしておくべきである。

 つぎに、ウイルス感染してしまってからの「事後の策」についてだが、これは「バックアップからの復元」が基本になる。たとえ業務に使っている重要なファイルが暗号化されたとしても、それと同じものがバックアップとして保管されていれば、OSを再インストールしたうえで復元が可能なのだ。

 ただ、ファイルサーバーはきちんとバックアップを取っていても、社員一人ひとりに貸与しているパソコン(クライアントPC)のバックアップはなおざりになっている会社は多いので注意が必要である。また、バックアップしたデータを元に戻すためのテストをしたことがないという会社もわりと多い。バックアップを取っていても実際に元に戻せなければ意味がない。復合化・復旧の手順をしっかり確認しておくべきだ。 

 しかしバックアップを取っていても、さまざまな理由で元に戻せなかったり、戻せたとしても「数週間前の状態に戻すのがやっと」というケースもあるだろう。それで会社が取り返しのつかない不利益を被るくらいなら、決して推奨はできないが、金銭(身代金)を支払ってしまうことも一つの選択肢になり得る。

 米国のある病院では、ランサムウエアに感染して院内のコンピューターが使えなくなったことで業務が回らなくなり、患者を優先するために苦渋の判断のもと、金銭の支払いに応じた。専門家の中には、身代金を払っても暗号化されたファイルを元に戻してもらえないという人もいるが、これは元に戻せた事例である。確かに元に戻してもらえないこともあるが、元に戻らないと言い切れるものでもない。なぜか。攻撃してくる人間は、あくまでお金のためにやっている。金銭を支払っても元に戻らないという事例が広まれば、誰も払わなくなる。そうなったらビジネスとして成立しない。だから元に戻してもらえるケースは意外とあるのだ。

 むろん金銭の支払いを推奨するつもりはない。ただ患者の命や会社の資産を守るためにお金を払うことを選択した人たちを責めることは、誰にもできないだろう。もしも会社のシステムを元に戻せなかったら数千万円の被害があるとしたら、身代金として要求された数万円から十数万円を支払うことも、経営判断のひとつの選択肢として残しておくことは、ナシではないと思う。

 以前、自宅のパソコンがランサムウエアに感染して、子どもが小さい頃から撮りためてきた写真データをすべて暗号化されてしまった女性にインタビューをしたことがある。バックアップを取っていた外付けHDDを感染したパソコンに誤ってつないでしまったこともあり、打つ手はなし。ほぼ毎日、掃除機をかけることを日課にしていたほどきれい好きな女性だったが、感染してから3日間はそんな気も起きずに、うつの一歩手前の状態にまで追い込まれたという。データ復旧会社を頼ることも考えたが、見積金額が数十万とあまりに高額だったため、イチかバチかで約7万円相当の身代金(ビットコイン)を払うことにした。知人に助けてもらいながら何とかビットコインを送金したところ、データを元に戻すことができた。

基本を忘れてはならない

 いずれにせよ、情報セキュリティーはしっかりとした〝情報管理〟があってはじめて成立する。「どんなソフトウエアを使っているかを把握する」「どんな公開メールアドレスがあるのかを把握する」「バックアップをきちんと取っておく」といった、情報管理ができている上にしか絶対に成り立たないのだ。マンションは土台がしっかりしていないといずれ傾く。そんなマンションには、セキュリティーがいくら万全だといっても住みたくはない。基本ができてこそはじめて、情報セキュリティーが生きてくるということを覚えておいてほしい。

(構成/本誌・吉田茂司)

掲載:『戦略経営者』2017年7月号