本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「ランサムウェア」ってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマ「ランサムウェア」は、インターネット上で暗躍する誘拐犯。ファイルの破壊や暗号化という手段でデータを人質に取る新しいタイプのマルウェアです。

1.ランサムウェアとは?

ランサムウェアとは、大切なデータを「人質」に、「身代金」を要求してくる悪質なソフトウェアをいう。その大きな特徴は、目的としているのが「お金」であること。データを破壊、消去したり、暗号化したりするウイルスやワーム自体は従来から存在したが、それはいわば愉快犯のようなものだった。
 しかし2005年あたりから、明らかに金銭を得ることを目的とした悪質なソフトウェアが登場し、「身代金」を意味する英語から「ランサムウェア」と呼ばれるようになった。従来のマルウェアと比べ、ランサムウェアは利益に直結するだけに、手口もますます巧妙になってくる可能性が高い。

2.ランサムウェアの動作

現在発見されているランサムウェアは、「トロイの木馬」の1種で、ウイルスやワームのように自己伝染機能は持たないが、感染後の動作は前述したとおり悪質なものである。

2-1 どうやって感染するのか?

ランサムウェアは、フォルダや画像などのアイコンに偽装した実行ファイルの形や、動画を閲覧するためのコーデックやツールのインストールプログラムに隠された形で、ウェブサイト等に置かれ、興味を持ったユーザがダウンロードして実行することでPCに感染する。ダウンロードして実行してしまわないかぎりは、感染することはないはずだ。

2-2 感染してしまうとどうなる?

現在発見されているランサムウェアは、亜種を含めると相当数存在するが、大別すると10種類ほどになる。それぞれが異なる動作を行うのだが、共通しているのは、ファイルを暗号化するなどの処理を行った後、ダイアログ等を表示してデータを人質に取った旨を伝えてきて、指定の決済システムからの入金や、インターネット薬局などのウェブ店舗からの商品購入を要求してくること。その動作は現実世界における身代金目的の誘拐とそっくりだといえる。

図1 ランサムウェアの動作イメージ

2-3 駆除は可能なの?

データの破壊を単に予告しているだけで、データ自体に変更が加えられていないのであれば、従来のウイルスと同様に、ランサムウェアをPCから除去すること自体はさほど困難ではない。しかし、多くの場合には、すでに暗号化などの処理が行われてしまっているので、プログラムを除去してもデータは戻ってこない。バックアップを頻繁に行っている環境であれば、データ復旧はバックアップからと割り切って、駆除してしまってもよいだろう。

2-4 暗号化されたファイルは、自力で復号可能か?

バックアップもなく身代金も払わないという場合、データを取り戻すには暗号を自力で解読、復号する必要があるが、ランサムウェアには最新のAESなどの暗号技術が使用されており鍵長も長いため、復号には数百年に及ぶ非現実的な時間が掛かる。つまり、自力で復号するのはほぼ不可能だと考えたほうがいいだろう。日ごろウェブユーザの安全な通信を保証してくれる極めてセキュアな暗号技術が、このケースにおいては、逆にユーザのセキュリティを脅かす凶器となってしまう。

2-5 感染してしまうとどうなる?

ランサムウェアの要求に応え身代金を払わざるを得なくなった場合は、パスコードをランサムウェアのプログラムに入力することでファイルの復号を行うので、ランサムウェアの駆除はデータ復旧後となる。ただし、要求に応えれば必ずデータが返ってくるとは限らない。ランサムウェアの目的は、身代金を決済させることであって、信頼関係に基づいた取引ではないからだ。

3.ランサムウェアに有効な対策は?

一旦感染してしまうと、致命的な損害を受けかねないランサムウェアだが、これに対抗するのに有効なものとしては、どのような手段があるのだろうか。

3-1 不審なウェブサイトにアクセスしない

現時点では、ランサムウェアはメールによる連鎖的な感染を行わないので、感染の危険はファイルのダウンロードおよび実行に限定することができる。これらのマルウェアを配布するサイトは、不審なものが多いので、「君子危うきに近寄らず」を徹底することで、感染のリスクを抑えることが可能だろう。

3-2 バックアップを取る

ファイルのバックアップを完全に取れているならば、ランサムウェアに対する対処方法は、単に駆除を行って、バックアップからデータを修復するだけで済む。そういう意味では、最も強力な対策方法はバックアップであるといえるだろう。ただし、注意しておかなくてはいけないのは、RAIDや自動ミラーリングなどの冗長化では、HDDの故障などに対する安全性は得られるが、ランサムウェアのような悪質なソフトウェアに対しては無力である点だ。例えば、ファイルが暗号化されてしまった場合、その改変されたデータにミラーリング先も同期してしまうので、復号しないかぎり、ミラーやRAIDのパリティデータも、元データ同様に利用不能なのだ。

3-3 ウイルス対策ソフトウェアを導入する

ランサムウェアは、特別に検出しにくい特徴があるわけではないので、他のウイルスと同様に、パターンファイルによるマッチングでブロックすることが可能である。ウイルス対策ソフトを常駐させ、ダウンロードするファイルや実行ファイルを監視させれば、大抵のランサムウェアを検出、ブロックすることができるはずだ。ただし、パターンファイルが対応していないような最新の亜種などについては、検出することができないので、必ずしもこれだけで万全の対策だということはできない。

4.金銭を目的とするマルウェアが増加

ランサムウェアの特徴は身代金を要求する点だが、同じように組織的な犯罪を背景とした、金銭目的のマルウェアが増加しているという。感染したユーザPCを悪質な不正アクセス行為の踏み台として利用するボットネットの目的も、フィッシング詐欺、アフィリエイト収入の不正取得、個人情報の取得と売買など経済的な利潤である。こうしたタイプのマルウェアは、従来の愉快犯型とは異なり、背景に大規模な犯罪組織などがある場合が多く、その出現数も、更新頻度も高くなってきている。インターネット上の治安は、残念ながら年々悪化してきていると言わざるを得ない。ネット上の危険を確実に避けるために、バックアップやファイアウォール、セキュリティソフトなどの基本的なセキュリティ対策を1つ1つ適切に運用することが、今後より一層重要になってくるといえるだろう。

取材協力 :株式会社セキュアブレイン

掲載日:2008年11月25日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2007年12月19日掲載分

検索

このページの先頭へ