第４１８号コラム「ランサムウェアの概況」

第４１８号コラム：本 憲太郎　幹事
（株式会社ＮＴＴデータ　セキュリティ技術部　情報セキュリティ推進室）
題：「ランサムウェアの概況」

　ランサムウェア(Ransomware)とは、ランサム(Ransom; 身代金)とソフトウェア(Software)を掛け合わせた造語であり、被害者のPC、スマートフォン、及びサーバなどに保管されているファイルを、勝手に暗号化する、または端末をロックさせ使用不能にした上で、「元に戻すにはお金を払え」と脅す、身代金要求型の不正プログラム全般を表します。このランサムウェアについて、最近、様々な記事を見かけるようになった気がします。

　まずは、多種多様なランサムウェアが出現しているというものがありました。はじめに、JavaScriptのみで開発されたランサムウェア「Ransom32」が発見されたというものです。これまでのランサムウェアはWindowsプラットフォーム上のみで動作するものがほとんどでしたが、発見されたマルウェアは同じJavaScriptを異なるプラットフォームで実行できるようにするためのクロスプラットフォーム環境を使用してパッケージ化されており、LinuxやMac OS Xに対応させることも容易であると言われています。次に、「Locky」が国内で拡散しているというものです。Lockyは多言語の脅迫文に対応した暗号化型ランサムウェアで、Lockyに感染した環境では、壁紙が日本語の脅迫文の画像に変更され、すべてのファイルが暗号化されたことがユーザに伝えられ、暗号化されたファイルの拡張子はすべて「.locky」に変更されるとの事です。その他、暗号化後に脅迫文を音声で読み上げるランサムウェア「Cerber」、Mac OS Xを狙う初のランサムウェア「KeRanger」、HDDを丸ごと暗号化するランサムウェア「Petya」が発見されており、新しいタイプのものが続々と出現しているなど、話題には事欠きません。

　また、具体的な被害事例としては以下のようなものがありました。2016年2月、米国カリフォルニア州ハリウッドの病院Hollywood Presbyterian Medical Centerがランサムウェアの攻撃により、患者の診療記録情報（X線、CTスキャン、服薬履歴など）および電子メールといったデータを暗号化され、業務システムが1週間以上にわたり機能しない状態になったそうです。病院側は、攻撃者からの要求額9,000ビットコイン（340万USドル相当）に対し、実際には40ビットコイン（1万7千USドル相当）を支払うことで業務システムを復旧させたというニュースがありました。同時期に、ドイツでも、ノイスにある病院Lukas Hospitalと、ノルトライン・ヴェストファーレン州にある病院Klinikum Arnsbergがランサムウェアの被害に遭ったそうです。

　なぜ病院が狙われたかということの一説に、病院は患者の最新の診療記録情報に依存して重要な治療を施すため、診療記録情報が特に重要であるためという分析があるようです。患者の診療記録に素早くアクセスできないと、適切な医療処置を施すことができないか、または処置が遅れてしまいます。よって、病院側は最悪のリスクである患者の死亡または患者からの訴訟と、身代金の支払いのどちらを採るべきかの厳しい選択を迫られるという特性があるのです。また、保有資産の大きさからも、攻撃者に狙われやすい対象であると考えられています。

　このランサムウェアの次なる標的として、「感染プラットフォーム」と「業界」の二つの観点から、以下のような予測があるようです。

　感染プラットフォームの観点からは、Linux、Android、 Mac OS X、 iOSなどのWindows以外のプラットフォームへの拡散が進むことが考えられているようです。2015年には、Linux、 Androidに対するランサムウェアがすでに確認されています。スマートフォン市場の8割はAndroid端末と言われますが、iOS端末はより高価であることから、攻撃者から見ると、iOS端末ユーザから得られる身代金の期待値が高く映り、いずれも良い標的になると考えられています。

　業界の観点からは、「身代金を払いそうな集団」へ遷移していくことが考えられています。特に、個人情報、換金性の高い情報など、高い秘匿性・完全性・可用性が求められるデータを多数保有している組織、システムのダウンタイムの長さが収入減、または評判の低下に直結する組織は、支払いの動機が比較的高い背景を持つ集団であると考えられます。これらに該当する一般企業、金融機関、官公庁、教育機関（特に大学）は注意が必要と言えます。加えて、中小規模の一般企業、教育機関の場合、バックアップなどの冗長化に大きなコストをかけられないため、狙われる可能性が高まると考えられます。さらに、ヘルスケア業界と同様に、警察、消防など、業務停止に陥ることが人命に影響する業界も注意が必要と考えられているようです。

　それでは、このランサムウェアへの備えとして何を実施すべきでしょうか。基本的には他のマルウェア同様、導入済みソフトウェアの最新化、マルウェア対策ソフトの導入、及び「不審なメールは開かない」と言った啓発的なものが挙げられます。また、ランサムウェアに感染してしまった時のために、バックアップを頻繁にとるという対策が挙げられます。ただ、このバックアップは、ランサムウェアがアクセスできない場所に実施しないと、ランサムウェアに感染した際、一緒に利用できなくなる可能性があるので注意が必要と言われています。

　業務用はさておき、自身のプライベートPCについて考えると、ソフトウェアの最新化等は実施できているものの、このバックアップという点において改善が必要だということに、このコラムを書きながら気付きました。被害に遭うことを想定し、大切な写真などのデータだけでもバックアップが適切に実施できているか、皆さんも一緒に見直してみませんか。

【著作権は、本氏に属します】