最新トピック

最新型ランサムウェアBad Rabbitの脅威!その被害・影響・対策は?

2010年代になって被害の目立つマルウェア(コンピュータウイルスやワームなど)の一つであるランサムウェアは、コンピュータ内のすべてのフォルダを暗号化してしまい、全く使えなくしてしまうという恐ろしいものです。2017年10月に流行した「Bad Rabbit」はその最新型です。

ランサムウェアは極めて危険な代物ですが、それらの対策を知ることでコンピュータを狙う悪意から情報を守るための汎用的な「知恵」を手に入れられます。そのためには、仕組みや感染経路を知ることが重要です。ぜひ、自社のセキュリティ対策を強化する一助にしてください。

Bad Rabbitとは?被害と感染経路


Bad Rabbitは、2017年10月から世界で猛威を振るうランサムウェアの一種です。

10月24日ごろから、ロシアやウクライナを中心に多くの感染被害が確認されており、公共機関を含めて多くの企業・組織で業務が停止するなど、世界に深刻な影響を与えています。たとえば、ロシアの大手メディアInterfax社や、ウクライナのオデッサ国際空港やキエフ地下鉄を含むメディア・輸送システムが被害報告を発表しています。他にも、ブルガリアやエストニア、ハンガリーなどにも被害が広がっています。日本では、住宅関連製品などの製造・販売を手がけるアイカ工業(東証・名証1部上場)が被害を受け、1か月近くホームページの停止に追い込まれる事態となりました。

Bad Rabbitの特徴は、コンピュータの全ファイルを強制的に暗号化して使えなくしてしまう点にあります。それと同時に、画面上に「身代金」の支払いを求める英語の文面とカウントダウンタイマーが表示。タイマーがゼロになる前に、0.05ビットコイン(2017年12月12日現在で約9万5000円)を支払うことを指示します。タイマーが切れると、身代金は値上げされるそうです。この身代金要求画面はロックされており、画面遷移させられません。一つのPCが感染すると、ネットワーク経由で拡散していきます。

Bad Rabbitの感染経路は、改ざんされたWebサイトです。Bad RabbitをダウンロードさせるWebサイトがあり、そこへ誘導するスクリプトを一般のWebサイトに埋め込みます。スクリプトの埋め込まれたサイトへアクセスしたユーザーは、Bad Rabbit配布元サイトへ誘導。Bad Rabbitを含むファイルをダウンロードした後、それを実行すると感染します。それとともに、ネットワークに複製を作られて拡散元となってしまう仕組みです。

情報処理推進機構(IPA)によれば、Bad Rabbitによって暗号化されたファイルを復号する方法は発見されていません。身代金を支払ったところで、元通りになる保証は全くないのが現実です。

参考:感染が拡大中のランサムウェア「Bad Rabbit」の対策について | IPA

Bad Rabbitの対策


Bad Rabbitの対策としては、以下の5点が挙げられます。

・正規のインストーラー以外は実行しない
・不審なメールの添付ファイルやURLはアクセスしない
・ウイルス対策ソフトは常に最新版に
・バックアップは定期的に
・身代金は支払わない

Bad Rabbitは、正規のインストーラーを偽装して改ざんされたWebサイトからダウンロードされます。インストーラーを開くと、後は全ファイルの暗号化から再起動、拡散、身代金要求画面の表示まで一直線で進んでしまいます。したがって、自分が意図してダウンロードしたインストーラー以外は絶対に実行してはいけません。不審なインストーラーを確認した場合は、システム管理者に確認するようにしましょう。

また、Bad Rabbitに限らないことではありますが、不審なメールの添付ファイルや記載されているURLにアクセスするのは避けましょう。しばしば、Bad Rabbitのようなランサムウェアは添付ファイルの実行やURL経由でダウンロードしたインストーラーの実行によって感染・拡散されます。

ウイルス対策のソフトウェアは、常に最新版に更新しておきましょう。ただし、最新版であってもBad Rabbitをはじめとする最新の攻撃者に対応していないケースもあります。ソフトウェアのメーカーのホームページをチェックする、直接電話で問い合わせるなどして確認しておくのがベターですね。

アンチウイルスソフトが絶対ではない以上、ファイルバックアップを定期的に実施してトラブルに備えておきましょう。特に、個人情報や機密情報は必ずバックアップを取り、そのパソコンやネットワークから切り離されたところ(CD-RW、USBフラッシュドライブなど)に保管しておくのがよいでしょう。バックアップを自分のPCやネットワーク接続された別のPCで保管している人も少なくないのですが、それではBad Rabbitに感染したときの対策にはなっていません。

最後に、身代金を支払ってはいけません。第一に、犯人グループはテロ組織や犯罪組織とつながっている可能性が高いのです。そのため、送金時の匿名性が高いビットコインでの支払いを要求しています。身代金を支払うことは、Bad Rabbitのみならずサイバーテロの動機づけになってしまいます。間接的ではありますが、そうした「裏社会」の人々を支援する行為は慎むべきです。

第二に、身代金を払ったからといってコンピュータを元通りにしてくれるとは限りません。何もしてくれなかったり、一見元通りだが裏にウイルスを仕込まれ、Bad Rabbitの拡散元として使われたりするリスクもあり得ます。Bad Rabbitに感染した場合は、警察やIPAなどの専門組織に連絡を取って指示を仰ぎましょう。

最新のコンピュータウイルス?ランサムウェアの猛威


Bad Rabbitのみならず、2010年代に入ってランサムウェアの脅威が増しています。

当初はロシアを中心としていましたが、今では日本でも被害報告が増加。IPAは、2016年4月13日付で「【注意喚起】ランサムウェア感染を狙った攻撃に注意」というタイトルの注意喚起を行っています。それによれば、2016年1月に11件、2月に17件だったランサムウェアに関する相談件数が、3月になって96件に急増したそうです。そのうち、実際に被害を受けたのは84件。4月以降も同様の相談が相次いでいるのみならず、ランサムウェア観戦を目的とした「ばらまき型メール」についての情報提供もあったと述べています。日本でも、ランサムウェアの脅威を念頭に置きつつセキュリティ対策を進める必要があるのです。

Bad Rabbitのようなランサムウェアは、1990年代から少しずつ一般的なコンピュータでも見られるようになっていました。しかし、全世界的に目立ち始めたのは2010年代に入ってからです。たとえば、2013年に登場した「CryptoLocker」は、Bad Rabbitとほぼ同じ挙動を示すランサムウェアでした。特殊なexeファイルを実行すると、「.doc」「.docx」「.xls」「.pdf」など業務で使用するファイルの拡張子を検索して暗号化し、PCへアクセスできないようにして「身代金」を要求します。身代金を支払えば、解読のための「秘密鍵」を購入できると謳っています。

ランサムウェアには、ファイルを暗号化するタイプとそれ以外の妨害方法を採用したタイプが存在します。Bad Rabbitや、今ご紹介したCryptoLockerは暗号化タイプの典型例です。非暗号化タイプとしては、2012年に拡散されたRevetonなどがあります。ポルノ画像で画面をロックしたり、「ポルノ画像を違法にダウンロードしたため罰金を払うように」との名目で画面をロックしたりするタイプが非暗号化タイプの代表となります。

2010年代以降のランサムウェアは、ロシアを中心に猛威を振るうケースが多いとされています。しかし、ロシア経由で世界中に拡散されるため、ロシアと関わりのない日本人・日本企業であっても油断は禁物です。2017年にも、WannaCryやGoldenEyeと名付けられたランサムウェアが世界的に流行しました。特にWannaCryは、日本マクドナルドやJR東日本、日立製作所、イオンや本田技研などといった日本を代表する大企業でも感染が相次いだことから、注目を集めました。

特に2010年代以降のランサムウェアは、個人ではなく企業や公的機関のシステムに損害を与えるケースが増えています。鉄道や空港、電力などといった社会のインフラをコントロールするコンピュータも被害を受けており、影響が深刻化していることは間違いありません。

なぜランサムウェアが増えているのか


2010年代になってランサムウェアが増加している要因として、「足がつきにくい」「ランサムウェア自体の市場の存在」が挙げられます。

第一に、ランサムウェアの作成と「犯行」の過程で、足がつきにくくなっているのが要因です。ビットコインに代表される仮想通貨、あるいはプリペイドカードのような電子的な通貨が増えてきたため、お金の受け取りを匿名的にできるようになりました。以前であれば、お札の番号や指紋などといった物理的な証拠が犯人につながる手がかりだったのですが、今やほとんど手がかりを残すことなくランサムウェアの配布から身代金の授受までこなせるようになったのです。実際、Bad RabbitもWannaCryも首謀者は見つかっていません。

第二に、ランサムウェアを共有・売買する市場が存在しています。少し検索すればランサムウェアの販売サイトを発見できるため、高い技術がなくてもランサムウェアの入手が可能です。いわゆる「ダークウェブ」「闇ウェブ」などと呼ばれるインターネットのアンダーグラウンドでランサムウェアを購入し、自ら修正を加えて新たなランサムウェアを作成、攻撃に入れます。マカフィーも、「簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者らに注目されている」と公式ブログで注意喚起しています。

参考:【特集】急増するランサムウェアの理由は作成のハードル低下と高い見返り

以上のような要因を踏まえて考える限り、しばらくランサムウェアの脅威は続くことが予想されます。また、ランサムウェアの流行が下火になったとしても、新たなマルウェアが登場しては世界中のコンピュータ・インターネットに大きな被害を与えるでしょう。セキュリティへの脅威やその対策についての最新情報を定期的に収集するとともに、自社で使用しているツール・システムのセキュリティ対策についても、改めてベンダーに問い合わせるようにしましょう。

mautic is open source marketing automation
お役立ち情報はこちら メルマガ