「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。
この記事を読まれている方の多くは、「ランサムウェア」という言葉を聞いたことがあるだろう。ランサムウェアはマルウェアの一種で、感染することでそのコンピュータのリソースへのアクセスを制限し、それを解除するための対価として身代金を要求するものである。「身代金要求型ウイルス」と呼んだ方が分かりやすいかもしれない。
2015年末には国内でもファイルを暗号化し、そのファイルの拡張子を「.vvv」に変更してしまうランサムウェアの一種「TeslaCrypt」(通称:「vvvウイルス」)が話題になった。最近は、ランサムウェアというとファイルを暗号化するマルウェアを指すことが多いように思われるが、必ずしも「ランサムウェア=ファイルを暗号化し身代金を要求するもの」というわけではない。
ランサムウェアの中には「画面をロックする」ものや、「HDDへのアクセスを制限する」ものなども現存している。従って、ランサムウェアは「“何かしらの方法”でユーザーのコンピュータ(スマートフォンを含む)に制限を掛け、それを解除させるために金銭的価値のあるものを要求するマルウェア」と定義できる。
こうしたランサムウェアは決して最近になって現れたものではない。その歴史は意外に古く、1980年代には既に「AIDS」や「PC Cyborg」と呼ばれるランサムウェアが存在していた。これらのランサムウェアは「ファイル名を暗号化する機能」などを有しており、「復旧したければ、パナマにあるPC Cyborg Corporationの私書箱に189ドルを送金せよ」とユーザーに通知するものだった。ランサムウェアに関しては筆者のブログでもいくつかのエントリを公開しているので、ご興味のある方はご覧いただければ幸いである(下記)。
ランサムウェア「Jigsaw」に感染してみました & 復号メモ((n)inja csirt)
ランサムウェア Petya に感染してみました。((n)inja csirt)
ランサムウェア「Petya」によってアクセスできなくなったドライブ修復手順メモ((n)inja csirt)
ランサムウェア CRYPTOLDESH に感染してみました。((n)inja csirt)
TeslaCrypt(vvvウイルス)に感染してみました。((n)inja csirt)
TeslaCrypt(vvvウイルス)によって暗号化されたファイルの復号手順メモ((n)inja csirt)
今回、残念なことにランサムウェアに感染してしまい、身代金を支払わざるを得なかったというある人物にインタビューする機会を得た。ランサムウェアそのものに関する情報は数多く存在するが、実際に「感染し、身代金を支払った人」の声を聞く機会は非常に貴重であるため、ぜひ多くの方に本稿をご覧いただきたい。
もちろん、「ランサムウェアに感染“させた”人物や組織(攻撃者)に対して、身代金を支払う」ということは、その金銭がさらなる犯罪に使われてしまうことなどを考慮すれば、決して推奨されるアクションではない。アンチウイルスソフトの導入や、脆弱(ぜいじゃく)性対策の実施、不審なメールや添付ファイルを開かないように注意するといった「感染しないための対策」を施しつつ、万が一感染してしまっても身代金を支払わずに済むように、適切なバックアップを行っておくことが望ましいのは言うまでもない。
だが、現実問題として、これらの対策を全ての人や組織が完璧に実施できるわけではない。これはランサムウェアに限らず、不正送金ウイルスに感染してしまう人が後を絶たないのと同様である。
さて、それではインタビュー本編へと移ろう。なお、以下では今回被害に遭われた方を「被害者」と表記する。
Copyright © ITmedia, Inc. All Rights Reserved.