データ復旧のプロが語るランサムウェアの脅威、対策は「ポータブルHDDを2台用意して…」

暗号化が解除不能なレベルまで高度化されたランサムウェア、作成ツールはダークウェブ上で売買

――ランサムウェアに感染して、データが暗号化されたHDDが持ち込まれたときに、暗号化を解除して元に戻すことはできるのでしょうか？

[浦口氏]初期のランサムウェアであれば可能でした。ソフトのレベルがそこまで高くはなかったんです。

基本的に暗号化には、Windowsが持っている暗号化APIを使っているんですね。その際に、特定の鍵を元に暗号化していくのですが、初期のランサムウェアは、その鍵を同じHDD上に保存していたんですね。ですから、その鍵を見つけて、その鍵から復号ツールを作成し、データを復号化することができました。

その次の世代では、鍵自体をHDD上に保存せずに、外部サーバーにインターネット経由で送信して保存するようになり、HDDには鍵が残らないようになりました。ただ、ファイルを暗号化する際に、そのファイルのコピーファイルを別に作成し、そのファイル群を暗号化するというタイプだったため、この処理が終わった時点では暗号化されたファイルと元ファイルの両方が残ります。そのあと元ファイルを削除していたので、その削除された痕跡からデータを復旧することができました。

最近の世代のものになると、オンメモリで動作するというか、ファイルの内容をメモリ上で暗号化して元のファイルに上書きしていく方法のものが主流となっています。そうしたものは基本的に復元する手段が無い状態です。

――実際にランサムウェアに感染したHDDが持ち込まれることも増えてきたのですか？

[浦口氏]問い合わせはありますね。ただ、もう復元は無理な状態まで進行しているケースが多いです。一応、問い合わせの電話があった時点で、「すぐPCをシャットダウンしてください」とお願いするようにはしています。暗号化には時間がかかるので、感染したと分かった瞬間にPCをシャットダウンしていただければ、それ以上被害を広げず一旦は進行を止めることができますからね。

――では、感染して時間が経ってしまうと、基本的にはもうどうしようもないということでしょうか。その場合、身代金を払うという選択肢は解決策になるのでしょうか？個人を狙っていることもあり、額も何百万円などではなく、数万～数十万と、払える範囲になっていることも多いようですが。

[浦口氏]基本的には、身代金を払ったところで復元してもらえる確証がないことや、下手に払うと、“支払った”という情報がブラックマーケットでシェアされる恐れもあります。また、身代金が反社会的な組織の資金源になっているという話もありますので、それなりの覚悟を持って判断していただきたいですね。

ちなみに、以前、初期タイプのランサムウェアに感染したお客様からご相談を受けた際、海外のセキュリティベンダーが開発した対ランサム用のデクリプターで復号できるタイプだったので、復元費用のお見積もりを出させて頂いたことがあります。ただ、データ復旧作業にはそれなりの費用が発生しますので、見積もりをご覧になり「身代金を払ったほうが安いじゃないか」と冗談で言われたお客様もいらっしゃいました(苦笑)。

――セキュリティ会社の方から、ランサムウェアを作るためのツールが配布されていて、ランサムウェアのエコシステムみたいなものができあがりつつあるといった話をきいたことがあります。プログラミングの知識がなくても、ツールを使えば自動的に新しいバージョンのランサムウェアが作成可能で、もし身代金を受け取ることができたら、その何割かをツール開発側に返すそうですね。

[浦口氏]そうした動きは実際にあるようです。今話題のダークウェブでは本当にそういうツールが売買されており、このようなネット空間を徘徊する人達にとっても、安全なツールを販売するところと、危険なツールを販売するところがあるそうです。売り手も買い手もお互い身元がばれないようにしないといけない訳ですし、悪しき行為をする者にとっては都合の良い環境が整いつつあるようです。

OSやソフトの仕様を逆手にとり感染を広めるランサムウェア多言語の表示特性を悪用したトリックも

――では、ランサムウェアに感染しないためには、どのようなことに気をつければよいのでしょうか？

[浦口氏]やはりメールからの感染が一番多いので、不用意に怪しいメールを開かないようにするのが一番ですね。

――大手企業の名をかたりマルウェアに感染させようとしたり、フィッシングサイトへ誘導するメールなども増えましたよね。よく見ると偽物だとわかるのですが、単に請求書とかそういうタイトルで、添付ファイルだけのも来るんですよね。仕事でそういうメールがくることもあるので、一瞬、「あれ？」とか思うんですが、メールも巧妙になっていますよね。

[浦口氏]中には、本当にその会社の中を下調べして、その中の人しか知らないようなタイトルで送ってくるとか、いろいろあるみたいです。メールは本当にセキュリティの穴なんですけど、普段業務で使わざるを得ないので、それが一番気を使うところですよね。しかも、そのファイアーウォールやアンチウイルスソフトが入っているにもかかわらず、添付ファイルが通過してきたりすると、黒なのか白なのか、本当に判断できませんしね。

右側から文字を読む言語のコードを悪用し、実行ファイルを偽装したマルウェアなども存在するそうだ。アイコンまで偽装されると判別が難しいとのこと。

また、マルウェアやウイルスは、OSやソフトが持っている仕様や穴を逆手にとって攻めてくるものも増えています。

自分はそんな怪しいメールは開かないから大丈夫と思っていても、思わず開いてしまうような巧妙なものも存在し、ユニークな例だと他言語で拡張子を置き換えるものがあります。

一般的に、文字は左から右に読みますが、アラビア語やヘブライ語だと右から左に読みますよね。このため、文字コードで左右を反転するコードがあるのですが、こうした言語特性を悪用されることもあります。

例えば「xcod.exe」というマルウェアが入った実行ファイルなら、ファイル名と拡張子を含めた文字列を逆に表示させるトリックで、「exe.docx」と表示させることが可能になります。一見Wordの拡張子に見えるものの、実は逆読みファイル名の実行ファイルで、Wordファイルだと思って開くとアプリケーション(.exe)が実行される偽装ファイルです。

また、逆読みファイル名の実行ファイルをメールに添付し、件名なども警戒されにくいものにして送られてくるケースもあります。例えば、

といったpptxファイルに偽装した実行ファイルが送られてきた場合、たまたま明日プレゼンテーションがあったとしたら、誤って開いてしまう可能性は高い状況といえます。

こうした挙動はWindowsの仕様によるもので、こういうものに限ってアイコンまで偽装してあったりします。手口が巧妙化しており、OSやアプリケーションの仕様も応用して攻撃してくるので、注意していても防ぎきれない部分もあります

「WannaCry」はWindowsの標準機能「SMB v1」の脆弱性を悪用したものだ

――このタイプのものはセキュリティの穴でもないですし、仕様ですよね。

[浦口氏]今年流行した「WannaCry」が悪用したのは、Windows XPやWindows Server 2003など、Windows Vista以前のOSがLANを通じてファイル共有やプリンタ共有などに用いるWindows標準機能の「SMB v1」で、機能が存在すること自体は仕様です。古いOSとデータ共有をするための機能によって、最新のOSが危険に晒された例でした。レガシーな機能とはいえ、Windows 10でもデフォルトでチェックが入っていますし、Windows 7ではレジストリをいじらないと止められません。Windows 7でレジストリを書き換えてSMB v1を停止している人なんてほとんどいないでしょうし、世の中には何百万人といらっしゃるはずです。その中の何人かが、毎日感染しているって感じですよね。大量にばらまけば、不用意に開いちゃう人も出てきますから。

――対処するには、やはりユーザーのリテラシーを高めるしかないのでしょうか？

[浦口氏]そうではあるのですが、PCをただ単に業務の道具って使っていらっしゃる方々にリテラシーを上げて欲しいっていうのも難しいところですよね。「Windows標準機能の脆弱性を理解した上でPCを使う」ということを全員に徹底したり、前提とするのは無理があります。

なので、一人一人のリテラシーを上げるというよりも、会社の環境を守る立場の人間や、経営者がしっかりと知って理解しておかなければいけない部分で、それに対して投資を惜しまずに防衛するということが一番重要だと思います。

また、「リスクを避けるためになんでもかんでも制約をかければ良い」というわけではないので、そこも難しいところですね。Windowsが世に出てきたときに、コンピュータは便利な道具で、なんでもできると言われてました。その利便性が魅力で、詳しい人ほど制約がない状態で使いたいと思うはずですが、それが叶わなくなりつつある気もします。

例えば、USBポートは非常に便利なインターフェイスですが、セキュリティ上すべてのポートを封印することを義務付けて運用している会社もありますよね。環境によってはそういった対策も必要で、ユーザーにとってはちょっと不便な世の中になりつつある面もあります。あまりに制約をかければ効率なども落ちてしまうので、加減が難しいところではありますね。