文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    日本語ランサムウェア=身代金ウイルスに注意

     ランサムウェア=身代金要求ウイルスが日本国内でも広まっている。パソコンの中のファイルを読めなくし、元に戻すには金を払えと脅す不正プログラムだ。(ITジャーナリスト・三上洋)

    ファイルを勝手に暗号化、お金を払っても元に戻る期待はできず

    • 4月17日から確認されている日本語のランサムウェア(トレンドマイクロによる)
      4月17日から確認されている日本語のランサムウェア(トレンドマイクロによる)
    • 日本語の注意書きがあり、暗号化によってファイルを読めなくしたとして身代金を要求している(トレンドマイクロによる)
      日本語の注意書きがあり、暗号化によってファイルを読めなくしたとして身代金を要求している(トレンドマイクロによる)

     ランサムウェアとは、ファイルを勝手に暗号化し、元に戻すにはお金を払えと脅す身代金要求型ウイルスのこと。日本語のランサムウェアが出回っているとして、セキュリティー各社が4月下旬に警告を出している(シマンテックキヤノンITソリューションズトレンドマイクロ)。

     左が問題のランサムウェアの画面だ。「お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました」と大きく表示され、「お客様の重要なファイル(ネットワーク・ディスク、USBなどのファイルを含む):画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスよって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。」として、ファイルを読めなくし、お金を払えと脅している。

     「支払いはこちら」と書かれたリンクのジャンプ先は、匿名接続が可能なTor(トーア)上のウェブサイトとなっている。要求額は、1.8ビットコイン(現在の為替レートで約4万8000円)と表示されている。匿名ネットワークのTorを使い、支払いも追跡されにくいビットコインを使うなど、犯人の身元を隠すしくみを使っている。

     現時点での被害は、「4/17から約1週間で、60件以上を検出」(トレンドマイクロ)、「世界で観測されている一般的なランサムウェア攻撃と比較すると、この攻撃活動は限られた範囲に(とど)まっている」(シマンテック)とのことで、それほど大きいものではなさそうだ。しかしYahoo!知恵袋などでも感染者の相談が複数あり、今後拡大する可能性もある。

     お金を払えと脅してくるが、払ったとしてもファイルが元に戻る保証はない。シマンテックでは、感染者向けの注意として「けっして身代金を支払わない。支払っても攻撃者が約束通りにファイルを復号してくれる保証はありません。」としている。

    日本語で脅すランサムウェア「TorrentLocker(トレントロッカー)」

     ランサムウェアは、2013年にロシアなどヨーロッパで大きく流行したほか、YouTubeの広告を通じてアメリカでも大きな被害を出している。しかし日本では2014年3月に、たどたどしい日本語のものが確認されただけで、あまりターゲットになっていなかった。

    • 韓国語バージョンでの支払画面。1.8ビットコイン(現在の為替レートで約4万8000円)を要求している
      韓国語バージョンでの支払画面。1.8ビットコイン(現在の為替レートで約4万8000円)を要求している
    • シマンテックによる「TorrentLocker(トレントロッカー)」の標的国。韓国が圧倒的に多く、マレーシア15%、日本14%となっている
      シマンテックによる「TorrentLocker(トレントロッカー)」の標的国。韓国が圧倒的に多く、マレーシア15%、日本14%となっている

     しかし2014年12月に、この連載の記事「日本語ランサムウェア『犯人』インタビュー」で取り上げた、日本語ランサムウェアが登場した。大きな被害は出なかったが、簡単にランサムウェアを作成できる「ランサムウェア作成キット」とでも言うべきサービスを使ったことが注目された。

     今回登場したランサムウェアは「TorrentLocker(トレントロッカー、シマンテックの表記ではTorLocker)」と呼ばれるもので、2014年に英語圏で大きな被害を出したTorrentLockerの亜種だと思われる(脅迫文には「Crypt0L0cker」と書いているが、有名なランサムウェア「CryptoLocker クリプトロッカー」とは異なるもの)。日本だけでなく、ハングルバージョンもあるため韓国での被害も確認されている。

     大きなポイントは日本語に違和感がないことだ。過去のランサムウェアは、たどたどしい日本語を使っていたが、今回の「TorrentLocker(トレントロッカー)」は比較的スムーズな日本語を使っている。トレンドマイクロでは「日本語の脅迫メッセージの文面には、他の不正プログラムやスパムメールで見られるような日本語としておかしな表現はあまりなく、ある程度日本語が堪能な協力者がいるものと推測されます」と分析している。

     シマンテックの浜田譲治氏は、ブログで「身代金を奪い取る巨大なチャンスが韓国や日本に存在することを認識したサイバー犯罪者は、ランサムウェアを各地域の言語にローカライズするようになってきています」と分析している。日本や韓国が狙われているのだ。

     「TorrentLocker(トレントロッカー)」の感染源は、いくつかのパターンが推測されている。シマンテックによれば「悪用キットを利用したドライブ・バイ・ダウンロード」、キヤノンITソリューションズでは「Wordのマクロに組み込まれた難読化したVBコードのスクリプト実行」によるもの、トレンドマイクロでは「セキュリティ対策製品などに偽装してダウンロードさせる手口」との推測だ。

     いずれにしても改ざんされたウェブサイトを表示するだけで感染する「ドライブ・バイ・ダウンロード」、もしくはメールの添付ファイルを実行させて感染するパターンだと思われる。

    対策は「バックアップ」「ウイルス感染防止」

     ランサムウェアは感染すると、ファイルがすべて読めなくなる厄介なウイルスだ。脅迫に屈してお金を払ったとしても、元に戻せる見込みはほぼないため、ファイルを捨てることになる。対策としては、バックアップをきちんと取ること、及びウイルス対策をしっかりすることが重要だ。

    ●バックアップをまめに取る

     消えては困るファイルはバックアップを取る。DropboxやOneDriveなどのクラウドサービスを使うか、外部ハードディスクに定期的にバックアップを取ろう。ハードディスクの場合は、パソコンに常時接続しないことが大切。つないだままだと、ランサムウェア感染時にバックアップ用のハードディスクも被害にあう可能性があるからだ。

    ●ウイルス対策ソフトを導入し更新する

     ウイルス対策ソフトを導入し、有料ソフトでは必ずお金を払って、自動更新にすること。古いウイルス対策ソフトはまったく意味が無いので、必ず契約して使おう。

    ●ソフトウェアを自動更新にし、すぐに最新バージョンに

     OS(基本ソフト)、ブラウザー、Flash、Javaなどインターネットで使うソフトウェアは、すべて「自動更新」にすること。古いバージョンを使っているとウェブサイト表示だけでウイルス感染する可能性がある。

     特に仕事で使うパソコンは重要なので、バックアップをきちんと取ろう。ランサムウェアの日本での被害はまだ少ないが、今後拡大する可能性があるので注意したい。

    2015年05月08日 16時11分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP