文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    Androidランサムウェアは「セーフモード」で削除を

     パソコンとスマートフォンの「ランサムウェア」被害が続いている。ランサムウェアとは、ファイルを読めなくしたり、スマホを起動できなくしたりした上で、脅迫して身代金を要求する不正プログラムの一つだ。ランサムウェアの一般的な対策と、Androidのランサムウェアを削除する「セーフモード」のことをまとめておく。(ITジャーナリスト・三上洋)

    IPA・情報処理推進機構が「ランサムウェアの脅威と対策」を発表

    • ファイル暗号化型ランサムウェアの影響範囲(IPAによる)
      ファイル暗号化型ランサムウェアの影響範囲(IPAによる)

     IPA・情報処理推進機構が1月23日に「ランサムウェアの脅威と対策:IPAテクニカルウォッチ」というリポートを発表した。ランサムウェアの現状と対策をまとめたものだ。このリポートをもとに、改めてランサムウェアの基礎知識と対策を見ていこう。

     ランサムウェアには「ファイル暗号化型」と「端末ロック型」がある。「ファイル暗号化型」は感染後にファイルを暗号化して読めなくするタイプで、パソコンでの被害が多い。それに対して「端末ロック型」は起動できなくするもので、パソコンとスマホ両方で被害が見受けられるが、最近ではAndroidスマホでの被害が目立つ。

     IPAによれば「ファイル暗号化型」では感染したパソコンだけでなく、同一ネットワーク上にある他のファイルにも影響が及ぶとのことだ。左上の画像がその例で、ユーザーAがランサムウェアに感染したことで、以下の範囲に影響が及んでいる。

     ・同一ネットワーク上にあるファイルサーバー
     ・他のユーザーの共有フォルダー
     ・外付けハードディスク(外部記憶装置)
     ・クラウドサービス(クラウドストレージ)

    • 2016年3月に流行したランサムウェア「Locky」の金銭要求画面(IPAによる)
      2016年3月に流行したランサムウェア「Locky」の金銭要求画面(IPAによる)

     ランサムウェアに感染したユーザーAがアクセスできる範囲のすべてで、ファイルが暗号化されてしまうことになる。IPAでは「組織内のパソコン1台だけが感染した場合であっても、ファイルサーバー上のファイルも暗号化されてしまうことで、組織の運営に致命的な影響を与えることも考えられる」としている。さらにユーザーAはウイルス感染していることから、他のユーザーにもウイルスを広げてしまう可能性がある。

     ランサムウェアの感染源についてIPAでは、「メール添付ファイル」と「ウェブサイト閲覧」の二つのパターンがあるとしている。たとえば2016年3月に流行したランサムウェア「Locky(ロッキー)」では、多くがメールの添付ファイルを開いたことが原因だったとのことだ。請求書などを装ったメールの添付ファイルを開いたことから感染している(【注意喚起】ランサムウェア感染を狙った攻撃に注意:2016年4月・IPA)。

     ウェブサイト閲覧での感染もある。パソコン側で古いソフトを使っていた場合に、弱点を突かれて感染する「ドライブバイダウンロード」による被害だ。犯人が他人のウェブサイトを改ざんするか不正なサイトを用意して、ユーザーをメールやSNSの投稿などで誘導するパターンだ。また犯人がネット広告を利用して感染させたと思われる事例もある(広告表示したら感染…ソフト最新化を急げ:サイバー護身術)。

    Androidのランサムウェアは「セーフモード」で削除できる

    • Androidランサムウェアの脅迫画面(愛知県警による)
      Androidランサムウェアの脅迫画面(愛知県警による)

     IPAでのリポートでは、Androidのスマートフォンでのランサムウェアについても取り上げている。スマホが起動できなくなる端末ロック型のランサムウェアで、2016年3月頃から出回っているものだ(スマホ向けランサムウェア確認…日本語では初:サイバー護身術)。

     「System Update」などの名前でインストールされる不正アプリだ。感染すると左のような画像が表示され、さらに下側には被害者の顔写真まで表示される。不正アプリが勝手に、スマホのインカメラで撮影した写真だ。スマホを元に戻すにはiTunesカードで金を支払えと脅してくる。

     この被害は各都道府県警にも多く相談が寄せられている。たとえば千葉県警ではテレビ番組などを通して、この被害の実態と注意点を警告している。また愛知県警ではウェブサイトで、解除方法を紹介している(Android版スマートフォン用身代金要求型ウイルス(ランサムウェア)について:愛知県警察)。

     それによると、このランサムウェアはスマホアプリであるため、アプリを削除できれば復活できるとのことだ。ランサムウェアに感染した状態ではアプリを削除できないため、「セーフモード」で再起動する必要がある。詳しくは愛知県警によるPDF文書「Android版ランサムウェアのアンインストール手法」に紹介されているが、概要をまとめておこう。

    Androidランサムウェアの削除方法

     1:セーフモードで再起動する
     Androidのトラブル時のためのモードである「セーフモード」で起動する。機種やAndroidのバージョンによって異なるので、「自分のスマホの機種名 セーフモード」などをネット検索して調べること。

     2:「設定」画面から不正アプリを削除する
     セーフモードにしたら「設定」の「アプリ」で、「System Update」をアンインストールした上で再起動する(機種や不正アプリの種類によって名前が異なることも。症状をもとにネット検索で調べてみる必要あり)。アンインストールができない場合は3へ。

     3:「セキュリティ」の「機器管理機能」を確認する
     アンインストールできない場合は、「設定」→「セキュリティ」→「機器管理機能」を選択し、「System Update」のチェックを外して、もう一度2の作業をする。

     この方法は、他のAndroid不正アプリでアンインストールできないものにも有効なので覚えておきたい。もしこの方法で削除できない場合は、スマートフォン自体を初期化することになる(スマホ内のファイル・データはすべて消えてしまう)。

    ランサムウェアの対策は「バックアップ」

     IPAではランサムウェアの対策を以下のようにまとめている。

    ランサムウェア対策(IPAによる対策に筆者が加筆)

     ・OSおよびソフトウェアを常に最新の状態に保つ
     ブラウザー、Java(JRE)、Adobe Reader、Flash Playerなどを常に最新版に。「自動更新」を有効する。

     ・セキュリティーソフトを導入し、定義ファイルを常に最新の状態に保つ
     パソコンではセキュリティー対策ソフトを必ず導入。体験版ではダメでお金を払って契約すること。無料版は機能が低い場合が多いので筆者としてはお薦めできない。スマホではAndroidなら、セキュリティー対策アプリを入れることを推奨(パソコンのセキュリティ対策ソフトとセットになった製品もある)。

     ・メールやSNSのファイル・URLに注意する
     メールの添付ファイルは原則として開かず、どうしても必要な場合は本物かどうか慎重にチェックする。SNSなどのメッセージで来るURLも安易に開かない。

     ・バックアップを取る
     定期的にバックアップを取ること。パソコンに常時接続している場所ではなく、バックアップ時のみ接続できるものがベスト。たとえば外付けのハードディスク、USBメモリーなどがいいだろう。重要なファイルは特定のフォルダーにまとめておき、それを重点的にバックアップする。

     バックアップの詳しい方法については、IPAの文書を参照していただきたい。また企業向けのランサムウェア対策としては、筆者の別記事にもまとめている(ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策:大塚商会)。巧妙な日本語メールで感染させるランサムウェアが出回っているので、しっかりと備えてほしい。

    ●参考記事
    スマホ向けランサムウェア確認…日本語では初:サイバー護身術
    広告表示したら感染…ソフト最新化を急げ:サイバー護身術
    ランサムウェアの脅威と対策:IPAテクニカルウォッチ

    2017年01月27日 14時30分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP