2016 年 5 月 17 日 MARC LALIBERTE 著

ランサムウェアの目的は、被害者のファイルを暗号化し、ファイルを復元する唯一の方法だと脅迫して、身代金を手に入れることです。攻撃者はさらに、支払期限を短く設定し、期間内に身代金を支払わなければ二度とファイルを復元できないと脅します。ランサムウェアが成功しているのは、身代金の支払に応じる人が後を絶たないためです。

サイバー脅威アライアンスの報告によれば、CryptoWall 3 ランサムウェアだけで、2015 年の支払金額の総額が 3 億 2,500 万ドルに達すると推定されています。このような多額の身代金を得られれば、ランサムウェアは益々活発化し、さらなるランサムウェア開発の資金源にもなるはずです。McAfee が最近発表したレポートは、検出されたランサムウェアのサンプル数がこの 2 年間で急増していることを示しています。

感染防止が常に最良のランサムウェア対策であるのは確かですが、残念ながら、完璧な保護は存在しないため、システムが攻撃されてランサムウェアの犠牲になる可能性が絶対にないとは言い切れません。感染に気付き、システムを正しくバックアップしていなかったとすれば、唯一の解決策として身代金の支払を検討することになるかもしれません。けれども幸運なことに、いくつかのサイバーセキュリティ企業や団体がそれ以外の選択肢を提供してくれています。

Emsisoft が今週、ランサムウェアを復号化する専用の Web ページ を立ち上げました。その Web ページを利用すると、ランサムウェアの被害者自身がランサムウェアに感染した自分のシステムの環境を確認し、無料の復号化ツールをダウンロードできます。こういったツールを提供しているのは、Emsisoft だけではありません。Kaspersky も、ランサムウェア復号化ユーティリティ（さらには、マルウェア除去ツール）を満載したページを公開しています。また、自分のファイルをロックしたランサムウェアの正確なバージョンを特定できる、ID Ransomware というツールもあります。

ランサムウェアの復号化は、ある種のイタチごっこです。これらのツールの多くは、ランサムウェアの暗号化コードに存在するミスを利用することでロックされたファイルを復号化します。そのため、ランサムウェアの作成者がミスを修正してアップデートしてしまうと、その復号化ユーティリティを使えなくなってしまいます。したがって、ランサムウェア対策を復号化ユーティリティだけに頼るべきではなく、あくまでも、最終手段としてこれらのユーティリティを利用するべきでしょう。

防止、リカバリ、教育の 3 つのアプローチが最良のランサムウェア対策であることに変わりありません。初期感染防止の手段として、多層セキュリティアプローチを活用します。また、これまでどおり、ネットワークベースの AV スキャンと APT 保護にホストベースのエンドポイント保護を組み合わせた対策が不可欠です。さらに、オフラインバックアップを定期的に取得し、それを使ったランサムウェア感染からのリカバリを日頃からテストしておくことも必要です。ネットワークファイル共有を特定して暗号化するランサムウェアから保護するという観点から、バックアップをオフラインで保管することが重要です。そして最後に、ランサムウェアの最大の攻撃ベクターであるフィッシング攻撃の特定方法を、従業員に周知します。そして、これらすべての対策をくぐり抜けてランサムウェアに攻撃されてしまったとしたら、前述の復号化ユーティリティが最後の救いとなってくれるはずです。 – Marc Laliberte