ファイルがいつの間にか暗号でロックされ、「ファイルを元に戻したければ金を払え」とのメッセージが……。ロックすることでファイルを〝誘拐〟し、身代金を要求する「ランサム(身代金)ウエア」と呼ばれるウイルスの仕業だ。

 ランサムウエアが突然SNSで話題になったのは、昨年12月。あるユーザーが「自分のファイルが暗号化されて、開けなくなった」と発言したのがきっかけ。元のファイルが何であれ、拡張子が「vvv」に変えられてしまったことなどが報告され、瞬く間に情報が広く共有された。

 この通称「vvvウイルス」自体は、それほど脅威ではなかったようだ。トレンドマイクロによれば、国内への流入自体が少なく「影響は限定的」(マーケティングコミュニケーション本部 コアテク・スレットマーケティンググループ シニアスペシャリストの森本純氏)のため。だが、ランサムウエア全般で見れば、国内ユーザーを狙ったものも増加しており、今後は大きな被害も考えられるという。

 特に注意が必要なのは、「怪しいサイトや添付ファイルを開かなければ大丈夫」という従来の常識が通用しない点だ。

 ランサムウエアの動作を詳しく見てみよう(図1)。まず〝誘拐犯〟側は、一般のウェブサイトに侵入し、自動的にウイルス配布用サイトも開いてしまうような仕掛けを加える。脆弱性を足がかりに、このサイトからウイルスがコピーされる[注1]。

●暗号化したファイルを人質に、高額な解除ソフトの購入を要求
図1 典型的なランサムウエアの例。不正なリダイレクト機能により、ランサムウエアを送り込まれる(1~3)。すると、ウイルスがユーザーのファイルを勝手に暗号でロックし(4)、暗号解除用のソフトを購入するよう要求する(5)。これを防ぐには、2,3,4の3カ所のいずれかで阻止できるかにかかっている
[画像のクリックで拡大表示]
[注1]最初は「エクスプロイトキット」と呼ばれる、ファイル転送専用のプログラムがコピーされる。これがあると、“誘拐犯”側はインターネット越しにどんなプログラムでも送り込んで、動作させることができる。この仕組みはランサムウエアに限らず、ウイルス全般で利用される

 ウイルスがパソコン内で動作すると、ファイルを暗号でロック。解除には専用ソフトが必要と、購入を要求する。要求通りに支払ったところで、ファイルを元に戻せる保証はない。

 被害を未然に防ぐポイントは3つ。パソコンへのコピー時に検出する従来の手法に加えて、ウイルス配布用サイトへのリダイレクトを阻止したり、ウイルス特有の動作(連続してファイルを暗号化するなど)を検知してファイルを保護する手立てが必要だ。最近の、いわゆる統合セキュリティソフトは、こうした機能を備えている[注2]。

[注2]「ウイルスバスター クラウド」の場合、昨年7月に公開したバージョンから、ウイルス配布サイトへのリダイレクトや連続して暗号化する振る舞いなどを検知して、ウイルスの侵入や動作を阻止する機能を備えている

 ウイルスを送り込むテクニックは日々高度化しており、広告バナーを表示する仕組みを悪用して、ウイルスを送り込む例も確認されている。注意しているだけでは、身を守るのは難しい時代になったと言えそうだ。

出典:日経PC21 2016年3月号
記事は執筆時の情報に基づいており、現在では異なる場合があります。