身代金要求型不正プログラム(ランサムウェア)」の胁威が深刻化し、エンドポイントのユーザだけでなく公共や民间组织にも蔓延していることは否定できません。ランサムウェアは、ユーザの恐怖心につけ込んで金銭を得るため大きな効果をあげています。

笔颁上のファイルをアクセス不能にしたり、虚偽の胁迫で风评被害に贬めたり、ランサムウェアの感染は、こうした胁迫手法でユーザに支払いを强要し、大きな効果をあげています。しかしそれ以上にランサムウェアを効果的にしているのは「ユーザは笔颁画面に胁迫状が表示されて初めて感染に気づく」という事実です。この时点で気づいた时はすでに手遅れだからです。

摆参考:

ランサムウェアの报道は、笔颁への侵入経路や感染后の被害に集中していますが、侵入と被害発覚の间には何が起きているのでしょうか。本稿では、ユーザが胁迫状を目にするまでの间、その里侧で何が起きているのかを段阶别に説明します。

  • 侵入

    ユーザが不正なリンクをクリックしたり、不正なファイルをダウンロードしたりすることで、ランサムウェアがPCに侵入します。ランサムウェアは、通常、実行ファイル形式で、自身のコピーをユーザディレクトリに作成します。自身のコピーは、Windowsのオペレーティングシステム(OS)場合、フォルダ "%appdata%" や "%temp%" に作成されます。これらのフォルダ内であれば、ユーザは管理者権限なしにディレクトリへの書き込みができるからです。そしてランサムウェアは、バックグランドで気づかれずに実行し始めます。

  • 接続

    ランサムウェアは、笔颁に侵入后、直ちにネットワークに接続して自身のサーバと通信を始めます。この段阶で环境设定ファイルを自身のコマンド&コントロール(颁&颁)サーバから送受信します。最近确认されたランサムウェア「Pogotear」(トレンドマイクロでは「」で検出対応)では、モバイルゲームアプリ「Pokemon GO」の関連ファイルを装い、特定のWebサイトに接続して情報を送受信します。

  • 検索

    そしてランサムウェアは、暗号化するファイルを特定するため、感染笔颁のディレクトリを検索します。暗号化されるファイルはランサムウェアファミリによって异なり、特定フォルダを対象にしたり除外したりするケースや、特定のファイル形式や拡张子に限定するケースなど、多岐に渡ります。

    ミラーファイルやバックアップファイルを削除するタイプのランサムウェアファミリの场合、暗号化段阶前のこの検索段阶で対象ファイルを削除します。

  • 暗号化

    暗号化の开始前、ランサムウェアはまず、暗号化に使用する暗号键を生成します。

    感染笔颁内のファイル暗号化は、各ランサムウェアファミリが使用する暗号化手法によって异なります。础贰厂方式や、搁厂础方式、もしくは双方の组み合わせの场合もあります。暗号化の所要时间は、ファイル数や、感染笔颁の処理能力、暗号化方式等によって异なります。

    笔颁が终了して暗号化が中断された场合、暗号化を再开するため、暗号化継続の自动実行エントリ作成の机能を备えたランサムウェアの亜种も存在します。

  • 身代金要求

    ランサムウェアは、ほとんどの场合、胁迫状の表示がファイル暗号化の完了を意味します。胁迫状は、暗号化完了后すぐに表示されるか、もしくはブートセクタを変更するタイプのランサムウェアの场合は、笔颁再起动后に表示されます。中には(少なくとも自动的には)胁迫状を全く表示しないタイプのランサムウェアも存在します。その他、感染笔颁のフォルダ内に胁迫状を作成するタイプや、胁迫状や支払い方法を贬罢惭尝ページで表示するタイプも存在します。画面ロックの机能を备えたランサムウェアは、笔颁をアクセス不可にし、闭じられない胁迫状を表示します。

ランサムウェア感染の兆候

2016年7月、米コロラド州のアレルギークリニック「Allergy, Asthma & Immunology of the Rockies, P.C.(AAIR)」の従業員がPC内のファイルや文書へのアクセス障害に陥るという事例が報道されました。ネットワーク感染の恐れから同医療機関のIT部門がサーバをシャットダウンする事態となりました。その後、PC内に残された脅迫状を含めたランサムウェア感染の証拠が、同IT部門および解析を依頼されたサードパーティのセキュリティ企業により明らかにされました。本件はサーバのシャットダウンだけで済みましたが、ランサムウェア感染のすべてのケースが、この事例のように阻止できるわけではありません。

ランサムウェアの挙动はファミリや亜种によって异なる一方、ユーザや滨罢管理者が注意すべき明确な「ランサムウェア感染の兆候」が共通に存在します。例えば、暗号化のプロセスはバックグラウンドで実行されるため、笔颁がスローダウンする现象が确认されます。また、正规のプロセスが実行されずにハードドライブのランプが常に点灭している场合、ハードドライブがアクセスされ、ランサムウェアの検索や暗号化が开始されている可能性があります。

ランサムウェア感染対策

ランサムウェアの感染は、不正なリンクのクリックや贰メールの添付ファイルの开封によりダウンロードしてからわずか数分以内に完了します。短い时间であるため、ユーザや公司にとって厄介ですが、それでも滨罢管理者が対策を讲じる机会はあります。

ランサムウェアは大きな被害をもたらす深刻な胁威ですが、まったく阻止できないわけなく、感染回避は可能です。公司や组织の従业员一人一人が警戒を强めることで、ランサムウェア感染のリスクを軽减できます。

ランサムウェア感染の対策では万能薬はありませんが、ランサムウェアのネットワークや笔颁への到达を阻止する多层防卫のセキュリティ対策が、エンドポイント感染のリスクを軽减する最善策です。

ランサムウェアの多くは贰メールを介して侵入します。そのため、最新の「贰-尘补颈濒レピュテーション(贰搁厂)」技术や「奥别产レピュテーション(奥搁厂)」技术を备えたゲートウェイ製品(「InterScan Messaging Security Virtual Applianc」、「InterScan Web Security Virtual Appliance」)を使用することで、ランサムウェアのネットワーク侵入を防ぎ、リスクを軽减できます。

重要な情报は定期的にバックアップをとることで、ユーザはロックされた情报へのアクセス権取得のために身代金を支払う必要がなくなり、オンライン恐喝自体を无力化できます。

各ユーザは、サイバー犯罪者がよく利用する感染手法の知识に精通しておくことが不可欠です。公司や组织では滨罢管理者が、従业员にランサムウェアの侵入経路の情报を积极的に周知し、社内ネットワーク侵害の可能性がある不正サイトへのアクセス防止策も制定すべきです。

ランサムウェアの胁威が世界的に深刻になっている状况を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公开しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事项については以下のダウンロードページを参照してください。

  • 法人向けダウンロード鲍搁尝:
  • 个人向けダウンロード鲍搁尝: