まずは、簡単な概要と攻撃対象についてみていきましょう。

やばさでいうと、ランサムウェア自体は近年猛威を奮っている厄介なマルウェアです。

性質を簡単に言えば、データを暗号化して返してほしければと
身代金を要求すると言ったものです。

この画像からわかるかもしれませんが、読み取れるファイルを
勝手によくわからない暗号に変えます。


そうすればファイルを見れなくなってしまう。使い物にならなくなってしまう。
で、返してほしければお金をよこせというのです。

このマルウェアは現在では様々な大手企業やインフラ関係を
標的にした攻撃が相次いでおり、
マルウェアやコンピュータに詳しくない人でも
名前を聞いたことがあるのではないでしょうか。

主な攻撃対象は、
個人はもちろん企業や病院が狙われることがあります。

企業については個人情報などやシステムを止められる厄介さなどから
想像に難くないですが、医療関係なども狙われやすいです。

では病院はなぜでしょう?

答えは電子カルテを用いて患者の情報を管理していることがあり、
電子カルテが使用できなくなってしまえば
手術などを行えなくなってしまいます。
そうすると命にかかわるために、身代金を払ってしまう。
といったように病院などに対しても攻撃を行う事例があります。


また、身代金を支払ったとしても暗号化が解除されるとは限りません。
当然ながら身代金を要求するということからも
返してくれるほどやさしいとは限りませんし。

ですので、実際に身代金を支払おうが支払わなかろうが、
どちらにせよ甚大な被害は免れません。

といったようなのが、簡単な概要と攻撃対象となります。
かなり恐ろしい攻撃ですので、常に対策を心がけましょう。

侵入経路はウイルスやワーム、トロイの木馬といった経路を経由することがあります。
つまりは、侵入に関しては通常のマルウェアと同等の対策を行えば問題がないとも言えます。
要するに、変なファイルを開かない・ダウンロードしない・実行しない の徹底と
OSとセキュリティソフトを最新にすること、がもっともな対策でしょう。

さて、続いては感染直後の対処です。
感染した段階であればまだセキュリティソフトの動作は可能で、
その間に検知して駆除する・あるいは事前保護を有効にすることができれば
ある程度防ぐことが可能なはずです。

ただし、
ランサムウェアをセキュリティソフトが検知できない場合も
そこそこあることには注意が必要です。
このタイミングにて早期に発見することができれば、
すぐにコンピュータをネットワークから切り離すのが大事です。
そうすれば、感染をほかのコンピュータに拡散せずに済みます。


また、さらにその感染する前に
定期的なバックアップを設定しておくことをお勧めします。
バックアップとは、
ようするに特定の時点のデータをまとめて別のところに保管するようなことです。

もちろんバックアップは端末内ではなく、
外部のSDカードやUSBメモリなどやクラウドサービスに
バックアップに行うことが重要です。
（端末内のファイルだと丸々暗号化させられてしまうため）

では次に、侵入・感染直後に防ぎきれずに
いわゆる発症して暗号化されてしまった場合についてみていきましょう。


ここまできてしまうと対応はかなり難しくなってしまいます。
しかしながら感染を知ることになるのはこの段階となることが多く、
実際にそのような事例は多いのではないでしょうか。

では、少しづつ進めていきます。

彼らはまず、データを暗号化して身代金を要求してきます。
だいたい数日以内に身代金を支払わなければデータを削除する
と脅してきます。

この段階では必ず留意していただきたいのは、
もうこの段階では私たちのデータやコンピュータは
実質的にはすでに私たちが直すのに不可能な段階に達しているとも言え、
完全な修復は困難であることです。


ですので、完全な修復よりも感染を拡大させない、
被害を広げない、
できる範囲最大限の修復をするための行動をすることになります。


なお、この段階では
セキュリティソフト自体も暗号化されてしまうため
動かすことが困難となってしまうことがあります。

ではまず最初の行動として、焦っても絶対に身代金を支払わないことが重要です。
身代金の行方なんぞには言及は致しませんが、
ランサムウェアで資金を得ようとする組織に
金銭を支払うということは良い選択ではありません。
少なくともランサムウェアを作る時点でいい存在ではないでしょう。

さらには、そのような組織は
ビットコインなどで支払いを求めてきます。
なぜ通常のお金じゃないんだろうってところからも、
如何に怪しいものか、悪用される可能性があるか
を推測することができます。

また、支払ったとて本当にデータが復号されてまた元通り使えるかと言えば
そうでもありません。

なぜならば、相手が本当に約束通りに
戻してくれる保証はありませんので。

ただ、企業の場合は
相手のデータを公開すると言ったような声明が出されてしまう場合
があります。

それでも絶対に支払ってはいけません。 理由は、先ほど申したようによからぬことに使われる可能性が高いためです。

ということで、相手の命令は無視しましょう。



続いてこの状態のときに特に最優先でやるべきことは、
ネットワークを介した感染を避けるために早急に
Wi-Fiの接続等から隔離してください。
イメージしにくいかもしれませんが、
端末のWi-Fi接続などを遮断して感染拡大を防ぎましょう。

早期に遮断をすることで、
他のコンピュータへネットワークを介した侵入や
バックアップデータの損失を抑えることもできるはずです。

このランサムウェアは経路をワームのようにたどることが多く,
感染したコンピュータから侵入できる別なコンピュータにも
同じように脆弱性などを狙って攻撃していきます。
企業などの場合はデータセンターが
一つ壊滅的な被害を受けることになる場合もあります。

そして、二次感染を封じ込めた上で
専門家の方に判断を仰いでください。

このランサムウェアは一般的なレベルでは
直すことはできません。
一般的に感染するレベルであれば
復号ツールなどがある場合がありますが、
そもそも一般の方が使うのは大変です。
例えば別のPCを用意したりしないといけないといったようなことが起こります。


手間とはなりますが、ランサムウェア復旧の業者などに
依頼することを推奨させていただきます。

追加でいうとシャットダウンなどを引き金にしてデータを削除してしまう場合もあります。
そのため、電源を切らないでずっとつけておくのも大事です。



ここまで書かせていただきましたが、かなり絶望的な状況となってしまいます。
そして、復旧ができない場合に関しては
最悪コンピュータ自体を初期化することもあり得ます。

そうなってしまえば、自分が数年間使ってきたPCのデータがすべて消え失せます。


そのためのバックアップが事前対策として必要なんです。
バックアップがあれば初期化してもまた前の作業段階に戻すことが可能です。
なので、場合によってはバックアップを取りましょう。

ここからは少しばかりの余談となりますが、
大手企業を標的にした攻撃になってしまうと
一般的なものの他に特別に作成された
ランサムウェアが使用されている場合があり、
そのような場合はより検知や回復が困難になる可能性があります。


あとは、企業のシステム自体に侵入された場合は
システムの再構築などを行わなければならない場合があり、
いずれにせよ非常に大きな負荷となります。

といったように、今回はランサムウェアについてみていきました。
説明の通り、事後になってしまうと完全復旧といった対処は
困難で莫大な損害を受けることになります。

ですので、事前に感染しないような対策を行うのが大事です。
それこそ通常のマルウェアと同様の
怪しいファイルのダウンロード・実行を行わない

OSやセキュリティソフトを最新の状態にする。

怪しいものには触れない。

また、ファイアウォールなどでネットから入り込まれないようにする。


といった対策が重要になるでしょう。
また、感染を想定しての定期的なバックアップなんかも
感染した場合に有用です。


最後に、ランサムウェアは現在非常に大きな脅威として認知されています。
実際に非常に多くの企業や個人や公的インフラに対して攻撃が行われています。
当然ながら個人も対象であるため、気を抜かずに当事者意識をもって対策に取り組みましょう。


これにて今回のランサムウェアに関することへの対策などについて終わりにさせていただきます。
今回は非常に難しいものとなってしまったかもしれません。

ですので、きちんと調べてより良い対策などについって知っていきましょう。
ではながくなりましたが、これで終わりにさせていただきます。
本当にご閲覧ありがとうございました。

次回はセキュリティソフトについて触れていきましょう。