一般財団法人 日本サイバー犯罪対策センター JC3JC3 : Japan Cybercrime Control Center

脅威情報

  1. TOP
  2. 脅威情報
  3. トピックス
  4. ランサムウェア対策について
公開日:
2017.02.23

ランサムウェア対策について

ランサムウェアをめぐる状況について

ランサムウェア、すなわち、パソコンをマルウェアに感染させファイルを暗号化させるなどした上で、元通りにすることと引き換えに金銭を要求するマルウェアの被害が世界的に拡大しています。
ランサムウェアに感染した場合、金銭を支払ってもファイルが元通りにならない場合も多くあるため、かかる要求に応じることは推奨されません。

従来は、ランサムウェアへの感染につながる悪性の添付ファイルやリンク付きのメールを、不特定多数の利用者に送信して感染させる手口が一般的でしたが、最近は、VPN機器等の脆弱性を悪用したり、脆弱なパスワードのリモートデスクトッププロトコル(RDP)を狙ったりして、特定の企業・団体等のネットワーク等に侵入した上で感染させる手口もよく見られています。
また、データの暗号化だけでなく、ネットワーク等に侵入した際に機密情報等を窃取し、要求した金銭を支払わなければ窃取した情報を公開すると脅す手口(二重恐喝、ダブルエクストーション)も確認されています。

なお、ランサムウェアの概要等につきましては、トレンドマイクロ株式会社のウェブサイト(こちら)等をご覧ください。

ランサムウェアへの予防対策について

ランサムウェア対策で最も重要なのは、不正アクセスをさせないことです。このサイトにおいて紹介している復号ツールを用いても復元できるとは限りません。また、金銭を支払っても、窃取された情報が公開されなくなったり消去されたりする保証も、暗号化されたデータが復旧できる保証もありません。
大切なデータを失わないためにも、定期的なデータのバックアップや市販のウイルス対策ソフトを活用するなどして、十分な予防対策を講じてください。また、利用しているOSやアプリケーション、VPN機器をはじめとするネットワーク機器等について、既知の脆弱性に対して適切にパッチ等が適用されているか、パスワード等が脆弱な設定になっていないか、不要なサービスを無効化することはできないかなどについても、積極的に確認してください。
なお、トレンドマイクロ株式会社の上記ウェブサイトやページ下部の関連情報では、対策と予防に関するソリューションも紹介されておりますので、これらもご参照ください。

ランサムウェアに対応する復号ツールについて

ランサムウェアの脅威の深刻化を受け、トレンドマイクロ株式会社や、欧州刑事警察機構のサイバー犯罪対策機関であるEC3(European Cybercrime Centre)は、ランサムウェアによって暗号化されたファイルの復号ツールを公開しています。
トレンドマイクロ株式会社の復号ツールの使用方法、復号可能なファイルの条件等の制限事項については、以下のウェブサイトをご参照ください。

トレンドマイクロ - ランサムウェア ファイル復号ツール ダウンロード ページ

EC3が公開している復号ツールにつきましては、オランダ国家警察、Kaspersky Lab、Intel Securityと協働して、 2016年7月、ランサムウェア対策のプロジェクト「No More Ransom」として立ち上げたウェブサイトからアクセスが可能です。「No More Ransom」のウェブサイトでは、ランサムウェアに感染して暗号化されたデータを復号するためのツールが無償で提供されています。以下、その方法について説明します。

「No More Ransom」のウェブサイト
https://www.nomoreransom.org/ja/index.html
図:復号ツール利用の流れ

1.ランサムウェアの除去

暗号化されたデータを復号する前に、必ずランサムウェアや関連するマルウェアを除去してください。ランサムウェアやマルウェアが残ったままですと、仮にデータを復号しても、残存したランサムウェアによって再度暗号化されてしまったり、残存したマルウェアを経由して再度ランサムウェアに感染してしまいます。マルウェアの除去は、市販のウイルス対策ソフトをご使用ください。また、VPN機器等の脆弱性が悪用されて侵害されているように思われる場合には、当該脆弱性へのパッチの適用や、当該脆弱性の悪用によって生じ得る二次被害への軽減策の実施も併せて行ってください。

2.感染したランサムウェアの種類の特定

復号するために必要なツールは感染したランサムウェアにより異なりますので、まず、何に感染したのか特定する必要があります。「No More Ransom」では、「Crypto Sheriff」と題するページ(https://www.nomoreransom.org/crypto-sheriff.php)において、感染したランサムウェアの特定のための支援を行っています。手順は以下のとおりです。(下画像を参照)

図:ランサムウェアの特定

【手順1】
「PCから1つ目のファイルを選択する」又は「PCから2つ目のファイルを選択する」 と表示された部分をクリックして、暗号化されたファイルをアップロードします。
(右画像は「PCから1つ目のファイルを選択する」 の部分をクリックして「test.txt.WNCRY」のファイルをアップロードしたものです。ファイルは2個まで同時にアップロード可能ですが、2個同時に行うと、トップページに戻されるなどの不具合が生じることがあるため、1個ずつアップロードします。また、ファイルのサイズは1MB以下でなければなりません。)

【手順2】
身代金を要求するメッセージにおいて記載されたメールアドレス又はウェブサイトのアドレスを、空欄のボックスに入力します。テキストファイル又はhtmlファイルとしてメールアドレス等が保存されているのであれば、直接入力せずに下線の付いている「アップロード」をクリックしてアップロードすることも可能です。
なお、特に何も入力又はアップロードせずに手順3に進むこともできます。

【手順3】
「結果を見る」をクリックします。

3.暗号化されたデータの復号

「Crypto Sheriff」によって対応可能な復号ツールがあるとされた場合、感染が確認されたランサムウェアの種類と、当該ツールのダウンロードを開始するボタンが表示されます。
「ダウンロード」と表示されたリンク先にアクセスして復号ツールをダウンロードして下さい。ダウンロードの方法及びダウンロード後の使用方法については、「READ FIRST」と太字になった部分をクリックするとそれぞれの使用方法に関するマニュアル(英語)が掲載されたページ(PDFファイル)にアクセスできますので、ご参照ください。
なお、「ステップ2:犯罪を報告する」と書かれたリンクをクリックしますと、欧州各国、オランダ、米国の法執行機関への連絡先等について書かれたページに移動しますが、日本国内において被害に遭われた方につきましては特段アクセスする必要はありません。

ランサムウェアの被害に遭われた方は、お手数ですが、被害状況等について以下のメールアドレスまでご連絡いただければ幸いです。ご提供いただいた情報につきましては、ランサムウェアに係る被害状況の把握、今後のランサムウェア対策の向上等に活用させていただきます。

また、JC3では、ランサムウェアの脅威の無効化という観点から、管轄する都道府県警察のサイバー犯罪対策課・警察署への届出を推奨しております。

※なお、本ウェブサイトの情報に起因するいかなるトラブル、損害、損失について当法人は一切の責任を負いかねますのでご了承ください。

<関連情報>

ページの先頭へ