ランサムウェアに関する情報

  • 文章 ID: 119006
  • 更新日: 2015 6 21

この文章では、「ランサムウェア」として知られるマルウェアに関する情報および一般的な質問に対する回答を記載しています。

影響を受けるソフォス製品とバージョン

?????????

OS
Windows のみ

ランサムウェアとは?

ランサムウェアとは、コンピュータ自体またはコンピュータ上の重要なファイルにアクセスできないようにし、コンピュータまたはそのファイルへのアクセスと引き換えに金銭を要求する悪意のあるソフトウェアです。SophosLabs で一般的に見つかるランサムウェアには次の 2つのタイプがあります。

  • 個人のファイル / フォルダを暗号化する (マイドキュメントフォルダの中身の文書、スプレッドシート、画像、動画など)。ファイルが暗号化されるとファイルは削除され、通常、同じフォルダ内にはファイルにはファイルにアクセスできるようにするためには支払が必要であることを指示するテキストファイルが残されます。ロックされた画面が表示される場合もありますが、このタイプのランサムウェアのすべてで表示されるわけではありません。ファイルを開こうとした場合にのみ問題に気が付きます。このタイプは、"ファイル暗号化型" のランサムウェアです。たとえば、CryptoLocker は"ファイル暗号化型" で Sophos Anti-Virus は Troj/Ransom-ACP として検出します。

  • 画面を "ロック" (他のウィンドウをすべてブロックするフルスクリーンの画像を表示) して、ロックを解除するための支払いを要求します。個人のファイルは暗号化されません。このタイプのランサムウェアがコンピュータ上で実行された例のスクリーンショットは以下です (クリックすると拡大表示)。このタイプは、"WinLocker" 型と呼ばれるランサムウェアです。
ランサムウェアのスクリーンショット

"MBR ランサムウェア" と呼ばれるものもあります。 MBR (マスター ブート レコード) とは、OS の起動を可能にするコンピュータのハードドライブ内のセクションです。MBR ランサムウェアはコンピュータの MBR を変更し、通常の起動プロセスを中断させ、画面上には身代金の支払いを求めるメッセージが表示されるようになります。

動画: Cryptolocker の動作 (英語)

CryptoLocker とは新しいタイプのランサムウェアで、個人のファイルを暗号化した後、復号化するために 300ドル程度の支払いを要求するというものです。詳細については、以下の動画 (英語) をご覧ください。

このタイプの攻撃を受ける可能性のある OS は?

大半のランサムウェアの攻撃対象は、マイクロソフトの Windows OS です。

Sophos Endpoint Security and Control はランサムウェアからの攻撃からコンピュータを保護できますか?

はい。ただし、マルウェアの作成者は常にアップデートを行い、新たな亜種を作り続けています。Sophos Anti-Virus 設定のベストプラクティスに従って、お客様のコンピュータに最新の保護対策を適用しておくようにしてください。

以下の文章をご活用ください。

ランサムウェアの感染方法と対策

感染経路 感染方法 対応策
スパムメール スパムメールの添付ファイルを開く

IT 管理者:

  • スパムメールがエンドユーザーに送信されるのを阻止します。
  • 受け取る予定のないメールの添付ファイルを開かないようにユーザーに対して指示・教育を行います。
  • ローカルのウイルス対策がすべてのコンピュータで最新の状態で有効に設定されていることを確認します (ユーザーがと保護機能を無効にしていないことを確認します)。
  • (エンドポイントがアップデートを実行する) 共有ディレクトリが Sophos Update Manager からアップデートを受け取っていることを確認します。コンソールを確認してください。

一般ユーザー:

  • 予期していない送信者からのメールへの添付ファイルは開かないでください。
  • 早急な返信や対応を要求しているようなメールへの添付ファイルには殊に注意します。送信元を考慮せずに添付ファイルを即座に開くことを優先してしまう可能性があります。
  • システムトレイに表示されているソフォスの盾のアイコンに赤色の×印や警告の三角アイコンが表示されていないことを確認します。
    X
      
    マウスをソフォスの盾アイコンの上に置き、「オンアクセス検索: 無効になっています」が表示されていないことを確認します。
    X
    ソフォスの盾アイコンをダブルクリックしてプログラムを開きます。左側の領域の「ステータス」画面の下にある「前回のアップデート日時」が最近のものであることを確認してください。

    盾アイコン上にマウスを置いた場合に表示される日時は、前回のアップデートが実行された日時ではなく、アップデート元にアップデートをチェックして同期を行った日時です。
  • 不明な点がある場合には IT 担当者に確認してください。
ボットネット (Botnet) お客様のコンピュータは既にマルウェアに感染していますが、ファイルを暗号化するランサムウェアではなく、マルウェアが実行されていることにも気づきません。既存のボットネットマルウェアに含められてしまうことで、サイバー犯罪者はお客様のコンピュータに含まれるマルウェアのアップデート、置き換え、追加などの "アップグレード" コマンドを実行できるようになってしまいます。 すべてのコンピュータが最新の状態にアップデートされ、フル検索がローカルまたはコンソールから実行されていることを確認してください。
OS またたはソフトウェアへの攻撃 コンピュータにインストールされている OS またアプリケーションの脆弱性をマルウェアは悪用します。 マイクロソフトの最新の修正プログラムをお客様のすべてのコンピュータに適用してください。定期的に Windows Update をローカルで実行することが重要です。IT 管理者はソフォスが提供している Sophos Patch を活用して OS や ソフトウェアの未適用の修正パッチを検出できます。詳細については、114162 の文章をご覧ください。

ランサムウェアの配信メカニズムの詳細は、SophosLabs の文書、Ransomware: Next-Generation Fake Antivirus で説明されています。

以下の文章をご活用ください。

ランサムウェアと偽ウイルス対策ソフトの違いは何ですか?

(この文章の冒頭で説明したように) コンピュータの MBR を変更して、金銭的な要求を行う、WinLockers、ファイル暗号化型マルウェアなどはランサムウェアです。偽ウイルス対策ソフトウェアはコンピュータ上の悪意のあるファイルを検出するふりをし、その削除のために代金を要求するものです。

共に不当な方法で金銭を要求しますが、方法が異なります。

ランサムウェアからコンピュータを保護するために他にできることはありますか?

お客様のコンピュータがソフォスの最新バージョンのソフトウェアを実行し、最新のウイルス定義ファイルを使用していることを確認してください。また、ソフォスのソフトウェアが最適な保護対策を提供するように設定します。

ネットワーク管理者の場合、ユーザーがオンライン上で安全を確保するための必要な教育を行い、UTM (Unified Threat Management) のような多層型のセキュリティの導入を検討してください。

以下の文章をご活用ください。

ランサムウェアが検出された場合にどのような名前が報告されますか?

  • HPMal/Matsnu-A
  • CXmal/RnsmLnk-A
  • Troj/RansmMem-A
  • Troj/RevetMem-A
  • Troj/Ransom-*
  • Mal/Ransom-*
  • Mal/Reveton-*
  • Troj/Matsnu-*

Mal/Encpk-* などのより一般的な検出名もあり、この場合にはマルウェアに共通する一般的なプロパティを共有したランサムウェアとその他のマルウェアの両方が含まれています。

悪意のあるファイルを特定してサンプルを提出する

悪意のあるファイルが見つからなかったり、感染ファイルのクリーンアップが完了しない場合、そのファイルを特定してサンプルとして提出し、SophosLabs に解析を依頼する必要があります。

悪意のファイルを特定できず、コンピュータ (ローカルまたはリモート) へのアクセスが可能な場合には、 ソフォスの診断ユーティリティの ZIP ファイルをダウンロードし、'-malware' スイッチ (マルウェアスイッチに関しては 116537 を参照) でコマンドライン バージョンを実行し、サポートお問い合わせに問題の発生した状況や状態を説明した上で、併せて出力ログファイルをテクニカルサポートに提出していください。

SophosLabs によるファイルの解析が完了すると、アップデートがリリースされ、お客様のコンピュータがアップデートを受け取るとコンピュータ (ローカルまたはリモート) へのフル検索を実行して感染ファイルを削除できるようになります。

以下の文章をご活用ください。

検出された悪意のあるファイルをコンピュータから削除する方法は?

コンピュータ上に検出されない悪意のあるファイルが存在することが確かである場合には、フル検索を実行する前に上記の「悪意のあるファイルを特定してサンプルを提出する」をご覧ください。悪意のあるファイルの存在が不明であったり、サンプルを既に提出してアップデートが既にリリースされた場合には、以下を参照してフルのシステム検索を実行してください。

ファイルが暗号化されてしまった場合の対応策は?

技術的に不可能なために、お客様のデータの復元をソフォスが実行することはできません。

悪意のあるファイルの削除が完了した場合、暗号化されたファイルを最新のバックアップファイルで置き換えてください。

注: 初期のバージョンのランサムウェアで暗号化されたファイルでは、ファイルの複合化が可能でした。しかし、最新バージョンのランサムウェアでは公開鍵と秘密鍵を使用するシステムになっており、暗号化には公開鍵が使用され、復号化には秘密鍵が必要されます。秘密鍵はサイバー犯罪者が管理するセントラルサーバーに保管されているために使用できません。

コンピュータからロックアウトされた場合の対処策は?

注: 警告の画面 (上記のスクリーンショットを参照) が表示されてコンピュータからロックアウトされ、すべての個人ファイルは暗号化されていない場合 (例: セーフモードで確認または別のネットワークコンピュータからリモートで確認)、WinLocker タイプのランサムウェアに感染しています。

1台のコンピュータ (感染コンピュータ) のみにしかアクセスできない場合は、以下を実行します。

  • 別のユーザーアカウントを使用してコンピュータにログオンします (問題が現在のユーザーアカウントのみで発生している場合にはマルウェアをバイパスできる可能性があります)。
  • コンピュータをセーフモードで再起動します。

ローカルでコンピュータにアクセスできない場合、同じネットワーク内にある別のコンピュータから感染コンピュータにアクセスする必要があります。下記を参照してください。

感染コンピュータがクリーンなコンピュータと同じネットワークに接続している場合、以下を実行します。

  • 112981 の文章を参照して、Sophos Diagnostic Utility を実行します。
  • Windows プログラムとネットワーク管理者のテクニックを活用して、リモート レジストリ エディタの接続、tasklist.exe、taskkill.exe、C$ 共有のブラウジングなどの感染を調査します。

コンピュータへのアクセスが可能になった場合、次のステップとしては画面ロックの原因となっているファイルを特定します。上記の「悪意のあるファイルを特定してサンプルを提出する」をご覧ください。

ランサムウェアに関してさらに詳しい情報が必要な場合は?

以下 (または Brainshark で) のプレゼンテーション (英語) をご覧ください。

最新のランサムウェアの例についての情報が必要な場合、nakedsecurity ブログ (英語) を購読してください。

ランサムウェアに関する PDF、Ransomware: Next-Generation Fake Antivirus もご覧ください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments