• 前回はマルウェアの1つである、ウイルスについてお話しました。
  ウイルスとは、単独では存在できず他のファイルに寄生するマルウェアのことです。
  感染すると、情報漏洩、PC損壊等の被害につながるだけでなく、他のファイルやPCにまで感染したり、自動でウイルス付きのメールを配信したりといった特徴があります。
  前回の動画では、Emotetという事例を挙げて説明しました。
  さて、今回はワーム型のマルウェアの1つである「ランサムウェア」の特徴や対策を、実際の事例を使って分かりやすく説明しますよ。

①ランサムウェアとは

• ランサムウェアとは、ファイルを暗号化したり、ロックをして使えなくし、復旧することと引き換えに金銭を要求するマルウェアの1つです。
  身代金という意味のransomと、ソフトウェアを組み合わせた造語となっています。
• 聞いただけでも恐ろしい・・・
• また、ランサムウェアはIPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威2021」において、最も脅威のあるマルウェア1位として警告しているくらい、危険なマルウェアなのです。
  ランサムウェアで最も有名なのは、2017年5月に全世界150カ国で流行した「WannaCry」でしょう。
  WannaCryは英語で「泣きたくなる」という意味を語源とするマルウェアで、約23万台、被害額では4600億円規模の損害を与えたマルウェアです。
  有名な会社では、本田技研やJR東日本、日立製作所といった大手も被害を受けたことで、連日ニュースとなっていました。
  WannaCryの特徴は、Emotetと異なりWindowsの脆弱性を利用して侵入するマルウェアなのです。
• 脆弱性？

②脆弱性とは

• 脆弱性とは、簡単に言うとソフトウェアのウィークポイント（弱点）のことです。
  詳しく言うと、ソフトウェアにおいて、プログラムの不具合により発生したセキュリティ上の欠陥のことを言い、セキュリティ上の穴という意味で、セキュリティホールと呼んだりもします。
  この動画をご覧になっている皆さんは、普段Windowsのパソコンを使っている方も多いと思います。
  Windowsのような誰もが知っているソフトウェアでも完璧な状態ではなく、様々なセキュリティホールが存在します。
• えっ！そんなセキュリティホールがあるような製品を、天下のマイクロソフトが発売しているの？
• はい。
  マイクロソフト社もしっかりと検証をしてから、Windowsを世に送り出していますが、どうしても検証では見つけられないセキュリティホールが残ってしまいます。
  セキュリティホールは人間に例えると傷のようなものです。
  傷をそのまま放置しておくと、細菌やウイルスがそこから侵入してしまいますよね。
  そうならないように、絆創膏のようなパッチを貼って侵入を防ぎます。
  ソフトウェアもセキュリティホールが発見されると、ソフトウェアを開発したメーカーが修正プログラムを作成して提供します。
  Windowsの場合には、WindowsUpdateですね。
  この修正プログラムのことをソフトウェアのパッチということで、セキュリティパッチと呼んでいます。
  しかし、セキュリティホールは完全に対策を施すことが困難であり、次々と新たなセキュリティホールが発見されているのが現状です。
• それってどうにもできないの？
• いえ、そのため、常にセキュリティパッチの更新情報をリアルタイムに収集して、できる限り迅速にアップデートを行わなければなりません。
  なので、WindowsUpdateも手動ではなく、自動実行を推奨されていて、提供された更新プログラムを即座に適用できる仕組みとなっているのです。
  WannaCryはこのようなWindowsの脆弱性を狙って侵入しました。
  WannaCryは単独で存在でき、かつ自己増殖するワーム型のランサムウェアのため、1台のコンピュータに侵入した後、次々と同じネットワーク内にあるコンピュータに感染するとてもやっかいなランサムウェアだったため、これだけ被害が大きくなったと言われます。
• でもさ、Windowsの脆弱性ってWindowsUpdateを行えば防げるんでしょ。
  本田技研やJR東日本などの大手ってそういった対策しっかりしてそうだけどな。
• 実は、大手ほどこのような対策ができていなかったというのが現状です。
  大手企業は中小企業よりもいち早くITシステムを導入していますが、古いITシステムの多くは、基本ソフトであるWindowsをベースに開発しているため、それを更新すると動かなくなってしまうものが多かったのです。
  例えば、経理システムや在庫管理システムなど、多くの支店で利用する大規模なシステムを使っていると、そのシステム自体をアップデートしなければ、最新のWindowsで動くようにはなりません。
  ただし、大規模なシステムになるほど、そのシステム自体をアップデートするにも何千万、何億円といった予算が必要となったり、一度慣れたシステムをそのまま使いたいという要望が現場に強く残っていたりすると、セキュリティよりも古いシステムを使い続けることのほうが、優先となってしまうのです。
• そうなんだね。
• なので、WindowsUpdateをしたくてもできない状況下を巧みに狙ったランサムウェアとも言えるでしょう。

③ランサムウェアに感染すると

• ねぇ、WannaCryに感染したらどうなるの？
• 感染したら、何か悪さをする前に、まずは感染を拡げるよう自分のコピーをばらまきます。
  このあたりも実に巧妙ですね。
  コロナウイルスの場合も、高熱が出たり、喉の痛みや咳が出た場合には発症のサインとなります。
  発症のサインが出れば、その人を隔離したり、休校にするなどして事前に対策ができますよね。
  しかし、その発症のサインが出ない無症状の場合には、事前対策ができず感染が拡がりやすくなります。
  ランサムウェアにとって、悪さをする＝発症のサインとなりますので、発症のサインを出す前に感染を拡げたほうが、効率的だろうと考えたわけですね。
• なるほど。
• そしてその後、ファイルを暗号化します。
  よく謎解きで暗号化の問題が出ますが、同じように、ある一定のルールに従ってファイルを暗号化します。
  この、暗号化した文字を元に戻すことを復号化と言います。
• でもさ、暗号化されても、コンピュータを使って解読しちゃえばいいんじゃね？
• それが簡単ではありません。
  謎解きのようにヒントはありませんし、謎解きと違ってかなり複雑なルールで暗号化していますので、兆や京を超えるくらい天文学的数字のパターンを繰り返さなければ暗号化を解けず、コンピュータを使っても10億年以上かかってしまうのです。
  会社には、顧客リストや製品情報、マニュアルや仕様書といった様々な重要な機密情報が電子データとして保存されていますので、それらが暗号化されてしまうと経営的なダメージは計り知れないことは分かりますよね。
• うんうん。
• WannaCryはそこに付け込み、一通りのファイルを暗号化した後に脅迫状を画面に表示します。
  こちらが実際の脅迫状です。
  ファイルを復号化したければ1台につき、身代金として300ドル相当をビットコインで支払えというメッセージですね。

• えっ、多くの会社は300ドルを払って復号化したってこと？
• 実際は支払った会社もありますし、支払っていない会社もあります。
  まず支払ったところで、復号化してくれる保証なんてどこにも無いからです。
  また支払ったそのお金が、新たなマルウェア開発の資金となり、被害が拡大するきっかけになるからです。
• そうなんだね。じゃ、暗号化されたファイルはどうすればいいの？
• こういった場合、ウイルス対策ソフトを提供しているメーカーなどがランサムウェア ファイル復号ツールを無料配布していることがありますので、まずはそちらを調べましょう。
  そちらになければ、諦めましょう。
• へ？そうなの？
• パソコンが壊れてしまったと思えば良いだけです。
  実際に個人ユーザーのほとんどは身代金を払わずに、パソコンを初期化して復旧したそうです。
  そうなったときのために、日頃からファイルのバックアップを取っておくことはとても重要なのです。

まとめ

1. ランサムウェアとは、ファイル暗号化し金銭を要求するマルウェアのこと。
2. セキュリティホールを狙われるので、WindowsUpdateなどのセキュリティパッチは常に適用するようにしよう。
3. ランサムウェアに感染してしまっても、絶対に身代金を払ってはダメ！
4. 感染したら、ファイル復号ツールを探し、見つからなければ諦めよう。
5. 感染したときのために、日頃からファイルのバックアップを取っておこう。