身代金は払うな

こんにちは。
無理せず自分のペースで更新していきます。

12日(金)あたりから、世界各地でランサムウェア「WannaCry(ワナクライ)」の被害が報告されています。

この週末は日経新聞の一面にも取り上げられたりしたので、気になっている人も多いのではないでしょうか。

5月15日(月)にウイルスバスターで知られるトレンドマイクロさんが、WannaCryの緊急解説セミナーを開催したので参加してきました。

セミナーでは世界各地から報告される被害状況や、解明されている仕様、事前の対策について、同社セキュリティエバンジェリストの岡本勝之氏が登壇して解説しました。


トレンドマイクロがWannaCryの緊急解説セミナーを開催。なお、同社の社内では本来WannaCryは「Wcry」の名称で呼んでいますが、今回はメディアの報道に合わせています


トレンドマイクロのセキュリティエバンジェリスト、岡本勝之氏

ここでは、セミナーで聞いた内容を踏まえ、私なりの理解と意見をまとめます。

まず、ランサムウェア(Ransomware)とは何かですが、これは侵入したパソコンを人質と見なし、身代金(Ransom)を要求するソフトウェアの総称です。

WannaCryが登場する以前にも幾つも存在し、厳密にはウイルスではないのですが、一般論としてはウイルスの一種と考えて良いと思います。
要するに感染するとヤバイってことです。

どうヤバイのか。具体的には、パソコン内部のデータを暗号化してユーザーが閲覧できないようにし、復元(復号)したければ指定額を払えと脅します。あからさまに金銭目的なのが特徴です。

今回のWannaCryは、ネットワーク経由でWindowsの脆弱性を突いて感染を広げる手口が巧妙で世界的に広まることになりました(メチャメチャ端折ってます)。


WannaCryの被害はヨーロッパを中心に世界中の国々に拡大。WannaCryはメディアによって「WannaCry2.0」「WanaCrypt0r」などとも呼ばれています


WannaCryが要求する身代金は300米ドル。安いじゃないかと感じるようでは危険

さて、WannaCryなどのランサムウェアに感染してしまったら、どうすれば良いのでしょうか。

仕事で使う重要なデータが使えなくなったり、思い出のデータが見られなくなったら、何とかして取り戻したくなりますよね。少々のお金で解決するなら出してもいいと思うほど大事なデータであればなおさらです。

ランサムウェアはそうした心理につけ込みます。

感染したらどうすれば良いのか。質疑応答でまさしくこの質問を受けた同社の岡本氏は「感染しない備えが大事。それでも感染してしまった場合、当社としては犯罪者への身代金の支払いはオススメしません。Windowsの再インストールが良いと思います」と回答しました。

これを聞いた時、私はこの先の一言を継ぐことこそ、メディアの役割だと思いました。

すなわち「データは諦めろ」です。

もし、あなたが感染して解決したくてお金を払ったらどうなるでしょう。

まず覚えておいてほしいのは、身代金を受け取る相手は、あなたを騙し、あなたの分からない技術で、あなたからお金を巻き上げようとしてる「悪党だ」ということです。

身代金を払うことでデータが元に戻る保証はどこにもありません。

それどころか、あなたのPC環境は脆弱このうえなく、あなたはセキュリティの技術に無知で、トラブル解決のために警察に届けるのではなくお金を払うタイプの人間だと、犯人に伝えたことになります。

いいカモです。たった一度の身代金ですっかり手放してくれたりはしないと思います。

おまけに、あなたが払った身代金は次のウイルスを作る費用に当てられます。そのウイルスはあなたにいの一番に届けられるでしょう。カモなんですから。

もうお分かりですね。残念ながら、もしも感染してしまったら、人質に取られたデータは諦めるのがベストです!

暗号化された時点で元に戻せぬように破壊されてしまったのだと受け止めたほうが良いです。

人の命が掛かっていれば、ここまでドライに割り切るのは難しいかもしれません。今回、イギリスでは医療機関のデータが人質に取られて大混乱になりました。もしかしたら、身代金を支払った機関もあるのかもしれません。犯人に一抹の良心があり、データをきちんと復元していることを祈るばかりです。

悪党の良心にすがる…。そんな惨めな思いをしないためにはどうすれば良いのでしょうか。

もちろん、感染しないことが第一です。そして万が一、感染しても、バックアップで復元できるようにしておく備えが第二です。バックアップで復元できれば、身代金を払うべきか悩む必要はありません。

今回猛威を奮っているWannaCryは、Windows環境のみに感染します。しかもメインターゲットはWindows XPやWindows Server 2003などのサポート期限の切れた古いWindowsです。MacやAndroidは関係ありません。
また、マイクロソフトが提供する最新のWindowsUpdateを適用しておけば感染しません。同社のウイルスバスターを始めとする、セキュリティソフトの導入も重要。法人の場合、ネットワークに繋ぐ必要のない環境は切り離しておくといったネットワークのセグメント化も有効です。

感染経路としては、メールの添付ファイルを開かせたり、本文中のURLをクリックさせることで潜り込んでくる場合と、ネットワーク経由で勝手に入り込んでくる(ように見える)場合があります。


WannaCryの感染の流れ。Windowsの脆弱性を利用して侵入し、サービスプロセスとして不正なファイルを実行します。一応載せましたが、このあたりが理解できなくても対策はできます


トレンドマイクロによるWannaCryの実行デモ。感染するとこのような画面が表示されます。意味は通じますが少々拙い日本語です

ネットワーク経由で勝手に入ってくるケースは防ぎようがないと思うかもしれませんが、実はこれはレアなケースで、個人ユーザーが自宅でルーターを使っている分にはまず問題になりません。WindowsUpdateをおろそかにしている方が遥かに危険です。

また、バックアップによる復元は、手作業でも可能ですが、バックアップ専用ソフトを利用すると便利でしょう。

今回は「感染したらデータは諦めろ」が言いたくて、それ以外の専門的なところはだいぶ端折りました。語弊のある言い回しもあるかもしれません。

もう少し詳しく知りたい、もうちょっと専門的でも分かる、そういう方はセキュリティベンダー各社のリリース(ブログ)や、IT系メディアの記事がオススメです。

●トレンドマイクロ セキュリティブログ:週明け国内でも要注意-暗号化型ランサムウェア「WannaCry/Wcry」