このページの本文へ

Q:ランサムウェアに感染したら、もうおしまいですか?

2017年12月22日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

A:いいえ。復元できるかは状況によるが、できることはある

 2017年のセキュリティ事件で、もっとも騒がれたものの1つにランサムウェア(Ransomware、身代金を意味する「Ransom」と「Software」による造語)が挙げられる。パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する不正プログラムのことだ。

 とりわけ被害が大きかったのが「WannaCry」だ。150ヵ国以上で35万件以上にもおよぶ感染被害をもたらした。日本でも製造業や運輸などの主要業界で被害が報告されるなど、世界規模で影響を及ぼした。また、2017年6月には、WannaCryと同じくネットワーク経由で侵入・拡散できる性質を持った「Petya」と呼ばれるランサムウェアの亜種による被害も広がった。その被害の大きさから、ランサムウェアを今年初めて知ったという人も多いだろう。

 個人であれ企業であれ、ランサムウェアへの対策は喫緊の課題といえる。今すぐできる対応としては、ソフトウェアを常に最新のものに更新する、マルウェア対策ソフトウェアを活用する、疑わしいファイルやメールのリンクを開かない、常にデータのバックアップを取る……などが挙げられる。これらの情報はセキュリティベンダーらの努力によって、多くの人に周知されてきた。

 それでも、知らないうちにうっかり感染してしまったということは(残念ながら)絶対にないとは言い切れないだろう。あるいは会社内の人間、もしくは家族などが被害に遭い、助けを求められることがあるかもしれない。そうなったら、あなたは「何をすればよいのか」知っているだろうか?

 もちろん、一番のぞましいのは被害に遭わないことだ。それでも、被害に遭ったときに何をするべきかを知っていれば、いざというときに対応や助言ができるだけではなく、似たような脅威が流行したときの心の備えにもなる。

 ランサムウェアに対する意外と知られていない「起きてしまった後の対策」を知っておこう。McAfee Blogから「奇跡の復元!ランサムウェアの被害後の効果的な3つの復元方法」を紹介する。

奇跡の復元!ランサムウェアの被害後の効果的な3つの復元方法

 ランサムウェアに感染してしまった。バックアップもとっていないし、どうにかしてデータを復元できないものか……。

 暗号化型のランサムウェアに感染したケースにフォーカスして情報をまとめました。

 復旧の保証はできませんが、現状考えられうるオプションは、まずは、感染しないように隔離し、無償アンチウイルス等入手してランサムウェアを駆除しましょう。その後、暗号化されたファイルを復号できるかどうかの望みにかけてみるという手順です。

では、大きく2つの流れで進めていきます。

1.感染したとわかったら、まず感染端末を隔離しましょう

 ファイルが読み取れなくなり、身代金を請求するメッセージが出てきてしまっている状況でしたら、ネットワーク回線を抜き、二次感染を防ぐため端末を隔離しましょう。

 もし、感染端末にアンチウイルス製品等をインストールしていない場合は、無償駆除ツールなどを入手し、インストールして駆除しましょう。各ベンダー製品のトライアル版などでも構いません。

2.ファイルの復元、僅かな可能性にかけてみる

2-1. 復旧手段(OSの復元機能に託してみる)

Windowsの場合

Windows のシステム復元機能を使ってみる
 WindowsVista以降のWindowsOSでは [システムの復元] 機能が実装されています。この機能を利用して復旧できる可能性があります。Windows 7, Windows 10 ではこの機能がデフォルトで有効になっています。作成された復元ポイントから以前の状態に復元できる可能性はあります。ただし、ランサムウェアの種類によっては、この復元ポイント自体を暗号化したり、破壊したりして無効化してしまうものもあります。また、復元ポイント以降に作成されたデータについては復元されない点は認識しておいてください。復元方法は以下リンクを参照ください。

Windows Vista のシステム復元方法
Windows 7 のシステム復元方法
Windows 10 のシステム復元方法

Mac OS の場合

 Mac OS については被害のケースによって対応が異なりますので、OS復元の対応ではなくNo More Ransomの利用から始めてみることをお勧めします。2-2. を参照、トライしてみてください。

 Appleのサポートコミュニティで、もしもランサムウェアに感染した場合の投稿もあわせて共有します。

 Mac OS では、Time Machine といわれるバックアップユーティリティが実装されています。この機能を活用されている場合は、以前の状態に復旧することができます。「Time Machine で Mac をバックアップまたは復元する方法

 一部のランサムウェアによる暗号化の場合は復号可能な場合があります。

 次のような場合に復号が可能な場合があります。
•使用された暗号化方法が脆弱な場合
•ランサムウェアの作成者が誤ったコードを使用
•ランサムウェアの作者が逮捕され、当局が復号鍵を入手
 といった場合です。
 注: 残念なことに、ランサムウェアによって暗号化されたファイルはほとんどの場合、復元できません。

2-2. No More Ransom サイトを活用してみる(使い方)

 主要なベンダーや法的機関が連携・協力して、ランサムウェアの撲滅をめざしているプロジェクトサイトです。復号可能なツールをまとめて、情報提供しています。トップサイト上で、ツールを取得できるかどうか確認できます。

 確認に必要なファイル:
・ランサムウェアに感染して暗号化されてしまったファイル・2ファイル
・脅迫文か書かれているファイル テキスト文書(.txt) もしくはHTML ァイル

活用の手順は以下

 結果が表示されます。対応可能な場合 ダウンロード可能なツールリンクが案内されます。案内に従ってダウンロードリンクをクリックしてください。この例では、Kaspersky Labがツールを提供しています。

 ダウンロード リンクの下に、初めにお読みくださいというリンクがあるので、こちらを確認しましょう。この例では、リンクを開くとPDFファイルが開き、ツールの使い方の説明をステップごとに示しています。この説明書 (How-to guide)は英語です。

 最初に、重要事項として、ツールを活用して復号化する前に、アンチウイルスソフトを使って感染したマルウェアを駆除するようことを推奨しています。また、駆除しない限り、復号後も同じ感染にあってしまうためです。ほとんどのアンチウイルスソフトウェアで駆除できるともコメントされています。駆除するためにアンチウイルスソフトが必要な場合は、1 で挙げた、無償ソフトのリンクを参考にしてください。

 次に、ダウンロードリンクをクリックすると、ファイルのダウンロード先を指定して、ダウンロードします。 この場合は、rakhnidecryptor.zip というZIPファイル形式になっています。

 ZIPファイルを解凍します。この例では、解凍後の RakhniDecryptor.exe が復号ツールに該当します。こちらをダブルクリックすると、ツールが実行されます。説明書に従って復号をすすめます。

 対応不可能な場合 Bad News が表示されます。

2-3. 各ベンダーの無償ツールを試してみる

 セキュリティベンダーでも特定のランサムウェアに対応した復号ツールを提供しています。各ベンダーサイトで 無償ツールを試してみるのも1つの手段です。

・トレンドマイクロ – ランサムウェア ファイル復号ツールを無供
・カスペルスキー – ランサムウェア対応 無料復号ツール
・マカフィー – 英語での提供になりますが、McAfee Ransomware Recover (Mr2)

著者:マカフィー株式会社 マーケティング本部

カテゴリートップへ