普段はBlossomsArchiveというサークルで普通のブログを書いています。
この記事はより多くの人に読んでもらいたく、サークルサイトのブログで書いたものを移植しています
先日、Twitter(X)にて「ランサムウェアに身代金を払うなっていう考えは、半分正解で半分間違い」というツイートをしたところ200を超えるいいねを頂いたので、セキュリティを専門にしている立場からの目線でわかりやすく詳しい解説をしようと思います。
そもそもランサムウェアとは何なのか
ランサムウェアとはWindows、MacOS、GNU/Linux、BSD、iOS、Androidなどのマシンに侵入し、マシン上のHDDやSSDに保存されているデータを暗号化して読み込みなどができなくなり「暗号化を解除してほしければ金(現金、ビットコインなど形態は様々)をよこせ」と被害者を脅迫し、金を得ようとするコンピューターウイルスの一種です。
ランサムウェアはネットワーク内のマシン全てを感染させ、各マシンから身代金を得るために、トロイの木馬の働きも持っていて増殖してネットワーク全域を汚染しようとします。
ですが、一般的にランサムウェアには個人のデータを外部に持ち出そうとするものはありません。理由は後ほど。
ランサムウェアの目的とは
結論として、ランサムウェアの目的は”身代金による利益”が目的です。
ランサムウェアに感染し身代金を払う人が多く、それがサイバー犯罪の犯人の収益になっています。
これが俗に言う”ランサムウェアビジネス”です。
ランサムウェアの要求通りに身代金を払うとどうなるのか
要求された金額の身代金を支払うと、ほぼ確実に”データは復元されランサムウェアから開放されます”。
なぜ開放されるのか
答えは単純です。
先述の通り、ランサムウェアはサイバー犯罪者の収益源となりビジネス化しています。
普通のビジネスにおいて企業と顧客の信頼性や、高い評判が成功のために大事なのと同じように、ランサムウェアビジネスにおいても犯人と被害者の信頼性が重視されています。
もし”身代金を払ったのに開放されない”なんていうことが発生すると、被害者は「払ったら良いって書いてるから、払ったのに開放されなかった」とインターネットや身の回りの人に言うでしょう。
そうすると「ランサムウェアに引っかかったら、身代金を払っても意味ないんだ」という情報が広がり、サイバー犯罪者側の利益が大幅に減ってしまいます。
そうならないように、”身代金をきちんと払えば、ちゃんと開放される”という体験を植え付け、その情報が広がっていき、新たな被害者からも確実に身代金を受取って利益を得ようとしているのです。
開放されるのになぜ身代金を支払ってはいけないのか
ここまでの内容であれば、「身代金を払うことによって開放されるなら払えばいいじゃん」と思われるかもしれません。
なぜ身代金を払ったらいけないのでしょうか。
理由は3つあります
稀に開放されないケースがある
後々の利益を考えていないのか、そのランサムウェアが今は管理されていないのか、なんらかの理由によって支払っても開放されないケースはやはりあります。
そうなると無駄金を使っただけで、なんの意味もありません。
新たな被害者を生むことに繋がる
犯人にとって身代金を払ってくれたという成功体験が次の攻撃を生み、新たな被害者(感染者)を生むことに繋がります。
また、被害者が支払って開放されたことをどこかで言うことも、新たな被害者(感染者)を生むことに繋がってしまいます。
それによって、犯人が成功体験を得て、また新たな被害者が...という負の連鎖を生むことにも繋がってしまいます。
犯人の活動資金になってしまう
サイバー犯罪を行うには、コンピューター、インターネット環境、ウイルスの開発費用など様々な資金が必要になります。
身代金によって生まれた収益源がそういった次の犯行や、新たなサイバー犯罪ビジネスの軍資金となってしまい、新たな被害者を生んでしまいます。
ランサムウェアに感染したらどうするべきなのか
一個人のマシンで保全やインシデント報告の必要がないのであれば、そのままマシンを初期化(OSのクリーンインストールなど)して感染前のバックアップデータから復元しましょう。
コンピューターウイルスは侵入経路をインシデント発生後に掴みにくくするために、半年以上前から潜伏していることもあるので復元後にウイルススキャンツールでフルスキャンをして安全を確認するようにしましょう。
企業などでインシデント対応の手順がまとめられている場合はそれに従って対処しましょう。
日頃からできる対策
対策として日頃から
- ソフトやOSのバージョンは常に(安定版の)最新バージョンにしておく
- 怪しいメールやサイトを開かない
- 怪しいアプリは入れない
- 定期的にウイルススキャンをする
など基本的なところから徹底しましょう。
しかし、それでも万が一ウイルスに侵入されてしまったときの事を考慮して、
- バックアップデータを定期的に取っておく
- もし感染したときの対応手順を心得ておく
などの対策も合わせてやっておきましょう。
注意点としてはバックアップデータはDVDなど感染の広がる恐れのない場所にとるようにしましょう。
マシン内や他のマシン内に保存されていると、LAN経由で感染が広がりバックアップデータも使用できなくなる可能性が高いです。
最後の最後の苦肉の策として、ほぼ賭けのような感じで身代金を支払うという選択肢は有りです。
ですがそうならないように、確実に復旧できるように、普段から対策をしておきましょう。
おまけ
一部報道で”KADOKAWAがランサムウェアに身代金を支払った”という内容が出ているので、「仮に支払っていたらどういう状況なのか」という想定で考察してみようと思います。
公式情報以外のメディアの情報は何が本当かわからないため、公式情報のみを信じるようにしましょう。
本記事では「仮に支払っていたらどういう状況だったのか」を想定しています。
まず、KADOKAWAがデータの定期的なバックアップを行っていないわけがありません。なので、バックアップからの復旧は可能でしょう。
それでは、なぜ身代金を支払ったのでしょうか。
ランサムウェアはマシンを使用不可にして身代金を要求するだけの能力しかありません。
ですが、今回は情報漏洩を起こしています。ということから、ランサムウェア以外の手段で情報を盗まれたということが想定されます。
「身代金を払わなければ7/1に情報をばらまく」という一部報道の内容も、ランサムウェアの動きとは別のアプローチの文章です。
そのことから、KADOKAWAはランサムウェアではなく、情報を漏洩させると言っている犯人グループに対して金銭を支払ったことが分かります。
この場合、もうバックアップなどは役に立たないので、言われたとおりに金銭を支払うしか方法が無かったのでしょう。
と考察してみましたが、公式情報ではないですし私はKADOKAWAとは無関係なので、KADOKAWAが7月中に出すと言っている公式情報を待つしかありません。
出所不明で真偽不明の情報に踊らされず、真実を見極める能力もサイバーセキュリティの対策になります。