感染防御にメール受信ソフトを捨てるという選択肢 Webメールの活用でセキュリティ強化

ランサムウェアの蔓延からしばらくが経過しやや沈着した様子です。「身代金要求ウィルスプログラム」としてTVニュースなどでも一時期頻繁に取り上げられましたが、こうしたコンピュータにかかわるトラブルはなにしろ実際に被害にあうまでピンとこない類のものであります。一部専門サイトやコミュニティで話題になるくらいで、具体的な対策について言及されることもあまりなかったように感じています。もともとこうしたプログラムにウィルスという表現は似つかわしくありません。ユーザーの所有するPC・デバイスの穴を狙って送り込まれ、さらにユーザー自身の操作で悪意のあるプログラムの実行を許すタイプが少なくないからです。「自己責任」の要素が大きく、日本ではこの点でこうしたセキュリティ情報をわかりやすく広めていくことの大きな壁として立ちふさがっています。

当研究所が考える感染防御策

感染ルートはおのずと限定されてきています。

それは、インターネット経由です。

最低限ですが、能動的に不特定多数からデータを受け取るルートに対策を施すだけでリスクを軽減することができます。

では、個人・個のコンピュータ・デバイスが、もっとも不特定多数からランダムなデータを受け取るルートとは?

電子メールの受信です。

ここを何らかの対策が施された機能に委ねることはできないものでしょうか。

電子メールといえば、プロバイダから与えられたもの、無料で取得したもの、学校や職場から貸与されたものなどがあります。

どれも一般的に、電子メールそのものは、いったん外部のメールサーバに届くのが当然です。

添付ファイルもそこにいっしょに格納されています。

そのメールサーバで、悪意のあるプログラムを識別・フィルタリング・除去するプロセスが実行されていれば、まず第一段階は安全です。

しかし、すべてのメールサービスでそうした機能が用意されているわけではありません。

ご自身の利用するサービス・プロバイダに確認は必要となります。

その上で、メールの受信そのもの、つまり、メールチェックそのものをインターネット上で完結することを考えます。

すると、どうすればよいのか。

それが、Webメールの活用です。

ローカル受信を止めることで、セキュリティを無料サービスにぶん投げてしまうわけです。

 

ランサムウェア(身代金要求プログラム)の感染対策

日本ではあまり報告されなかった、といわれています。

それは、各家庭・企業のインターネット契約と利用の様態が、ルータありきだったためです。

一本のインターネット回線を複数台のPC・デバイスに振り分ける”ルーティング”機能ばかりが目立ちますが、ルータそのものが悪意のある通信を防御・フィルタリングする機能をもっています。

FTTH(光)全盛期にあって、プロバイダから標準・無償で貸与されたり、それ以外にも家電量販店で数千円で手に入るなど、20年前には想像もつかなった低コスト高セキュリティ社会が実現されています。

身代金要求ウィルスこと”ランサムウェア”をシマンテック社が日本国内で初めて採取:日経報道2015/01/03

2015年1月3日付けの日経新聞報道「パソコンロックし「身代金」要求 日本製ウイルス初確認 犯行予告も日本語で」にて、日本初のランサムウェアに分類されるウィルス(マルウェア)がセキュリティベンダー大手のシマンテック社により観測されたと報道されました。
毎年、年始年末にこうしたウィルス情報が出てくることは珍しくありませんが、今回の身代金要求ウィルスはパソコンの起動そのものにロックをかけられる悪質性もあり、また、日本国内で初の発見とも有りITセキュリティ界隈はやや騒ぎとなっております。

身代金要求ウィルス:ランサムウェアについては、こちらの記事を御覧ください。

ロック画面解除に身代金を要求される「ランサムウェア」に注意してください!Windows PC、iPhone、androidスマホなど幅広く世界で蔓延中!

 

予想される危険性と感染範囲

このウィルスの出処として、中国のオリジナル(中国のものもロシアの改変もののウィルスの可能性がありますが)をリビルドして作成された可能性が疑われています。
さらに、実際の画面情報など掲載ができませんがそこから推測されるところ、巨大掲示板2ちゃんねるの匿名の何者かによる作成も疑われています。
ただし、オリジナルがあるだけにフェイクではないとされており、実際にロック機能が作動するようなので注意が必要とされています。

現在、Windowsパソコンでの感染が主なようなので、気をつけるのは以下のとおりです。

  • ソフトウェアの新規インストール
  • FLASH、Adobe Reader、JAVAなどのアップデート要求の正常性確認
  • あやしいサイト、アングラサイトへのアクセスを回避
  • Internet Explorerの利用を控える

感染ルートがはっきりしないためさだかなことがいえませんが、防衛策をとりつつ不必要な操作をしばらくは控えたほうがよさそうです。

 

Google社による、Windows8.1の権限昇格問題など、少し騒がわしい2015年のはじまりです。

androidスマホ・タブに感染したランサムウェア(脅迫型ウィルス)を、他端末にてGoogleプレイ上から除去する無償ツールが、老舗セキュリティベンダーavast!社が無償で提供を開始!

2014年6月18日、世界的な無料ウィルス対策ソフトウェアベンダーとして有名な、アメリカ カリフォルニア州レッドウッドシティーのAVAST社は、アバスト ランサムウェアの除去ツールのリリースが開始されたことを発表しました。
これは、Android端末に感染したランサムウェアを除去し、ロックされたファイルを復号化するAndroidのスマートフォンやタブレットのための新しい無料アプリです。
2014年6月上旬に検出された「Simplocker」の脅威への迅速かつ無料のソリューション(解決策)を提供しています。

先月も注意喚起ため当サイトでもご案内しましたが、「Simplocker」は、写真、ビデオ、およびスマートフォンやタブレットに保存されたドキュメントを、所有者の断りもなく勝手に暗号化しロックすることで、大事なデータを人質として、それらを解読するための支払いを要求する脅迫型の新しいAndroidウイルスです。
アヴァスト ランサムウェアの除去ツールは、この「Simplocker」を封殺し、Androidスマートフォン・タブレットユーザーの大切な写真・画像、ビデオ、および文書(ドキュメント)を救助(救出・復旧・サルベージ)することを目的にリリースされた無料のアプリです。

アヴァスト ソフトウェアの最高執行責任者(COO) オンドレイブルチェク 氏は、「Simplockerブロックは、モバイルデバイスに保存されたファイルへのアクセスを制御します。私達の提供する無料ランサムウェア駆除ツールがなければ、感染したユーザーが自分の個人的なファイルへのアクセスを回復するためには21ドルを支払う必要がある。(つまり、『私達の無料ツールがあれば21ドル払う必要はなくなります』)と述べています。
また、 「我々は、モバイルデバイス上でランサムウェアで急激な成長を検知しているのにもかかわらず、その脅威のほとんどは個人的なファイルが偽装暗号化をするフェイクウィルスである。」としています。
しかし、「Simplockerは、実際にファイルを暗号化してしまう最初のランサムウェア(脅迫ウィルス)なので、大事なデータを復元しなくてはならない人々のための無料のツールを開発しました。」とセキュリティベンダーとしての使命感を表明しています。

avast! ランサムウェア無償除去ツールの導入方法

Simplocker、または、他のタイプのランサムウェアに感染した誰もがこのavastのツールを無償でダウンロードすることができます。
感染端末以外のPCなどでグーグルプレイストアのWebバージョン版を訪問した後、感染した対象となるデバイス上でリモートにアプリをインストールすることで、ランサムウェアの削除を行います。
インストールが完了すると、ユーザーは簡単にデバイス上でこの削除アプリを起動し、脅威となっているウィルス(マルウェア)を排除することができます。
さらに、このツールは、デバイスをスキャンした上でウイルスを削除し、ユーザーのファイルを復号化(復旧)します。

ダウンロード

アバスト!ランサムウェア除去ツール Googleプレイ上で無料で提供されています。

https://play.google.com/store/apps/details?id=com.avast.android.malwareremoval

ランサムウェアやマルウェアの他のタイプを通じての感染症を防ぐために、ユーザーがAvastをインストールすることができます!

また、avast!はGoogle Play上で、無料で利用できるためのスマホ用のモバイルセキュリティアプリを提供しています。

https://play.google.com/store/apps/details?id=com.avast.android.mobilesecurity

AVASTはSimplockerを検出します。

AVASTについて(アヴァスト社企業概要より)

AVASTソフトウェア(www.avast.com)は、世界で最も信頼されるモバイルとPCのセキュリティのメーカーとして、そのセキュリティアプリケーションによtり200万人以上のモバイルデバイス、およびコンピュータを保護しています。
PC、Mac、およびAndroid用の無料のウイルス対策を、一般ユーザーとビジネスシーンの両方のためのプレミアムスイートとサービスを提供し、25年以上の歴史的なビジネスポートフォリオを持つコンピュータセキュリティ事業社の先駆者の一人です。
利用者が選ぶ世界的に人気のダウンロード·ポータル上で常に上位にランクされることに加えて、VB100、AV-Comparatives、AVテスト、OPSWAT、ICSA Labsなどの、ウィルス対策ソフトウェアの評価機関・ラボによって認められています。

ロック画面解除に身代金を要求される「ランサムウェア」に注意してください!Windows PC、iPhone、androidスマホなど幅広く世界で蔓延中!

「ランサムウェア(Ransomware)」というまた耳慣れないあやしいウィルス(どちらかというとマルウェアと思いますが)世界中で蔓延しています。
これまで英語圏での感染が多かったのですが、日本でもここ数日で”日本語”で使用不可能になったロック状態を解除するために金銭を要求する画面が現れた報告が上がっています。
感染ルートにより、各国それぞれiPhoneが感染したり、はたまた、Windowsパソコンがやandroidスマートフォンが完成したりと、分布が現れてきており、犯罪組織がそれぞれ模倣しあっている様子がうかがえます。
2014年5月末の時点で、このiPhoneへの感染が驚くことで、詳細は待たれますが、セフト(盗難)対策機能のハッキング(バグがある?)か、Apple社の審査をすり抜けたアプリの可能性があります。

ランサムウェア(Ransomware)とは?

ランサムウェアとは、マルウェア(Malware)が「マリシャス(悪意のある、疑わしき) ソフトウェア=Malicious softWare」の造語であるように、「Ransom(身代金) softWare」の略語、造語です。
これに感染したコンピュータやシステム、スマートフォンは、オーナーの自覚なく途端にアクセスや利用を制限され(システムロック)、その直後、この制限の解除のためには対価が必要として、例えば「●●の口座へ¥○○円送金しろ(paypalやクレジットカード、Bitcoinのケースが多いようです)」などのメッセージが画像付きで表示されます。
それが、さらに各国の公的機関、特に、警察や捜査関係などを名乗ったりするケースも有り、ほとんどの場合、困惑以外の何物でありません。
まさしく、突然振りかかる見に覚えのない悪夢に対し、身代金を要求されるわけなので、これまでの秘密裏に情報送信したり、知らぬ間に他のシステムを汚染、感染させるなど、ある意味サイレントなウィルスに対して、かなり凶悪な犯罪といえるでしょう。

何かの操作(特定のアプリのインストール、ネットワーク経由のハッキング、etc)で、PCやスマホのシステムドライブが特殊な権限で暗号化されることで、突如本来のユーザーがログインできなくなる、というイメージが伝わりやすいでしょうか。
暗号化するということは、それを解除する(復号化する)キー(鍵)が存在することになります。

つまり、乗っ取った上で身代金を要求する、ネットワーク越しのハイジャッカーといえるでしょう。

これまで日本でも、不正請求のようにインターネットブラウザーが感染し、画面から金銭振込要求画面が消えないトラブル(技術的には解決されても、事件として摘発があった報道はあまり聞きませんが)がありましたが、まだ、パソコン上の他の操作、例えばファイル操作やワード、エクセル、電源のオン・オフの自由はありました。
しかし、このランサムウェアは起動直後からコントロールが奪われるため(システム権限の強奪・奪取)、一般ユーザーには復旧のために打てる手がナニもないという絶望感があります。
(起動に必要なシステムドライブ上のMBR=マスターブートレコードやパーテイション情報を操作してくるものもあるようです)

もともと、ロシアで最初に発見されたとされ、その後各国に拡散していったとされています。
現在も、ランサムウェア詐欺の規模は国際的に成長しており、Wikipediaによると、2013年6月のセキュリティソフトウェアベンダーのMcAfee(マカフィー)から「最初の四半期で25万以上のランサムウェアのユニーク(個別)なサンプルを採取していたことを示すデータ」が公表されています。
2012年の第一四半期よりも倍加の曲線をたどっており、この2014年の相次ぐ報道はある意味遅すぎたのかもしれません。

ランサムウェア対策は?(感染前の防護手段)

1.信じられるアプリ・ソフトウェア以外はインストール(実行)しない

まずもっとも大事なことは、不用意にアプリ(ソフトウェア)をダウンロード・インストールしないことです。
そして、インターネット閲覧中も同様に、不用意な画像や注意警告をクリックしないことです。
インターネット閲覧中に「レジストリにエラーが発生しています」などと嘘のバナーで惹きつける悪意のあるソフトウェアに感染している例は、この2014年でもほぼ毎月遭遇します。

ウィルス対策ソフトやセキュリティがいくら最新でも、ユーザーが自らすすんで入手してきたプログラムを100%止めることはできません。
さらには、誰かの感染報告が無い限り、ウィルス対策ソフトのワクチンも対応しませんし、異常な振る舞いを起こしそうなプログラムも4~5%はくぐり抜けてきます。

2.Java、Readrer(Acrobat Reader)、Flashなどの組み込みプログラムを常に最新に保つこと

ほとんどのデバイスに組み込まれており、ほとんどの一般ユーザーは意識すらしていないことが多いこの御三家。
Windows XPを2014年4月9日のサポート期限終了後も利用するためのセキュリティTIPS」でも説明していますが、コアシステムに近い権限までクローズするため、当然注意が必要です。

3.とにかくデータや設定のバックアップを!

現在、GoogleドライブやOneDrive、Dropboxなど無料のクラウドも そろってきております。
ChromeやFirefoxではブックマークもクラウドで保管できますし、メールも何とかなりそうです。
自己撮影の画像や動画データファイルは、ほとんど感染の可能性がありません。

ただただ、バックアップの慣習が広まることを祈るばかりです。

 これらランサムウェアの撲滅は、これまでのウィルスと同様に今後も不可能だと考えらます。
模倣犯も増え、ベンダーは、より一層のサポートコストが要求され、ひいてはユーザーの支払いに跳ね返ってくることでしょう。

ランサムウェア感染後の復旧手段に対する考察

これは類推の範疇ですが、論理的に暗号化されたことによるロック状態は、それとセットになったキーさえあれば復旧は可能です。
もっと言うと、ランサムウェアでもその手口を模倣しているだけだけの暗号化ロックのない低レベルのケースも存在するようですがここでは割愛します。

さて、このキーですが、 それこそWindowsパスワードやその他のスマホと同様に、そのロックされたデバイスに保存されているものなのでしょうか?

残念ながら、まったくその可能性はありません。

では、その復号のためのキー(パスワード)は解析できるか?

これも、わざわざ今どきの高性能なハードウェアに4桁から10桁程度のパスコードを設定するとは考えられません。

 

 ただし、データドライブを区分している場合、いくらかのパーテイションテーブルの情報を元にファイル自体に復旧できそうな可能性はありそうですが。
少し闇が深いですね。

 

各OSベンダーの対応を待ちましょう。

・ランサムウェアの除去 | ランサムウェアとは | Microsoft セキュリティ

http://www.microsoft.com/ja-jp/security/resources/ransomware-whatis.aspx