コンピュータに感染するウイルスは、ピクニックテーブルにアリが侵入するのと同じくらいありふれた存在です。遅かれ早かれ、必ずや起こります。マルウェアを取り巻く現実は、それが今後も存在し続けるということです。モノのインターネット(IoT)が私たちの日常意識に浸透し、日用品にスマート機能を与えるほど、マルウェアの流入は増加するでしょう。
このようにターゲットが豊富な環境こそが、マルウェアの大部分が繁栄する環境です。ターゲットが多ければ多いほど、利益(または破壊)を得る可能性が高くなります。マルウェアの背後にある動機が何であれ、ターゲットが少ないより多い方が良いと考えられています。
だからこそ、CryptoWall(およびその前身である、現在は廃止されたCryptoLocker)のようなウイルスは、個人と企業の両方に等しく甚大な被害をもたらす可能性があるのです。インターネットが感染経路となるため、十分に保護されていないWindowsデスクトップは、直接的または間接的な感染を通じて、CryptoWallのペイロードの被害を受ける可能性が高いでしょう。
以下は、感染の被害者と話しているときに私が受けたよくある質問と、このウイルスが何であるか、このウイルスは何をするのか、そしてこのウイルスからシステムを最もよく保護するにはどうすればよいかを説明する方法です。
CryptoWallとは何ですか?
CryptoWallはトロイの木馬に分類され、一見無害なアプリケーションやファイルに見せかけてウイルスのペイロードを隠蔽することで知られています。そのペイロードは、感染したコンピュータのファイルを暗号化し、復号鍵と引き換えに金銭を要求するものです。
CryptoWallやそれに類似するウイルスは、「ランサムウェア」とも呼ばれ、エンドユーザーに身代金を支払うことで脅威を削除し、すべてのファイルを復元する手段を提供します。身代金を支払うと、ユーザーはファイルやアプリケーションをダウンロードして実行し、感染をクリーンアップしたり、この場合は暗号化されたファイルを復号して正常な状態に戻したりできるようになります。
それはどこから来たのですか?
地理的に言えば、本稿執筆時点では不明です。感染源については、CryptoWallはメールの添付ファイルや、ウイルスを拡散させる感染ウェブサイト(ドライブバイダウンロードとも呼ばれます)を通じて最も多く拡散することが分かっています。
さらに、CryptoWall は、ユーザーが日常的にアクセスしている多くの一般的な Web サイトの広告を配信するいくつかの広告サイトにリンクされており、その配布がさらに拡大しています。
どうやってコンピュータに感染するのでしょうか?
前述の通り、感染プロセスはウイルスとしてはごく標準的なものです。しかし、ホストコンピュータに侵入すると、ランダムなサーバーへのネットワーク接続を確立し、パブリックIPアドレス、位置情報、OSを含むシステム情報などの接続情報をアップロードします。
次に、リモートサーバーは、お使いのコンピュータに関連付けられたランダムな2048ビットRSA鍵ペアを生成します。公開鍵をコンピュータにコピーし、サポートされているファイル拡張子のリストにある各ファイルのコピー処理を開始します。コピーが作成されると、公開鍵を使用して暗号化され、元のファイルはハードドライブから削除されます。
このプロセスは、サポートされているファイル形式に一致するすべてのファイルがコピーされ、暗号化されるまで継続されます。これには、外付けドライブやネットワーク共有など、他のドライブにあるファイルも含まれます。つまり、ドライブ文字が割り当てられているすべてのドライブがリストに追加されます。また、ドライブ上のファイルのローカルコピーを保存しているクラウドベースのストレージも影響を受け、ファイルが変更されると、その変更がクラウドに反映されます。
最後に、暗号化プロセスが完了すると、CryptoWall はローカルでいくつかのコマンドを実行し、Windows の最新バージョンすべてで実行されているボリュームシャドウコピーサービス (VSS) を停止します。VSS は、ホストコンピュータ上のデータのバックアップと復元を制御するサービスです。また、Windows 7 で導入されたファイルのバージョン管理機能も制御します。この機能は、ファイルの変更履歴を保存します。意図しない変更や壊滅的なイベントによってファイルの整合性が損なわれた場合、ファイルは以前のバージョンにロールバックまたは復元される可能性があります。ウイルスによって実行されるコマンドは、このサービスを完全に停止し、既存のキャッシュをクリア/削除するコマンド引数も追加します。これにより、バージョン管理やシステムの復元によるファイルの復元がさらに困難になります。
コンピュータが感染しているかどうかは分かりますか?
CryptoWall がホスト コンピュータを侵害したことを示す明らかな兆候が 2 つあります。
- 例えば、.doc、.xls、.pdf などの特定のファイルを開こうとすると、正しいプログラムでファイルが起動されますが、データが文字化けしたり、正しく表示されない場合があります。また、感染したファイルを開こうとすると、エラーメッセージが表示される場合があります。
- 最も一般的な兆候は、CryptoWall によって暗号化されたファイルを含むすべてのディレクトリのルートに 3 つのファイルが表示されることです。
- 暗号化解除命令.txt
- 暗号化解除手順.html
- 暗号化解除命令.url
CryptoWall の感染後に残されたファイルのいずれかをクリックすると、エンド ユーザーは身代金の支払いを実行するために必要な手順を段階的に実行できるようになります。
HTMLファイルには、身代金の残り時間と要求金額を示すキャプションが表示されます。通常、身代金は500米ドルから始まり、カウントダウンタイマーは要求者への支払い期限として3日間を設定します。
タイマーがゼロになると、キャプションが変わります。新しい請求額は2倍の1,000米ドルとなり、タイマーには締め切り日時が表示されます。通常、この期限は約1週間です。締め切りまでに支払いが行われない場合、ファイルの復号に必要な秘密鍵と復号アプリケーションが格納されているリモートサーバーが自動的に削除され、ファイルが復元不可能になることが通知されます。
コンピュータが CryptoWall に感染した場合、どのような選択肢がありますか?
CryptoWall による感染を確認した後、エンド ユーザーの次のステップは、身代金を支払ってデータを回復するかどうか、または身代金を支払わずにデータへのアクセスを完全に失うかどうかを決定することです。
身代金を支払うことに決めた場合は、このまま読み進めてください。身代金を支払わないことに決めた場合は、次のセクションに進んでください。ファイルの回復に役立つ手順が記載されています。
身代金の支払いはそれ自体が大変な作業です。残念ながら、身代金はビットコインで支払わなければなりません。ビットコインは、米ドルと同様に、商品やサービスの購入に使われるデジタル通貨です。しかし、規制が不十分で一般的に受け入れられていないため、ビットコインはニッチな市場であり、米ドルほど普及していません。
ビットコインの調達を困難にしているのは、米ドルでビットコインを受け付ける多くの取引所が、高額ビットコインの購入を制限していることです。また、身代金の支払いに必要なビットコインの蓄積をさらに制限する企業ポリシーも強化されています。これらの変更の多くはCryptoWallウイルスの直接的な結果として生じたもので、一部の取引所は取引をキャンセルし、身代金の支払いに自社のサービスを利用した疑いのあるアカウントを制限していることが知られています。
困難ではありますが、取引所でアカウントを開設し、ビットコインの購入資金を調達して、指定された期限内に身代金を支払うことは可能です。時間も技術力もない場合は、この件に精通したITコンサルタントに相談するのも一つの選択肢です。コンサルタントは、データの復旧プロセス全体をサポートしてくれるだけでなく、指定された期限内に支払いが行われなかったことによるペナルティなしに復旧を依頼できるかもしれません。
身代金を支払わないことにしました。別の方法でファイルを復元できますか?
支払いを断るのは正当な理由です。特に、請求額がデータの価値を上回る場合はなおさらです。おそらく、原則として支払う必要はないと感じているのでしょう。理由に関わらず、エンドユーザーが支払わずにファイルを復元できるかどうかを確認するためにできることがいくつかあります。ただし、これはあくまでも「もし」という前提であり、ほとんどの場合、未払いの場合はデータが失われますが、期限内に支払いを済ませたユーザーは、提供された秘密鍵と復号アプリケーションを使用することでデータを復元できるということを理解してください。
この免責事項を踏まえ、ファイルを復元する最も効果的な方法はバックアップを使用することです。ファイルが定期的にバックアップされている場合は、バックアップドライブを感染していないコンピュータに接続してファイルを確認してください。ファイルがそこに存在し、感染していない場合は、感染したコンピュータからCryptoWallをクリーンアップするだけで、ドライブを再接続してデータを復元できます。
クラウドベースのバックアップが存在する場合、サービスプロバイダーによっては、クラウドからファイルを復元する前にコンピュータをサニタイズできる場合があります。ただし、前述のとおり、Dropboxなど一部のクラウドサービスは、データのローカルコピーをホスト上に保存します。このような場合、ほとんどのクラウドサービスは、誤ってファイルを変更した場合の保護対策として、ファイルのバージョン管理機能を提供しています。コンピュータをサニタイズした後にこの機能を使用することで、ファイルの変更を感染前の日付/時刻にロールバックできます。
ローカルまたはクラウドベースのバックアップが利用できない場合、ファイルの復旧はVSS、以前のファイルバージョンの復元、またはシステムの復元に頼るしかありません。CryptoWallウイルスの多くは自動化されているため、システムリソースの問題やアプリのハングアップなどによりコマンドが実行できない場合があります。このようなケースは稀ですが、感染発生前の日時へのシステムの復元を実行することで復旧できる可能性があります。ただし、これは例外的なケースであり、一般的なケースではありません。個々の状況に応じて個別に対処する必要があります。
また、Shadow Explorerを使ってまず1つか2つのファイルを復元してみて、この方法がうまくいくかどうか試してみるのも良いでしょう。うまくいった場合は、すべてのデータの復元を試みる前に、コンピューターをクリーンアップして感染をすべて取り除くことを忘れないでください。システムがクリーンアップされていない場合、ファイルは再び暗号化されようとします。そして今回は、VSSの停止とキャッシュのクリアに成功するかもしれません。
コンピュータを保護するために実行できる手順はありますか?
はい、あります。感染リスクに関わらず、常に実行すべき対策がいくつかあります。最新のウイルス定義ファイルがインストールされたウイルス対策アプリケーションをインストールし、アクティブな状態にしておく必要があります。また、マルウェアスキャナーもインストールし、できればアクティブなスキャン機能を備え、最新の定義ファイルに更新されているものが望ましいです。
コンピュータの保護が完了したら、次に最も重要な問題の一つであるバックアップ、あるいは場合によってはバックアップの欠如について考えてみましょう。適切なバックアップシステム、できればローカルおよびクラウドベースのバックアップスケジュールがあれば、データ保護は期待以上の効果を発揮します。システム自体が侵害された場合でも、必要に応じてデータを復元できます。
保護のためのその他の考慮事項としては、安全なインターネット利用方法があります。疑わしいウェブサイトにアクセスしたり、メール内のリンクをクリックしたりしないでください。また、チャットルーム、フォーラム、ディスカッションボード、ソーシャルメディアサイトでは、いかなる形であれ個人を特定できる情報を誰にも提供しないでください。
最後に、企業ネットワークのシステム管理者の場合は、ソフトウェア制限ポリシーを有効にするか、CryptoPrevent などの無料で入手できるアプリケーションを使用して、CryptoWall がコンピュータへの侵入の足掛かりを得るために使用する多くの手段をブロックすることを検討してください。
ウイルスは、ファイルを攻撃するものであれ、銀行の認証情報を盗むものであれ、厄介な存在です。デジタルディバイドが徐々に縮小し、私たちの繋がりがさらに広がるにつれ、社会全体としてウイルスと闘い続ける必要があります。
一度感染してしまうと、対処法はほとんどないかもしれませんが、感染やそれに伴うデータ損失のリスクを軽減するためにできることはたくさんあります。必要なのは、これらのフェイルセーフが確実に機能し、定期的に確認することです。
古い格言にもあるように、「1オンスの予防は1ポンドの治療に値する」 - ベンジャミン・フランクリン
組織内のコンピューターはCryptoWallウイルスに感染しましたか?感染を防ぐためにどのようなセキュリティポリシーを導入していますか?以下のディスカッションスレッドで、あなたの体験を共有してください。
