ランサムウェアって何?Macのパソコンにも感染するの?
ランサムウェアはパソコンプログラムの1種で、感染するとパソコンが使えなくなってしまうものです。「パソコンが見たことのない画面になって操作ができなくなる」などの症状が出たときには、ランサムウェアに感染している可能性があります。この記事では、ランサムウェアにどのようなものがあるのか、もしも感染してしまったときはどのように対処するべきかを解説します。
ランサムウェアとは
まずはランサムウェアとはどのようなものなのか、感染するとどんな被害を受けるのかを解説します。
ランサムウェアはマルウェアの1種
「ランサムウェア」(Ransomware)とはマルウェア(Malware)の1種です。マルウェアとは、パソコンそのものやユーザーに不利益を及ぼすプログラムの総称で、Malicious(マリシャス/悪意のある)とSoftware(ソフトウェア)という2つの単語が組み合わさってできた言葉です。開発者の悪意から作られているため、パソコンから情報を抜き取ったり、パソコンを使えなくしたりなど、ユーザーに被害を与えることを目的としているのが大きな特徴だといえるでしょう。
マルウェアのもっとも代表的なものはコンピューターウイルスです。ウイルス対策はもはやパソコンに欠かせないものであり、何の対策もしていないという人は少ないでしょう。対策ソフトなども数多くの種類が広く普及しています。しかし、脅威となるマルウェアはコンピューターウイルスだけではありません。自ら増殖して感染を広げる「ワーム」、安全なものだと見せかけつつ何らかのきっかけで悪意あるプログラムとなる「トロイの木馬」など、さまざまな種類があります。
ランサムウェアは身代金を要求するプログラム
ランサムウェアの最大の特徴は、パソコンに勝手にロックやパスワードをかけたり、パソコン内のファイルを暗号化したりして、ユーザーにパソコンを使えなくしてしまうことです。そして、再度使えるようにするには料金の支払いが必要だという通知を出し、金銭の支払いを要求します。つまりランサムウェアは、パソコンそのものや内部のデータを人質に取り、身代金を手に入れるために使われるプログラムだということです。「ランサムウェア」という名称は、「ランサム」(Ransom)と「ソフトウェア」(Software)という2つの単語を組み合わせて名づけられました。「ランサム」とは「身代金」のことで、日本語では「身代金要求型不正プログラム」などとも呼ばれています。
ランサムウェアに感染してる可能性がある症状一覧
パソコンに保存していたファイルが急に開けなくなった症状
ファイルの拡張子が見慣れないものに変わってしまった症状
htmlという拡張子のファイルをクリックすると英語のページが表示された症状
ランサムウェアでよくある拡張子一覧
このような症状が見られる場合はランサムウェアに感染している可能性があるため、要注意です。
修理対応 | 出張/持込/宅配(出張の当日サポートは予約枠が早く埋まるため、お急ぎの場合はなるべく早い時間にご依頼ください) |
---|---|
対応エリア | 出張修理は全国47都道府県/持込修理は全国15店舗/宅配修理は全国47都道府県 |
実績 | 年間約10万件サポートの実績。様々なメーカー製パソコンのウイルス駆除実績を当サイト掲載中 |
料金 | 基本料金 8,800円 + ウイルス駆除・セキュリティ対策 8,800円~ + 出張サポートは2,200円追加 |
代表的なランサムウェア
ランサムウェアには、大規模な障害を発生させ社会に損害を与えたものも存在します。公共機関など身近なパソコンも被害に遭う可能性があり、その存在は無視できません。これまでに実際に被害を出した代表的なランサムウェアについてご紹介します。
ワナクライ
ワナクライ(WannaCry)は2017年5月に爆発的に広まり甚大な被害を出したランサムウェアです。世界中の150以上の国で30万台を超えるパソコンに広がり、海外では病院が閉鎖されるなど、日常生活に影響を及ぼす重大なトラブルを招きました。感染するとデータを暗号化して人質にし、それを解除する身代金としてビットコインを要求する、というものです。しかしワナクライのやっかいな点はそれだけではありません。自身をコピーして増殖するワームとしての機能も持っていたために、社内ネットワークなどを介して短時間で急速に広まったことも被害を拡大させる原因となりました。
ワナクライが利用したのは、Windowsで使われているSMBv1(Server Message Block バージョン1)という、ファイルやプリンターを共有するための通信プロトコルの脆弱性です。しかし、この脆弱性そのものは、ワナクライが広まった時点ではすでに発見されていたものでした。セキュリティパッチ(パソコンに問題点や脆弱性が見つかったときにそれを修正するプログラム)も公開済みであったため、最新の状態にアップデートしたパソコンにとっては何ら脅威ではなかったというわけです。
テスラクリプト
テスラクリプト(TeslaCrypt)は2015年に広まった、パソコン内部のファイルを暗号化するランサムウェアです。日本では暗号化されたファイルに「.vvv」という拡張子がつくタイプが出回ったため、「vvvウイルス」とも呼ばれています。こちらも暗号化解除ためにビットコインやPayPalでの支払いを要求します。テスラクリプトの感染経由はシンプルで、メールやwebサイトでした。つまり、インターネットを利用している最中にいつのまにか感染していたという人が多かったと推測されます。
具体的には、スパムメールに添付されているランサムウェアのプログラムを開いたり、Flashなどの脆弱性をついて攻撃するwebサイトにアクセスしたりすることで感染します。最終的に、テスラクリプトの制作者がマスターキーを公開し、それをもとに暗号化されたすべてのファイルを復号できるツールが開発されました。テスラクリプトは登場後も進化を続けたことで、いたちごっこの状態となっていましたが、開発者によるタネ明かしがされたことで終息を迎えました。
バッドラビット
バッドラビット(Bad Rabbit)は2017年10月に広がったランサムウェアです。感染するとパソコンをシャットダウンさせ、起動時に「Bad Rabbit」という文字とともに身代金の要求が表示されます。パソコンが使用不能になり、プログラム解除のためにビットコインを要求してくるという点は、ほかのランサムウェアと共通しています。感染経路は、正規のwebサイトを改ざんして感染させるという悪質なもので、一見しただけでは不正プログラムだと見分けるのが難しいのが特徴です。
バッドラビットのプログラムはFlash Playerのアップデートに偽装しており、アップデートの案内を受け取ったユーザーが自分の手で実行することで感染します。ソフトウェアを最新の状態に保つのはセキュリティ面でも重要なことですから、アップデートの通知が来たことで疑わずに実行してしまう人は少なくないでしょう。そんな人間の心理をついたランサムウェアだといえます。バッドラビットのように、ユーザーがたくさん集まるwebサイトに罠をしかける攻撃は、「水飲み場型攻撃」と呼ばれています。
ロッキー
ロッキー(Locky)は2016年から2017年の間に何度か活発な活動をみせたランサムウェアです。主にzipファイルやpdfファイルに偽装しており、添付ファイルとしてフィッシングメールによってばらまかれました。pdfファイルは請求書などの体裁をとっており、ビジネスでメールを使っている人などが思わず開いてしまうと、そこに仕込まれたマクロが実行されプログラムの侵入を許してしまうというわけです。日本でも少なくない被害が出ました。感染するとパソコン上のファイルが暗号化され、「.locky」「.osiris」などの拡張子に変えられ、解除の身代金としてビットコインを支払うよう表示が出ます。
オニ
オニ(Oni)は2017年に流行したランサムウェアです。パソコン内部のデータを暗号化し、「.oni」という拡張子をつけて身代金を要求してきます。暗号化したのち日本語で通知や回復手順を表示することから、このランサムウェアがターゲットにしたのは日本企業だといわれており、国内でも多くの被害が確認されています。ほかのランサムウェアと異なるのは、感染してすぐに活動するのではなく、潜伏期間があることです。
潜伏期間は長期に及ぶため、暗号化を実施し姿を現すまでにさまざまな情報を収集している可能性が指摘されています。そのため、オニの真の目的は身代金の強奪ではなく、この情報収集にあるとも考えられています。情報収集の痕跡を消すために、暗号化という方法がとられている可能性も否めません。こういったパソコン内部のデータを破壊・消去するためのマルウェアは「ワイパー」(Wiper)と呼ばれています。
EvilQuest
2020年6月、世界的にコロナの猛威が振るわれている中で、Mac(macOS)を対象にした新しいマルウェアとして発見されたのが「EvilQuest」です。
Google Chromeのアップデートになりすましたもので、海外の掲示板サイトで公開されてしまった海賊版のソフトウェアに混入されていました。ランサムウェアとして身代金の支払いを要求するのはもちろんですが、攻撃者と通信を常に確立できる状態にすることができるプログラムも搭載されています。金銭を払った後も情報が抜き取られることが想像されます。
Macにランサムウェアは感染するの?
これまでにご紹介したランサムウェアは、Windowsを標的にしたものです。そもそもマルウェアはWindows向けのプログラムが圧倒的に多く、Macで大きな問題になることは多くありませんでした。しかし、2016年にはmac OS Xでも初めてランサムウェアが確認され、人ごとでは済まされなくなっています。
TransmissionとKeRangerとは?
Macで初めて確認されたランサムウェアは「ケランジャー」(KeRanger)と呼ばれました。
このKeRangerは、Peer to Peerでファイルのダウンロードやアップロード行うBitTorrentアプリケーション「Transmission」が経路となり感染するものでした。Transmissionは悪意のない正規のソフトウェアでしたが、開発者も知らない間にTransmissionの自体がKeRangerにリンクされるようにされていたため、
インストーラから感染し、アプリケーションの利用者間で広まってしまう事態となりました。
Macへインストールした3日後に発動し、ファイルを暗号化します。そのうえでWindowsを標的としたランサムウェアと同様に身代金を要求してきます。データ復旧との引き換えにビットコイン支払いを要求してきます。
発覚した後に対策が行われており、今は知らずにインストールしてしまう危険性はありませんが、今後も100%感染しないという保証はありません。 新たなランサムウェアがいつ登場するか、一般ユーザーが知るすべはないのです。
ランサムウェアの感染経路
ランサムウェアには人間の病気と同じく感染経路があります。感染経路を知っておくことで、感染を予防できる可能性は高くなるでしょう。ランサムウェアがパソコンにどのように入り込んでくるかを説明します。
メール
メールでばらまかれるランサムウェアは、「メールに添付されているファイルを開く」「本文内に記載されているURLにアクセスする」といったことで感染します。明確にそれとわかるスパムメールであればフィルタリング機能を活用することである程度は防ぐこともできますが、完全ではありません。最終的には自分自身で安全なメールかどうかを判断する必要も出てきます。中にはユーザーを信じ込ませるために「広く知られている企業やサービスを騙る」「添付ファイルを「請求書.pdf」などの名前で必要書類に偽装している」といったケースもあります。怪しいメールを見分けられるかどうかが、感染を防ぐカギとなるでしょう。
webサイト
ユーザーが悪意あるプログラムが仕込まれたwebサイトにアクセスすることで感染するランサムウェアもあります。攻撃者がwebサイトを自ら立ち上げ、そこに誘導して感染させるという手口です。無関係の正規サイトに偽装し、ドメインやデザイン、ロゴなどを似せてユーザーをだますこともあるため、見分けるには注意深く観察することが必要になってくるでしょう。疑わしいサイトでファイルのダウンロードやプラグインのインストールを求められたとき、安易に承諾するのは危険です。
また、攻撃者がまったく関係のない別の企業や団体が公開している正規のwebサイトを書き換えるケースもあります。改ざんの隙のあるサイトに潜り込んでマルウェアを埋め込み、アクセスしてきた人を感染させるという手段です。この場合は、正規サイトがある日突然書き換わってしまうわけですから、見きわめるのがより困難になってくるでしょう。
USBなどの外部媒体
ランサムウェアなどのマルウェアは、インターネットを介してのみ広がるわけではありません。USBメモリや外付けHDDなどの外部媒体から侵入することもあります。しかし、USBメモリなどの外部記憶媒体は、パソコンに接続しない限り感染しているかどうかを知ることができません。対策としては、持ち主がわからないものや不特定多数がさまざまなデータを記録しているものは使わないようにする必要があります。そのほかセキュリティソフトでスキャンするなどの対策はできますが、データ漏洩の危険性もあるためUSBメモリなどでデータのやりとりは行わない方が賢明です。
ランサムウェアに感染してしまったら
このように、ランサムウェアをはじめとするマルウェアに感染させようとしてくる攻撃者は、非常に巧妙な手口を使ってきます。ここでは、万が一ランサムウェアに感染してしまったときにどうすべきかを解説していきます。
身代金要求には答えない
ランサムウェアに感染して身代金を要求されたとしても、いわれるがままに支払ってはいけません。1つ目の理由は、支払ったところでパソコンやデータが元に戻る保証はなく、泣き寝入りの可能性があるからです。支払う意思があるとみなされ、さらに高額の支払いを要求される場合もあります。2つ目の理由は、支払うことで攻撃者がさらなるランサムウェアの開発に資金を注げるようになるからです。身代金を支払うことは、犯罪を助長しかねない行為だと認識しておきましょう。身代金を支払っても暗号化が解除されない、身代金の額が増えるなどのケースがございます。どちらも困るからと言ってすぐに身代金を支払うことはおすすめできません。再度パソコンを使えるようにするためには、基本的にはランサムウェアそのものを駆除する方法をとります。
ウイルスソフト・専門業者に依頼
ランサムウェアを駆除するには、「セキュリティソフトをインストールする」「専門業者に依頼して駆除してもらう」といった方法があります。ただし、必ずしもすべてのランサムウェアが駆除できるというわけではありません。暗号化されたデータが復号できるかどうかも状況によって異なります。最終的な解決方法はパソコンの初期化ですが、まっさらな状態に戻ってしまうため、データを復旧させることは困難です。
Macでランサムウェアに感染した時の対処法
MacでもWindowsでもランサムウェアに感染してしまった際の対策として最も基本的な対応はパソコンを初期化してユーザーデータのバックアップから復元することです。バックアップがあれば脅威は抑えることができます。
またランサムウェアによっては有志団体やベンダー(ウイルス対策ソフト、セキュリティ対策ソフトを開発するメーカー)が復元ツールを配布してくれているものもあります。そのようなツールを使用することでデータを復元できる場合もあります。
※身元や配布元がはっきりしないツールをダウンロードして使用することはセキュリティ上のリスクとなる可能性が高いため、必ず専門家に相談してください。
特に有名な復元ツール配布サイトとして「No More Ransom」と呼ばれるプロジェクトがあります。 ユーロポールやMcAfee、Kaspersky Labなどが関わっている官民共同の世界的なプロジェクトで、日本の警視庁 サイバー犯罪対策プロジェクトの公式ホームページでも紹介されています。
- OSを初期化してバックアップからユーザーデータを復元
- 有志団体やベンダーが配布している復元ツールを使用する
まとめ
ランサムウェアはWindowsでもmacでも感染の可能性があるマルウェアであり、感染すればパソコンが使えなくなる、データが見られなくなるなど重大な被害が出ます。
仮に身代金を要求されて支払ったとしても必ず解除される保証はないです。支払い期限を過ぎると身代金の額が増えることもありますが、それでも身代金を支払うことはおすすめしません。
予防するためには、セキュリティソフトをインストールするといったシステム的な対策に加え、疑わしいwebサイトやメールを開かないことも大切です。
更に、万が一のときのためにデータのバックアップ、定期的にWindows Updateを行い、OSを最新の状態に保つといった方法があります。
このような対策をされてない場合、ランサムウェアに感染する可能性が高くなります。
ランサムウェアでお困りならPCホスピタルにお任せください
ランサムウェアは高度な暗号化技術を使っているため、データを救出することは難しいものでしたが、PCホスピタルは熟練技術者の解読技術によって暗号の解除が可能になりました。
ランサムウェア感染の訪問サポートはデータ救出に時間がかかるため、その場で作業を完了することが難しくなるので、サポートをご依頼の際は、パソコンをお預かりして暗号化の解除が完了した後にパソコンを返却いたします。ランサムウェアの感染でお困りの際はぜひPCホスピタルにサポートをご依頼ください。
修理対応 | 出張/持込/宅配(出張の当日サポートは予約枠が早く埋まるため、お急ぎの場合はなるべく早い時間にご依頼ください) |
---|---|
対応エリア | 出張修理は全国47都道府県/持込修理は全国15店舗/宅配修理は全国47都道府県 |
実績 | 年間約10万件サポートの実績。様々なメーカー製パソコンのウイルス駆除実績を当サイト掲載中 |
料金 | 基本料金 8,800円 + ウイルス駆除・セキュリティ対策 8,800円~ + 出張サポートは2,200円追加 |
田村 勇樹(PCホスピタル 大阪吹田店 店長)
2017年に日本PCサービス株式会社入社後、累計4500件以上のパソコントラブルを解決。ウイルス感染、メールトラブルのサポートに定評を持つ。東京支部勤務、PCホスピタル 京都駅前店の店長を経て、現在は本社に併設する旗艦店のPCホスピタル 大阪吹田店の店長として従事。
保有資格 パソコン整備士検定 取得