ランサムウェアの二重恐喝

　昨年から流行し始めている新たなランサムウェアの被害について簡単に書いてみます。

身代金払えない被害者続出、それでも荒稼ぎするランサムウエア攻撃の卑劣さ

これまでのランサムウェア

　これまでのランサムウェアは、感染した端末から接続可能なファイルを軒並み暗号化し、画面やメールによるメッセージで「復号鍵がほしければ仮想通貨を支払え」と脅すことが主な手口でした。これによって、重要なファイルが暗号化されてしまった企業は、復号するための復号鍵を入手するしかなく、仮想通貨を支払う企業が後を絶ちませんでした。しかし、仮想通貨を支払って復号鍵を取得したとしても、暗号化されたファイルの全てが復号できる保証はなく、暗号化されたファイルの全てが復号できたのはレアケースだとする報告もありました。
　仮想通貨を支払わなかった大半の企業は、過去のバックアップデータからリストアしてシステムやファイルを復旧したり、暗号化されて復元できないファイルは諦めたりしていました。

　このようなランサムウェア対策のため、企業に対してバックアップは重要である、バックアップをきちんと取り、バックアップデータは通常の端末からはアクセスできない場所に保存しておくことで、ランサムウェアに感染したとしても復元できる、などといわれていました。

新たなランサムウェア

　しかし、2019年頃から流行り始めた新たなランサムウェアは、暗号化する前のファイルを窃取した後、ファイルを暗号化して使えなくした後、「復号鍵がほしければ仮想通貨を支払え」ということに加えて、「窃取したファイルを公開されたくなければ仮想通貨を支払え」という二重の恐喝をするようになりました。
　この場合、バックアップをきちんと取っていただけでは、暗号化されたファイルを復元できるに留まり、窃取されたファイルが公開されるリスクを回避できません。こうなると、ランサムウェアに感染した企業は、公開されないために攻撃者の指示通りに仮想通貨を支払うか、やはり無視して公開されるのを待つかという選択になります。ただし、仮想通貨を支払ったとしても、一時的に公開されることを止めることはできるだけであり、攻撃者が手元にあるファイル全てを削除してくれる保証はありません。

　旧型のランサムウェアのときは、受領した復号鍵を用いて暗号化されたファイルが復号できない場合には、攻撃者は、暗号化されたファイルを特定のメールアドレス等に送付するように促し、当該ファイルを復号して送り返すなどの手厚いサポートをしたりすることがありました。これは、仮想通貨を支払えば復号できるということが確認されなければ、仮想通貨を支払ってくれる被害者・被害企業がいなくなってしまうことから、ビジネス的なサポートを行うことで、ランサムウェアに感染した被害者等が仮想通貨を支払ってくれるよう促進するモデルであるといわれたりしました。
　同様に、新たなランサムウェアも、仮想通貨を支払ったにもかかわらず公開されたり、他の犯罪者に売買されたりするのであれば、仮想通貨を支払う企業はいなくなってしまうため、仮想通貨を支払った場合には、一時的に公開しないことが約束されると考えられます。一時的と記載したのは、攻撃者が手元にあるファイルを削除することの保証はどこにもありませんので、数年後には売買されたり、公開されたりするリスクがあります。つまり、仮想通貨を支払うことは一時しのぎにはなっても、恒久的に公開されないことが保証されるわけではないと肝に銘じましょう。

二重恐喝をするランサムウェア対策

　二重恐喝をするランサムウェアに感染した後は、公開されないようにする方法はなく、ランサムウェアに感染することを防止するか、ランサムウェアに感染したことを早期に検知し、大量のファイルを窃取されないようにするしか対策がないと考えられます。そのためには、今まで言われてきているように、使用しているOSやソフトウェアを最新のバージョンにする、不審な添付ファイルは開かない、不審なURLをクリックしないなどが考えられます。