【財務用語解説シリーズ】身代金ウィルス(ランサムウェア)

コンピューターウィルスにより、パソコンをロックされたり、業務で使用している電子ファイルが暗号化されて開くことができなくなったりして、“身代金”を払わせられる被害が日本企業でも急増しています。2016年夏には、国内メーカーAで財務データがすべて暗号化され復旧できなくなりました※1

 資金繰りや財務取引の台帳をスプレッドシートで管理していると、ある日突然ウィルスによりそのスプレッドシートを開くことができなくなり、数日間財務業務を行えなくなることも考えられます。ファイルを回復できない場合、バックアップがない限り、資金繰り表や台帳が失われることにもなりかねません。

 本項ではこの、身代金ウィルス(ランサムウエア)と呼ばれるサイバー攻撃について説明します。


※1 「加害者扱い訴訟リスクも 身代金型ウイルス猛威 予防と初動が重要」『日本経済新聞』2016年10月24日、朝刊。

 

1. 身代金ウィルスとは


1.1.  定義と用語

 身代金ウィルスについて、情報セキュリティ大手のトレンドマイクロ社は次のように定義しています。

「感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラム」※2

英語では、ランサムウエア(ransomware)と呼ばれます。「ランサム」とは身代金という意味です。日本語の表記は一定していませんが、本項では経済紙の表記である「身代金ウィルス」を使うこととします※3

 

1.2. 一般的な手口

 身代金ウィルスの手口は次のようなものです。

(1) 迷惑メールの添付ファイルを開けたり、不正なサイトへアクセスしたりすることにより、そのパソコンが身代金ウィルスに感染します。

(2) 身代金ウィルスが活動を開始し、そのパソコンやデータファイルを利用できなくします。身代金ウィルスは2種類あります。

① 従来型:画面等がロックされ、そのパソコンが使えなくなります。

② 暗号化型:データファイルが勝手に暗号化され、そのファイルを開けなくなります。

(3) パソコンを感染前の状態に戻すことと引き換えに金銭の支払いを要求する画面が表示されます。

① 従来型(パソコンロック型)の画面メッセージ例。※4

「日本の法律に違反するファイルがお使いのパソコンから検出されたため、パソコンをロックしました。ロックの解除には、左に表示されている日時までに罰金として三十万円をBitcoinで支払わなければならない。」

② 暗号化型の画面メッセージ例。※5

「お客様のファイルをCrypt0L0ckerウィルスによって暗号化しました。

お客様の重要なファイルは、当方のCrypt0L0ckerウィルスによって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

ファイル復元のお支払いはこちらをクリックしてください。」

 

 身代金ウィルスの手口は、より高額の身代金をより確実に支払わせるよう、さらに巧妙化、悪質化が進んでいます。たとえば、ハードディスク全体を暗号化してパソコンが起動できないようにしたり、バックアップファイルを削除したりしています。金銭の要求方法も、制限時間を設けて、時間を過ぎるとファイルを削除したり、身代金を増額するなど、手口がより悪質なものになっています。

 さらには、個人情報をネットに公開すると脅すものも出てきているようです。※6

 

1.3. 身代金ウィルスの恐ろしさ

業務が止まる・台帳がなくなる

この手口だけを見ると、あくまで個人が狙われ、被害も個人レベルでとどまりそうですが実は違います。スプレッドシートで管理している資金繰り表や台帳などが全て失われて、バックアップからも復旧できないということが起こりえます。

● 全体に影響: 身代金ウィルスに感染した1台のパソコンから共有フォルダ上のファイルが暗号化されて、開けなくなってしまいます。

Ÿ  在外子会社のパソコンが1台、感染されただけで、本社財務部門のスプレッドシートが失われるということが起こりえます。

Ÿ  ファイルのバックアップをとっていたとしても、そのパソコンとつながっていれば、バックアップも同時に暗号化されます。

● 業務を再開できるとは限らない: 相手は犯罪者です。言うとおりに身代金を払ったところで、パソコンやファイルを元通りにしてくれるとは限りません。実際に、払ったにも拘らず、一部のファイルは復元されなかったとか、追加の身代金を要求されたりする事例があるそうです。

 

実は身近な脅威

 2015年下半期には、身代金ウィルスを作成したり配布したなどの疑いで、札幌と川崎でそれぞれ14歳と17歳の少年が逮捕されました。このウィルスはある程度の知識があれば誰でも作れ、ネット掲示板等で流通しているようです。

 トレンドマイクロ社の調査によれば、回答者の25.1%(134名)が、勤務先が実際に身代金ウィルスの攻撃にあったことがあると答えています。※7

 

2.被害状況と事例

 トレンドマイクロ社は身代金ウィルスについて、2016年8月に2つの調査結果を公表しました。以下、調査X※8と調査Y※9と表します。この二つの調査によると、日本における身代金ウィルスの被害は以下のようなものです。

(二つの調査の母数は異なりますので、以下の件数は整合しません。)

件数(調査Y)

● 被害件数の9割は法人(1,510件)で、前年の9倍でした。

身代金の支払額(調査X)

● 被害者の6割強(62.6%)が身代金を支払いました。「業務が滞ってしまう」という理由です。

● 身代金を支払った被害者の6割弱(57.9%)が、300万円以上を支払いました。

● そのうちの3割弱(=身代金を支払った被害者の16.1%)は、1,000万円以上を支払いました。

データやシステムの復旧や売上回復の対応などの総被害額(調査X)

● 身代金ウィルスの攻撃を受けたことのある回答者の半数近く(46.9 %)は、被害の回復に500万円以上かかりました。

● そのうちの2割弱(=攻撃を受けた回答者の8.1%)は、1億円以上、回復に要したと答えています。

 

 身代金ウィルスは、コンピューターウィルスによる被害になりますので、セキュリティソフト会社に相談がいくのが普通です。被害額によっては警察に届けられるでしょう。そのような性質のため、公表、報道された事例は少ないですが、冒頭で紹介した財務データを失ったA社のほかに、以下のような被害事例があります。※10

①鉄道駅構内施設運営会社B

社員のパソコンからファイルサーバーにも感染が広がり、1万個のファイルが暗号化され、4日間使えなくなりました。

②鳥取県立高等学校C

期末試験直前にパソコンが感染しました。調査のため全校ネットワークが1週間寸断され、教員は試験問題の作成が間に合わないのではないかと焦ったとのことです。

 このほかにも、国内で商業施設、工場、官公庁などの感染が報告されているそうです。※11

 

3. 対応

 身代金ウィルスの被害に遭ったと思われるときは、以下のような対応が必要です※12

● ファイルの拡張子が変わり、業務のデータが使えなくなった場合は、まず身代金ウィルスを疑うべきです。

● データ復旧の保証はないため、身代金は払ってはいけません。

● 脅迫文の出ているパソコンは速やかに電源を切り、直ちにセキュリティソフト会社に相談します。

 証拠保全のために、そのパソコンをそのままにしておくケースが散見されるそうですが、そのままだとネットワークを介して被害が広がるため、電源を切ってネットワークから外すことが正しい証拠保全方法とのことです。

 

4. 対策

身代金ウィルスに対する直接的な対策

 情報処理推進機構※13やトレンドマイクロ社※14が推奨する、身代金ウィルスへの対策は以下のようなものです。

● 定期的にバックアップをとり、復元できるかを事前に確認しておきます。

Ÿ  身代金ウィルスに感染したパソコンからバックアップファイルを暗号化されないよう、バックアップの装置と媒体は、バックアップ時のみパソコンと接続するようにします。

Ÿ  バックアップ中に暗号化されてしまい、そのバックアップの装置と媒体が使えなくなることを想定して、バックアップ装置と媒体は複数用意します。

Ÿ  バックアップから正常に復元できることを定期的に確認します。

● OSおよびソフトウエアを常に最新の状態に保つようにします。

Ÿ  OSやソフトウエアの脆弱性が攻撃に利用されますので、常に最新の状態にしておきます。

● セキュリティソフトを導入し、定義ファイルを常に最新の状態に保ちます。

Ÿ  セキュリティソフトには次のような機能が求められます。

–     身代金ウィルス本体を検出する機能

–     不正プログラムの行う不審な活動を警告し、ブロックする機能

–     外部不正サイトへのアクセスをブロックする機能

–     電子メールの添付ファイルのウィルスを検出する機能とスパム対策機能

● メールやSNSのファイルやURLに注意します。

Ÿ  不用意に添付ファイルを開けたり、リンク先をクリックしたりしないようにします。

 

そもそも身代金ウィルスに狙われないようにする対策

 身代金ウィルスに感染するのは、迷惑メールの添付ファイルを開けたり、不正なサイトへのリンクをクリックしたりすることから始まります。フィッシングによるものです。

 最近は、標的とする本人の業務内容を調べ上げたうえで、通常の業務メールになりすましてフィッシング・メールを送ってくる手口が増えています。そのためメールを受け取った本人は、フィッシングであることを全く疑わずにメールを開封して、悪意のあるソフトウエアに感染してしまいます。

 そのため悪意のある第三者に業務内容を知られないようにしなければなりません。これらの手口と対策については、「ビジネスメール詐欺 」をご参照ください。

 

身代金ウィルスに対する根本的な対策

 狙われるのはパソコンや共有フォルダ上のファイルです。財務取引の台帳、資金繰り表といった、財務業務の根本にかかわるデータは、スプレッドシートではなく、セキュリティが担保された適切なツールやシステムで管理すべきでしょう。

 財務データを失ったA社の場合、「以前に何度か小規模な攻撃を受けていたのに、感染源など根本原因を追究しなかったことが致命的被害を招いた」と報道されています。サイバー攻撃をされている兆候があったならば、的確な対応をとり、小さな未遂でとどめておきたいものです。

 10代の少年のいたずらで、グローバル財務業務が停止してしまったら、相当悔いが残ると思われます。



※2 同社ホームページ http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/ransomware/index.html
※3 ほかに全国紙、地方紙、IT雑誌では、「脅迫ウィルス」「身代金要求ウィルス」「身代金型ウィルス」などと表記している例があります。
※4 産経ニュース「日本初の「身代金要求型ウイルス」作成? ホームページ改竄容疑の17歳逮捕 警視庁」http://www.sankei.com/affairs/news/150701/afr1507010014-n1.html 2015年7月1日。メッセージの画面コピーが掲載されています。
※5 注2に掲載の画面コピーより抜粋。
※6 「広がる「身代金型」ウィルス 日本語表記/「個人情報ネットに公開」脅す」『毎日新聞』2016年5月22日、朝刊。
※7 トレンドマイクロ社(2016年8月1日)『企業におけるランサムウェア実態調査 2016』。
※8 注7に同じ。
※9 トレンドマイクロ社(2016年8月24日)『2016年上半期セキュリティラウンドアップ』。
※10 「解説スペシャル=「身代金ウィルス」危険増 PC内 勝手に暗号化、復旧費要求 ランサムウエア 被害急増」『読売新聞』2016年6月11日、朝刊。
※11 「はびこる身代金ウィルス 企業の感染相談急増」『中日新聞』2016年4月15日。
※12 「ある日突然ファイルが凍結 「身代金」請求に従うべき?」『日経情報ストラテジー』2015年9月号。
※13 情報処理推進機構「「ランサムウェア感染被害に備えて定期的なバックアップを」~組織における感染は組織全体に被害を及ぼす可能性も~」http://www.ipa.go.jp/security/txt/2016/01outline.html, :2016年1月5日。
※14 注2に同じ