国内のランサムウェア被害は、2020年の下期から増加し続けている状態です。その背景として、新型コロナウイルス感染症による在宅ワークやテレワークの増加が挙げられます。今年に入り、海外では「Akira」という新しいランサムウェアが3月に発見されています。2017年に同名のランサムウェアが活動していましたが、コードが大きく異なるという理由で無関係だと考えられています。それ以降「Akira」は、急速に攻撃対象を増やしてきています。現在までに国内では、被害報告は出されていません。だからといって、今後被害がないとは言いきれません。この記事では、そんなランサムウェアについて、基本的なことから、ランサムウェア「Akira」の特徴や注意すべきことをまとめてみました。
ランサムウェアとは?
ランサムウェアとは、身代金を意味する「Ransom(ランサム)」とみなさんもご存知の「Software(ソフトウェア)」が組み合わさった造語です。 感染すると、暗号化することでファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに身代金(金銭)を要求するマルウェアのひとつです。
初めて存在が明らかになったランサムウェアとは、1989年にジョセフ・ポップが作り出した「AIDS Trojan」または「PC Cyborg」という名称のトロイの木馬です。さらに2017年には世界を震撼させた「WannaCry」が大規模な被害をもたらしたのは、記憶に新しいのではないでしょうか。被害の一部には、WannaCryの感染により操業停止になった工場や企業が出たり、イギリスの国営医療サービスも被害を受けたりしました。
ランサムウェアの被害では、暗号化されたファイルを元に戻すのは至難の業であり、身代金を払っても、ファイルが元に戻る保証も可能性も無いに等しいというのが実際のところです。より重要なのはランサムウェアによる感染を防ぐことです。ウイルス対策ソフトを利用したり、OSやアプリケーションの脆弱性を解消するアップロードを行うなど、セキュリティ対策を適切に行う事が大切です。
ランサムウェア「Akira」の特徴とは?
Akiraは現在までにアメリカや英国の中小企業を中心に、金融や医療、教育など様々な業界を攻撃対象にしてきています。 ファイルを暗号化してデータを窃取したのち、二重脅迫が記載されたテキストファイルを残します。 アメリカ英国で、現在までに110件以上の被害があり、身代金の要求金額は数十万ドル〜数百万ドルに及んでいるという報告があります。では一体Akiraの特徴はどう言ったものなのか見ていきましょう。
- 「.akira」という拡張子で暗号化
ランサムウェアAkiraに感染すると、「.akira」という拡張子でデータを暗号化され、復号用の鍵と引き換えに身代金の要求があります。この間、感染したコンピュータからデータやファイルなどを盗み出し、何が起きているのか、どうするのが最善の策か、身代金の支払いがない場合データがどうなるか、そして交渉サイトのリンクが示された犯行声明メモがコンピュータ内に保存されます。
- 標的は現在も拡大中
現在までにランサムウェアAkiraの標的となっているのは、WindowsPC並びにLinuxサーバーそして、VMware ESXiに、Cisco VPN製品です。2023年3月時点ではWindowsPCが標的となっていましたが、2023年6月にはLinuxサーバーへの感染が確認されています。そして、VMware ESXiへの感染と、Cisco VPN製品も攻撃対象に加わったことが確認されています。
- ランサムウェア Contiと類似している
2020年に医療機関のシステムを標的にして当時話題になった「ランサムウェア Conti」と類似していることがわかっています。感染しないファイルの種類、ファイルの末尾における構造、暗号化のアルゴリズムなど、複数の類似が見つかっています。可能性として推測されているのがContiとAkira両方に関わっている人物の存在です。
- 感染はVPNの脆弱性を狙って
ランサムウェア Akiraは、標的としたWindowsPCの標準セキュリティソフト「Windows Defender」を事前に無効化したという報告にあるように、VPNの脆弱性を検知し、VPN認証を行わずネットワークへ侵入し、セキュリティソフトを弱体化もしくは無効化させるようです。
- 一部のデータやファイルには感染しない
ランサムウェア Akiraは「.accdb 」「.nvram」など、データベースに関連した拡張子には感染しますが、Windowsの「.exe」「.link」「.dll」「.msi」「.sys」といったシステムファイルの拡張子には感染してないことがわかっています。ただし、Akiraがアップデートされれば、これらも感染する可能性はあります。
- 幅広い企業が標的となっている
現在までに教育機関や投資会社、製造業に専門サービス業、自動車関連企業まで、様々な職種の中小企業が標的となっています。
Akiraを含むランサムウェアの感染経路とは?
ランサムウェアの感染経路として多いのはメールやWebサイトを経由して感染するケースです。ランサムウェア Akiraの場合は、VPNの脆弱性を悪用し、システム上の脆弱性が修復される前に、侵入し攻撃を行う方法とVPN認証を突破して侵入する方法で、感染させます。
VPNの脆弱性をカバーするには、パスワードを複雑化し、多要素認証にすることでランサムウェアの侵入を抑制できます。推測されやすいパスワードもすぐに変更しておきましょう。
万が一感染してしまった場合
まずは、感染したコンピュータをネットワークから切り離すためにオフラインにします。オフラインにすることで、感染拡大を防げます。次に、バックアップから観戦前のデータを復旧させましょう。これで被害を回復させられる可能性があります。そして、再発防止策を講じるためにも、感染経路を特定するためにも、専門の業者にランサムウェア感染調査の依頼も検討しておきましょう。
まとめ
現在のところ、国内では被害報告が出ていませんが、ランサムウェアAkiraが日本も標的にする可能性は否めません。というのも、実際に近年アジアがインターネットの脅威の標的とされているからです。できる対策は今すぐに行い、今後もランサムウェアAkiraには注意しながら、目を光らせておきましょう。