- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
ランサムウェアとは、感染するとコンピュータに保存されているデータを盗取した上で暗号化し、そのコンピュータを使用できなくし、「データを復号化して欲しければ、身代金を支払え」とのメッセージがプリンターや画面に表示される仕組みのコンピュータウイルスである。身代金を支払えば暗号化に使用した暗号鍵が送られてきて、データの復号化が行える場合がある。また、身代金を支払わない場合は、ブログ上でデータを公開するぞと脅す、いわゆる「2重脅迫」をしてくる場合もある。被害が増加するに伴い、身代金を支払ったという話も聞こえてくるようになったが、筆者は次の3つの理由から身代金を払うべきではないと考えている。
ランサムウェアの暗号化は復号できる
まず、一つ目のポイントはランサムウェアの構造について研究が進み、ランサムウェアによる暗号化をハッカーから暗号鍵を取得しなくても復旧できる方法がいくつか出てきている点だ。
昨年10月31日にランサムウェアに感染した「大阪急性期・総合医療センター」では、ランサムウェアに感染する直前のデータのバックアップデータが存在していたことから、暗号鍵が無くてもデータ復旧できたそうだ。すべてのサーバーとPCを初期化して、再インストールを行うという、実に模範的な復旧作業を行なっている。ランサムウェアを除去しても、隠しファイルにマルウェアが残存し、再度の感染を引き起こす可能性を完全に排除しきれないため、OSから再インストールすることが原則である。
ただ、残念なことは、復旧までに攻撃に遭ってから約2ヶ月もの期間がかかっている点だ。医療機関のおよそ8割が、システムのバックアップデータを取得しているとしているが、バックアップを取っていても復旧にこれほどまでに時間が掛かっているのだ。システムのバックアップを取っていてもそのデータで完全に復旧できるかどうかわからないのが現実のようだ。各病院は、バックアップを取っていることに安住することなく、データ復旧訓練をすることが肝心だろう。
もう一つ残念なことは、「大阪急性期・総合医療センター」が感染したランサムウェアは、フォボス(Phobos)という種類で、復号化ツールを使用すればもっと早く診療を再開できたはずだということだ。一口にランサムウェアといっても多くの種類のランサムウェアが存在しているため、まず感染したランサムウェアを特定し、海外のサイト、例えばランサムウェアのデータツールの開発をボランタリーで行っている「The No More Ransom Project」に尋ねてみるべきだ。また、有償でもよければ「ransomhunter」などのデータ復旧専門会社などがある。「ransomhunter」ではハッカーとの身代金減額交渉などは一切しないことをホームページ上で謳っている。「ransomhunter」ではフォボスの暗号化は、暗号鍵をハッカーから入手しなくても独自に開発した復号化ツールで復号化できるとしている。
ランサムウェアの暗号鍵
次に、上記とは逆に、ランサムウェアの暗号鍵を取得しても復旧できないという事象がしばしば発生しているからだ。
そもそもランサムウェアが、感染したPCやサーバーのデータを暗号化する仕組みには、2つのやり方がある。一つは、遠隔地にあるサーバー(C&Cサーバー)に暗号鍵をおいておき、ターゲット(暗号化するPCやサーバー)からファイルを読み込んできては暗号化して、暗号化したファイルをターゲットに書き戻しを行う方法である。この方法は理論的には可能だが、膨大な時間を要するために、未だこの方式を用いたランサムウェアは確認できていない。もう一つの方法とは、ランサムウェアそのものに暗号鍵を格納し、感染させる方法である。どのランサムウェアも今のところ、この方式で作られている。つまりランサムウェアに感染した被害者の手元に複号化する情報もあるということだ。ただ、暗号鍵そのものも暗号化されており、ファイル名の長さに応じて暗号鍵の格納場所を変えるなど、簡単には暗号鍵が発見されない工夫がされている。このためランサムウェアを使って攻撃してきた者にも復号化できないケースがあるのだ。ロックビット3.0(LocBit3.0)と呼ばれるハッカー集団が、捜査当局の追求をかわすため、2022年12月にカナダのシックキッズ小児病院へランサムウェア攻撃を行なったことを謝罪し、ダークウェブに謝罪文と復元プログラムを公開したものの8割のファイルしか元に戻らなかったのは、このためである。一般に欧米ではファイル名が70バイトを超えるケースは少ないため8割のファイル復元に成功しているが、日本の場合、漢字が使えることからファイル名が簡単に70バイトを超えてしまうため、復元率も4割に止まっているようだ。万一のランサムウェアの感染に備えて、ファイル名の命名規則を70バイト以下にしておくのも重要かもしれない。
被害に便乗するデータ復元会社にご用心
最後、3つ目のポイントは身代金を支払うこと自体が、自組織の更なる信用失墜につながる可能性がある点だ。
昨年、ランサムウェアに感染したある町立病院では、当初、自力での復旧を目指すとしており、その費用は2億円を超えると見積もっていた。この病院では、都内のデータ復旧を専門とする会社にデータ復旧作業を委託し、無事、復旧を終えている。この会社が選ばれた背景には、警察から表彰もされている会社との安心感もあったのだと思われる。
問題は、そのデータ復旧会社に支払った金額である。7,000万円も支払っているのだ。実はその会社は、3,300万円を作業量として受け取り、残り3,700万円をハッカー集団ロックビットと交渉する別の人物に支払って暗号鍵を手に入れて、復旧作業を行ったのだ。都内のデータ復旧会社は、あくまでも自社の独自技術でデータを復元したといいはっているようだが、専門家にいわせるとハードディスクが破損したなどの物理的損傷と違い、暗号鍵を入手しなければ復旧は不可能だとする見方がほとんどだ。暗号鍵があれば流石に3,300万もの費用がかかるわけがないと思うのは筆者だけだろうか。それよりも身代金を支払わないと苦渋の決断をした首長の決意を踏みにじった行為といわざるを得ない。復元費用の見積もり金額2億円に対して7,000万円で済んだとする見方もできるだろうが、このケースはあくまでも公立病院だ。私立病院ならいざ知らず、公立の場合は、社会正義も大事なはずだし、反社会的行為との汚名も着せられたくはないだろう。まして、住民への説明責任も果たさなければならない。決算書には特別損失としてデータ復元費用が計上されるだろうが、それはあくまでもデータ復元会社への技術支援料と記録され、ロックビットの名前は記録に残らない。病院関係者や首長も知っての行いとは思いたくない。
欧州では身代金を支払うこと自体を違法行為としている国もあるし、米国の場合は、データ復旧サービス会社が、身代金を支払う場合は、必ず被害にあった委託元の了解を得て、初めて減額交渉をする。そうしなければ、詐欺罪でデータ復旧サービス会社が捕まってしまうからだ。
まだまだ未熟なランサムウェア対処
ランサムウェアに感染したとの相談を受け、ろくに情報を持ち合わせていないため、いきなり復旧作業にあたる大手ベンダーやいかにも「専門の技術者がいます」みたいなベンチャー企業に頼った結果、莫大な費用請求も甘んじて受けなければならない日本の被害企業は哀れとしかいいようがない。
日本のセキュリティ対策市場は、まだまだ未熟なようだ。
やはり、確実なオフラインの媒体にバックアップをとる習慣をつけるか、多少コストがかかってもイミュータブル・バックアップシステムを導入することが必要だろう。イミュータブル(※)とは、作成後にその状態を変えることのできないオブジェクトを指す言葉だ。イミュータブル・バックアップとはすなわち書き換えができないバックアップのこと。データを一方通行させる装置(データダイオード)を使用してイミュータブル・バックアップを実現する方法もあるが、最近ではイミュータブル・ストレージとして幾つかの商品も登場している。(※引用:『フリー百科事典 ウィキペディア日本語版』 2022年12月12日 (月) 11:52 UTC URL:https://ja.wikipedia.org/wiki/イミュータブル)
いずれにしてもランサムウェアは非常に脅威であることは間違いない。事前対策を整えた上で、いざ被害にあった際には、身代金を支払わないという選択肢を第一に各所に相談し、冷静に対処すべきだろう。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
