ランサムウェアの犯人に金を渡さないようにするには「払ってはダメ」だけではダメ。
-
kitagawa_takuji
- 36106
- 178
- 99
- 64
-
- いいね!64
北河拓士🔰
@kitagawa_takuji
ファイル暗号化ランサムウェアについて、最近、セキュリティ専門家でも「感染した場合、支払ってもファイルは復元されない」という事実と異なったことを言っている人が見られるので、それについての連ツイ
2016-04-05 22:54:11
北河拓士🔰
@kitagawa_takuji
例えば、mcafee.com/japan/home/sec… 「ランサムウェアは「身代金」を払うにしろ払わないにしろ、感染後にファイルが復元されることはありません。」 や、既にWebからは消されているが3/24のNHKニュース pic.twitter.com/KyoCquDWKg
2016-04-05 22:54:55
拡大
NHKニュースの発言の文字起こし
「感染した場合、お金を払ってもファイルはもう元には戻りません。また払うことによって、こういった攻撃を助長することになりますので、お金を払わないようにしてください。」
北河拓士🔰
@kitagawa_takuji
犯罪者の目的は、嫌がらせではなく、金儲け。犯罪者にとって一番マズイのは、身代金を払っても元に戻せないと噂が立って誰も払わなくなること、よって、殆どの場合、払えばファイルが戻るようになっている。
2016-04-05 22:55:30
北河拓士🔰
@kitagawa_takuji
現在のランサムウェアは、ランサムウェア作者がプラットフォームを提供し、それをアフィリエーターがスパムメールやエクスプロイトキットを用いて配布し利益を分け合うアフィリエイトモデルによって拡散されている。
2016-04-05 22:56:05
北河拓士🔰
@kitagawa_takuji
ファイル暗号化ランサムウェアで、最初から金だけ取ってなにもしないでバックレる様に作ってあるものは、初期の頃には存在したかもしれないが、現在では殆ど無いと思うし、もし、あったとしてもそれでは稼げないので、アフィリエーターが付かず流行することはない。
2016-04-05 22:56:32
北河拓士🔰
@kitagawa_takuji
ファイルが復号されないことがあったとしても、それはランサムウェアの作りがそうなっているからではなく ・バグや環境による不具合で復号プログラムが正常動作しない ・身元を隠すためTor Hidden Serviceなど何ホップも複雑な経路をたどっているので途中で通信障害が生じやすい
2016-04-05 22:57:25
北河拓士🔰
@kitagawa_takuji
・勝手に乗取ったサーバ上にプラットフォームが構築されているため、経路上のサーバがテイクダウンされている。 などの理由から。通信障害やテイクダウンは仕組み上、避けられないが、バグで動作しないものは稼げないため、アフィリエーターが他に移り淘汰されていくだろう。
2016-04-05 22:57:50
北河拓士🔰
@kitagawa_takuji
身代金が$500程度に設定されていたり、一定期間が経つと身代金が2倍になるとカウントダウンしたり、お試しで1ファイルが無料で復号できるもの、どのようにすれば収益を最大化できるかという観点で試行錯誤した結果、そうなっている。
2016-04-05 22:58:18
北河拓士🔰
@kitagawa_takuji
よって「支払ってもファイルは戻らない」というのは、明らかな間違いだし、「支払っても元に戻る保証はない」というのも全くの間違いとは言えないが、一般の人が読むと、「殆どのケースは戻らないんだな、それじゃ払う理由はないな」と誤解する人が大半だと思うので、誘導的であり、説明不足。
2016-04-05 22:59:36
北河拓士🔰
@kitagawa_takuji
また、よく言われる「一度支払うと、再度狙われる」。ランサムウェアの感染経路はスパムメールかドライブバイダウンロード。身代金を支払わなかったからと言って、スパムの送信リストから削除されたり、除外IPアドレスに加えられることはない。つまり、払っても払わなくても、今後も何度も狙われる。
2016-04-05 23:00:59
北河拓士🔰
@kitagawa_takuji
「いかなる場合でも、身代金を支払ってはならない」という主張をするのは、構わないと思うが、そのために、事実と異なることを言ったり、明らかな誘導をするのは良くない。個々人が自分で考えて判断出来るように正しい情報をちゃんと伝えるべき。
2016-04-05 23:01:24
北河拓士🔰
@kitagawa_takuji
セキュリティの仕事(特に販売側)は相手の不安につけ込む商売なので(つけ込んでくれてありがとうと、後になって感謝されることもあるが)事実にもとづいた説明を心がけるべき。そこの一線は越えてはいけない。正義のためだからとか、お客さんのことを思ってと言って、事実を改変してはいけない。
2016-04-05 23:02:01
北河拓士🔰
@kitagawa_takuji
本当に犯人に資金を渡したくないのならば、 1.マルウェアに感染しないための予防策(ランサムウェアに限らず全てのマルウェア共通) 2.定期的なバックアップ 3.感染した場合もファイルを回復できる様々な可能性がある これらをちゃんと説明して伝えていくことが重要。
2016-04-05 23:02:39
北河拓士🔰
@kitagawa_takuji
特に、3.感染した場合もファイルを回復できる様々な可能性がある について殆ど説明されることがなく、「身代金を払うな」だけがやたらと強調されている様に感じる。
2016-04-05 23:02:54
北河拓士🔰
@kitagawa_takuji
3のファイルを回復させる具体的方法は、 ・古いバージョンのランサムウェアであれば回復用のプログラムが提供されていることがある ・ボリュームシャドウコピーからの復元 ・ファイル復元ソフト ・Dropbox、OneDriveなどクラウドストレージの履歴や削除ファイルからの復元 など
2016-04-05 23:03:51
北河拓士🔰
@kitagawa_takuji
回復用のプログラムが公開されると、すぐにランサムウェア側もバージョンアップして対策されるので、残念ながら流行中のランサムウェアには有効でない場合が多いが、可能性はある
2016-04-05 23:04:53
北河拓士🔰
@kitagawa_takuji
ボリュームシャドウコピーは、ランサムウェアによって削除されることも多いが、管理者権限を持たない(標準)アカウントで感染した場合などは、削除されずに残っている場合もある
2016-04-05 23:05:22
北河拓士🔰
@kitagawa_takuji
ファイルを暗号化して拡張子を変更する場合に、元のファイルを上書き消去していない場合があるのでファイル復元ソフトで復元できる場合がある。感染後のPCでいろいろと作業せず保全してあればより復元出来る可能性は高くなる。
2016-04-05 23:06:24
北河拓士🔰
@kitagawa_takuji
また、業者に専門的なフォレンジックを依頼すれば、より復元出来る可能性は高くなるが、身代金の数倍~数十倍の金額を請求されることもあるだろうし、身代金を払って回復するより恐らく確実性は低い。
2016-04-05 23:08:30
北河拓士🔰
@kitagawa_takuji
削除されたボリュームシャドウコピーをファイル復元ソフトRecuvaで復元して、復元したボリュームシャドウコピーからShadowExplorerで復元するという合せ技で復元出来たケースも報告されている。
2016-04-05 23:08:56
北河拓士🔰
@kitagawa_takuji
Recuva forest.impress.co.jp/library/softwa… ShadowExplorer forest.impress.co.jp/docs/review/20… どちらもフリーウェア
2016-04-05 23:10:10
北河拓士🔰
@kitagawa_takuji
クラウドストレージは暗号化されたファイルが同期されてしまうのでダメと解説しているサイトもあるが、多くのクラウドストレージは履歴から古いバージョンに戻したり、削除ファイルを復元出来る機能がある。
2016-04-05 23:10:55
北河拓士🔰
@kitagawa_takuji
ファイルを暗号化して拡張子を変更すると、元のファイルは削除されたことになるので、削除ファイル(ゴミ箱)から戻すことになる。
2016-04-05 23:11:20