ランサムウェアの犯人に金を渡さないようにするには「払ってはダメ」だけではダメ。

「感染した場合、お金を支払ってもファイルは元に戻らない」と断言するのは事実とは異なる。また、身代金を払ってはダメだけでは、ランサムウェアの被害はなくならないし、感染して困っている被害者の救済にならない。バックアップがなくてもファイルを戻せる可能性はあるので、その方法も伝えていく必要がある。
ランサムウェア
kitagawa_takuji 30094view 34コメント
58
ログインして広告を非表示にする
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:54:11
    ファイル暗号化ランサムウェアについて、最近、セキュリティ専門家でも「感染した場合、支払ってもファイルは復元されない」という事実と異なったことを言っている人が見られるので、それについての連ツイ
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:54:55
    例えば、mcafee.com/japan/home/sec… 「ランサムウェアは「身代金」を払うにしろ払わないにしろ、感染後にファイルが復元されることはありません。」 や、既にWebからは消されているが3/24のNHKニュース pic.twitter.com/KyoCquDWKg
     拡大
  • NHKニュースの発言の文字起こし

    「感染した場合、お金を払ってもファイルはもう元には戻りません。また払うことによって、こういった攻撃を助長することになりますので、お金を払わないようにしてください。」

  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:55:30
    犯罪者の目的は、嫌がらせではなく、金儲け。犯罪者にとって一番マズイのは、身代金を払っても元に戻せないと噂が立って誰も払わなくなること、よって、殆どの場合、払えばファイルが戻るようになっている。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:56:05
    現在のランサムウェアは、ランサムウェア作者がプラットフォームを提供し、それをアフィリエーターがスパムメールやエクスプロイトキットを用いて配布し利益を分け合うアフィリエイトモデルによって拡散されている。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:56:32
    ファイル暗号化ランサムウェアで、最初から金だけ取ってなにもしないでバックレる様に作ってあるものは、初期の頃には存在したかもしれないが、現在では殆ど無いと思うし、もし、あったとしてもそれでは稼げないので、アフィリエーターが付かず流行することはない。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:57:25
    ファイルが復号されないことがあったとしても、それはランサムウェアの作りがそうなっているからではなく ・バグや環境による不具合で復号プログラムが正常動作しない ・身元を隠すためTor Hidden Serviceなど何ホップも複雑な経路をたどっているので途中で通信障害が生じやすい
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:57:50
    ・勝手に乗取ったサーバ上にプラットフォームが構築されているため、経路上のサーバがテイクダウンされている。 などの理由から。通信障害やテイクダウンは仕組み上、避けられないが、バグで動作しないものは稼げないため、アフィリエーターが他に移り淘汰されていくだろう。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:58:18
    身代金が$500程度に設定されていたり、一定期間が経つと身代金が2倍になるとカウントダウンしたり、お試しで1ファイルが無料で復号できるもの、どのようにすれば収益を最大化できるかという観点で試行錯誤した結果、そうなっている。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 22:59:36
    よって「支払ってもファイルは戻らない」というのは、明らかな間違いだし、「支払っても元に戻る保証はない」というのも全くの間違いとは言えないが、一般の人が読むと、「殆どのケースは戻らないんだな、それじゃ払う理由はないな」と誤解する人が大半だと思うので、誘導的であり、説明不足。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:00:08
    何より、感染してしまって本当に困っている人をどう助けるかという視点が欠けている様に思う。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:00:59
    また、よく言われる「一度支払うと、再度狙われる」。ランサムウェアの感染経路はスパムメールかドライブバイダウンロード。身代金を支払わなかったからと言って、スパムの送信リストから削除されたり、除外IPアドレスに加えられることはない。つまり、払っても払わなくても、今後も何度も狙われる。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:01:24
    「いかなる場合でも、身代金を支払ってはならない」という主張をするのは、構わないと思うが、そのために、事実と異なることを言ったり、明らかな誘導をするのは良くない。個々人が自分で考えて判断出来るように正しい情報をちゃんと伝えるべき。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:02:01
    セキュリティの仕事(特に販売側)は相手の不安につけ込む商売なので(つけ込んでくれてありがとうと、後になって感謝されることもあるが)事実にもとづいた説明を心がけるべき。そこの一線は越えてはいけない。正義のためだからとか、お客さんのことを思ってと言って、事実を改変してはいけない。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:02:39
    本当に犯人に資金を渡したくないのならば、 1.マルウェアに感染しないための予防策(ランサムウェアに限らず全てのマルウェア共通) 2.定期的なバックアップ 3.感染した場合もファイルを回復できる様々な可能性がある これらをちゃんと説明して伝えていくことが重要。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:02:54
    特に、3.感染した場合もファイルを回復できる様々な可能性がある について殆ど説明されることがなく、「身代金を払うな」だけがやたらと強調されている様に感じる。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:03:51
    3のファイルを回復させる具体的方法は、 ・古いバージョンのランサムウェアであれば回復用のプログラムが提供されていることがある ・ボリュームシャドウコピーからの復元 ・ファイル復元ソフト ・Dropbox、OneDriveなどクラウドストレージの履歴や削除ファイルからの復元 など
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:04:53
    回復用のプログラムが公開されると、すぐにランサムウェア側もバージョンアップして対策されるので、残念ながら流行中のランサムウェアには有効でない場合が多いが、可能性はある
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:05:22
    ボリュームシャドウコピーは、ランサムウェアによって削除されることも多いが、管理者権限を持たない(標準)アカウントで感染した場合などは、削除されずに残っている場合もある
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:06:24
    ファイルを暗号化して拡張子を変更する場合に、元のファイルを上書き消去していない場合があるのでファイル復元ソフトで復元できる場合がある。感染後のPCでいろいろと作業せず保全してあればより復元出来る可能性は高くなる。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:08:30
    また、業者に専門的なフォレンジックを依頼すれば、より復元出来る可能性は高くなるが、身代金の数倍~数十倍の金額を請求されることもあるだろうし、身代金を払って回復するより恐らく確実性は低い。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:08:56
    削除されたボリュームシャドウコピーをファイル復元ソフトRecuvaで復元して、復元したボリュームシャドウコピーからShadowExplorerで復元するという合せ技で復元出来たケースも報告されている。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:10:55
    クラウドストレージは暗号化されたファイルが同期されてしまうのでダメと解説しているサイトもあるが、多くのクラウドストレージは履歴から古いバージョンに戻したり、削除ファイルを復元出来る機能がある。
  • 北河拓士 KITAGAWA,Takuji @kitagawa_takuji 2016-04-05 23:11:20
    ファイルを暗号化して拡張子を変更すると、元のファイルは削除されたことになるので、削除ファイル(ゴミ箱)から戻すことになる。

コメント

  • 緑川だむ @Dam_midorikawa 2016-04-05 23:58:38
    でも払ったところで戻らないのが現実じゃろ
  • @izanamu 2016-04-06 00:28:34
    「犯罪者にとって一番マズイのは、身代金を払っても元に戻せないと噂が立って誰も払わなくなること」…何と言う巨大ブーメラン。
  • 玉藻(公式)@きつね㌠ @Roseate_Rosy 2016-04-06 01:45:02
    犯罪者にとって一番まずいならそれがベストなんじゃね?って思うけどそれでもデマはよくないよ、って意見なのでまあ……判断には困るよね(笑)
  • WATA@フレアドライヴ @WATA_bakatter 2016-04-06 03:16:28
    「支払ってもファイルは復元されないは嘘」とドヤ顔で講釈垂れながら「環境による不具合・通信障害で復元されない事はある」て。復元されないなら被害者にとっては同じだヴォケ。「犯罪者にとって一番マズイ」事だけど嘘はイケナイって犯罪者の味方かよこいつ。
  • hechikoTKB @hechikoTKB 2016-04-06 07:12:09
    身代金ビジネスはうまくいっているときは加害者の利益=被害者の利益≠公共の利益となる場合もあるので、被害者の味方をしようとすると加害者の味方をせざるを得ない場合もある。
  • 緑川だむ @Dam_midorikawa 2016-04-06 07:21:34
    ランサムウェアを作る側の立場に立って考えると、わざわざ復元できるように高度な暗号化ソフトをこさえるよりも単にそれっぽく見えるダミーファイルだけ生成して元のファイルを削除する方が簡単じゃろう
  • CD @cleardice 2016-04-06 07:40:16
    前提となる対策をせずに身代金を払うなと「だけ」主張する人って藁人形でしかないし、もしそういう人がいたとしても説明するべきはバックアップ等対策の強調で身代金を払う可能性とかいう寝言じゃない。
  • 和田名久司 @sysasico1 2016-04-06 08:58:15
    その理屈だとオレオレ詐欺はこん滅していないとおかしい。
  • Bぼたん@伊26一発ツモ @omega_b 2016-04-06 08:59:10
    感染しないための対策をアレコレした上での「感染しても金払うな」じゃないの…?
  • 悟りを壊すもの @satoriwokowasu 2016-04-06 09:00:33
    オレオレ詐欺の目的は、嫌がらせではなく、金儲け。犯罪者にとって一番マズイのは、金を払っても意味がないと噂が立って誰も払わなくなること、よって、殆どの場合、払えば相手が自分の子供になるようになっている。
  • R @r_hexar 2016-04-06 10:08:52
    テロリストに身代金を払っちゃうダメよね。
  • 権中納言明淳 @mtoaki 2016-04-06 10:21:41
    「金払えば復元できる」という期待感があれば Dam_midorikawa という「雑な」プログラムでも収益をあげられることになるので、やっぱり「復元は無理」とするのが一番良いように思う。
  • Sn @rbmio0079 2016-04-06 10:31:15
    低リスクで儲かると分かればさらに被害が拡大するだけ。ソースはソマリアの海賊被害。なんて、対策として正解なのは取り締まりの強化。
  • てまりん@PITACoreBox @Temarin_PITA 2016-04-06 10:37:42
    素人相手に説明するときは、「絶対復元できない、金を払ってもな!」ぐらい直球に言った方がわかりやすくて良いだろうよ。
  • オペル・シグナム @StrikerS_Signum 2016-04-06 10:44:12
    これだけ強く断言し、かつ自己まとめまでしているんだから、金を払って元に戻らなかったら、この人、なんらかの責任なり取ってくれんの? 犯罪撲滅と言ってるのに、テロリストに金払えって正気なの?
  • ヒロセジロウ @denjiro13 2016-04-06 11:20:37
    期待はできないので自己防衛が必要ね。「失われては困るデータがどれくらいあるか」を知りたい。Dropbox 1TBは月1200円、OneDrive 50GBなら月170円。EvernotePremiumは年4000円で容量無制限(ただし月10GB制限)。探せば自分にピッタリのサービスがあるはず
  • nobu_ddr @nobu_ddr 2016-04-06 11:57:33
    実は身代金を払えば復元可能だけど、敢えてデータを犠牲にして身代金を払うなと喧伝する、ランサムウェアにかかって困るのは日常バックアップを取っていなかったりサンドボックス等の水際対策が出来ない個人ユーザーと想定すればデータなんてゴミに毛が生えた程度でしょう。後はまとめ主の言うとおり金にならないからアフィリエイターが寄り付かずビジネスとして成り立たなくなる。でいいんじゃないの?
  • めぐめぐ♂ @megtan 2016-04-06 12:20:02
    戻るのが事実としてもその結果ランサムが更に繁栄するのは確実で、ならばデマでも払わない方向に仕向ける方が良いような気もするがそれも正解とは言い難いか
  • koromon @yamadian 2016-04-06 12:20:48
    事後の話は緊急性に応じてそのユーザーが決めればよくない?病院がひっかかって身代金払って戻した事例もあるし、「払っても復号できない恐れがある」くらいでいいと思う
  • tzt @tzt256 2016-04-06 12:22:18
    結果として良ければデマも容認するという意見が結構あってビビる。どうりで江戸しぐさが撲滅できないわけだ。
  • くりあ/CLEA-R-NOT-3 @Clearnote_moe 2016-04-06 12:50:14
    「この手のランサムウェアには復元できるものも復元できないものもある」はデマでもなんでもない事実で。「だから復元を期待して金を払うのは効果が確実でない上に犯罪者が喜ぶからよろしくない」というところに、わざわざ「中には金を払ったら復元するものもある」ということを強調し周知させようとする意味がわからない。
  • 権中納言明淳 @mtoaki 2016-04-06 13:55:17
    それか専門のネゴシエーターを準備して、交渉でなんとかなりそうな「ホンモノ」を見極めたうえで金銭交渉をするとかになるのかな。「素人判断をせずにまずはネゴシエーターへ!」という感じで。
  • ざの人 @zairo21 2016-04-06 14:51:28
    大事なデーターだけバックアップして、工場初期出荷状態に戻す。 でも戻せないのかな?ッて思ってしまうけど。それと、復元しなきゃ困るデーター って、なんだろうと考えてみたら?写真以外に、プリペイドアプリや、ポイントアプリが感染してたら?マザーサーバーにデーター置いていない場合は、ポイント分と入金してある分だけ損するって事態にはなるね。
  • ざの人 @zairo21 2016-04-06 14:52:36
    ゲームアプリもあるかもだけどさ~(コード覚えとけば パズドラなら再現できるんだっけ?)
  • Tsuyoshi CHO @tsuyoshi_cho 2016-04-06 23:01:33
    zairo21 まあカスタマイズまでコミで、いろいろ散って存在はするでしょうね...。しかし基本「詐欺師を養うな」論でいいはずだと思うんだけどな、これ。戻るかどうかじゃなく、相手の犯罪者が次をカモるための生活費を稼いでしまうっていうのが先に思い浮ぶわけなんだが...
  • うめまろ @m_umeyan 2016-04-07 12:35:19
    言いたい事はわかるけど、金を渡す事を正当化すべきではない。その金がまた被害者を増やす事に繋がるわけで。データバックアップや情報リテラシーが足りなかった被害者もいるわけで。
  • ゆうきやん🌸Aqours2nd名古屋 @sugunikeSE 2016-04-07 21:58:50
    実際日本で最初に出回ったKRSWLockerなる物は開発者の手違いで払っても暗号化解除されなかったっぽいし安易に払わずに別の解決方法を模索するのが一番いいよね
  • ちはや🌸🐱 @Chihalog 2016-04-08 16:36:47
    この記事に誘導したらいいのかなー? ➡ 被害が急増するランサムウェア、トレンドマイクロが法人向けの対策手引書を公開 - クラウド Watch http://cloud.watch.impress.co.jp/docs/news/20160407_751933.html
  • しげ @gohangaumai 2016-04-08 20:25:39
    北河さんの情報は役に立つが、この意見には賛成できない。ランサムウェアに感染した時点でデータは死んだと思うべき。このことと、感染しないようにバックアップするように啓蒙することは別の話。だって、ランサムウェアじゃなくてHDDが故障してデータが飛んでも絶望するのは同じでしょ。
  • たるたる @heporap 2016-04-09 15:08:05
    「身代金を払わなくても復元できるから払わない」「復元できないから身代金を払って復元してもらえることに掛ける」とは全く別物なので。
  • フローライト㌠ @FluoRiteTW 2016-04-10 02:07:57
    身代金より業務停止するコストが上だからとビットコイン払って即日解除してもらったアメリカの病院って事例があるからなぁ。
  • のばな @nobanner 2016-04-10 13:42:25
    自分も何か予防しないとなー。
  • (=゚ω゚)ねこすけ@コピミスト @Bikenekosuke 2016-12-24 21:36:45
    この件については、辻伸宏氏の著作「あなたのセキュリティ対策間違っています」(ソフトバンク・テクノロジー)が詳しく解説してるので、そちらを読んだほうが良いと思うます。
  • おかゆ @ocha_okayu 2017-05-17 18:03:09
    まったくもって誘拐と同じだな…。正直子供の命がかかってる親は警察がなんといおうと無事に帰してくれるなら金くらい払う気がする。

カテゴリーからまとめを探す

最近人気のカテゴリー