Ransom(身代金)ware(ソフトウェア)。
真実か大げさか、昨年は日本国内でもランサムウェアの被害が増えたらしく、その数は年々増加傾向にあるそうな。正直、なぜそんなに簡単に引っかかってしまうのか解らない。
どう対策すれば良いか基本的な事を5つ。
- セキュリティソフトの導入
- 拡張子を「表示」しておく
- 知らないメールの添付ファイルは開かない
- 釣りや知らないメールのURLへは行かない
- 違法では無くともP2Pのファイル共有は行わない
ランサムウェアの解説はトレンドマイクロによる脅し動画が分かり易い。
3分辺りまでが概要、3分から何が起こるのか解説。
1.セキュリティソフトの導入
今時対策していない企業は無いと思える基本中の基本。
と言いつつ私はWindows XPの頃まで自宅のPCには対策ソフトは入れておらず、しかしウィルスなどに感染した事は無し。一度、実験用に持っていたトロイの木馬をドラッグしようとしてダブルクリックになってしまい自爆した程度。
なぜ入れていなかったかは、感染する経路や方法を知っているので入れる理由が無い、金のムダ、何より動作が重くなるという、効率厨には耐えられないモノがセキュリティソフトだった為。
現在、ESETを入れている理由は、昔は添付ファイルやURLフィッシングくらいだったところ、最近は企業などのウェブページをクラック(侵入、改ざん)してJAVAやFlashなどでも感染するなど手法が進化している為。
セキュリティソフトは昔ほど重くは無いというか、本当に監視しているのか不安になるほど軽いので業務用なら必ず導入を。
2.拡張子を「表示」しておく
これ、なぜマイクロソフトは対策しないのか、Windowsでは標準で拡張子を表示しない設定。拡張子を変えるとファイルが使えなくなるよりも、何のファイルか見分けがつかず騙される方が問題あると思う。
適当なフォルダを開く->(左上の)「整理」※Windows 10は「ファイル」->フォルダーの検索とオプション->タブを「表示」へ切り替え->「登録されている拡張子は表示しない」のチェックを外して「適用」または「OK」ボタン。
赤枠忘れた、下から3つ目のチェックを外す。
Windows 7(Vista?)からはリネーム時に拡張子が変更範囲に含まれなくなったので表示しておいても問題は無いはず。知らない ~.exe、~.src のような実行ファイルやスクリーンセーバーは怪しみましょう。
アイコンなぞいくらでも偽装可能なので拡張子表示しなれば危ない。
3.知らないメールの添付ファイルは開かない
これに尽きる気がする、どうして添付ファイルを開いてしまうのか。
余程の親しい人や頻繁にやり取りしている信頼出来る人からのメールは除き、「本当かよ」と思えるニセ公式サイトや銀行からの警告メールなどに付いている添付ファイルはメール丸ごと捨てるに限る。
これはOutlook Expressがクソだった時代に勝手にhtmlファイルが開き実行されるのだろうと思っていたけれど、手動で開く騙される人が今でも存在するようで。
間違いを装い、「飲み会の時の写真送ります。微エロ(笑)」などは昔からよくある手口。ここで拡張子を表示していなければ、セキュリティソフトが見ていなければ、あっさり感染してしまうことでしょう。
4.釣りや知らないメールのURLへは行かない
2017年1月頃で話題になったニセメールは定番のゲームメーカーの他、LINE、Twitter、ご請求書など。
基本的にこれらは向こうから何らかを誘導させるアクションは無いものと思った方が良く、本当に何かしなければならないならブックマークや検索からその公式へ行きお知らせなどを読めばよろしいかと。
メールの差出人は簡単に偽装可能。特にFromは20年くらい前からなりすまし出来るので、メールヘッダの見方が解らないならメール経由でURLを踏まない方が安全。
最近はウェブメールが主流なのでメーラーを使わない人が増え、こういう事が出来ると知らない人が多そう。
info@bto-pc.jp宛へ bto-pc.co.jp からメール、が来たように見せかけた架空の企業ドメインで、From欄はメーラー使えば何にでも変更可能なので安易に信じないよう。
他にはドメインの仕組を知らないなら、これだけは覚えた方が良い例。悪意無き実在しているドメインなら失礼、無関係。
- rakuten.acountsupport.jp
- yodobasi.com
- ntt-xstore.jp
rakutenの部分はサブドメインというやつで、上記の場合は acountsupport.jp がルートドメインなので楽天とは無関係。それらしいドメインを取得すれば、楽天の部分はAmazonでも何にでも変更可能。
ヨドバシは「h」が抜けており、NTT-X Storeの公式アドレスはハイフンは入っておりません。URLを良く見ましょう。
5.違法では無くともP2Pのファイル共有は行わない
自宅ならまだしも会社でやるのは論外でしょう。
個人情報が漏れたり、勝手にファイルをアップロードされる被害はだいたいがこれ。ランサムウェア仕込むなら持って来いな方法かと。
被害を受けたならどうすれば良いか?
海外で金を支払うと再び要求されたという話もあるので安易に応じるわけにも行かず、先に対策をしてからどうするべきか決める事でしょうな。
金を払うか否かはどちらが正しいとも言えず、高い勉強代だったとしてデータが返ると信じるか、あきらめて捨てるか。
企業向けのランサムウェア対策ソフトが結構高価、しかも新種やオリジナルに必ず対応出来るとは思えず、被害を受けないよう上記5点は最低限意識するべき。
ちなみに「ランサム」は「身代金」の意。
>なぜそんなに簡単に引っかかってしまうのか解らない
交通ルールを学んだ事が無ければ事故に遭いやすいのと同様、セキュリティに対する知識が欠けていれば、被害に遭い易いでしょうね。初めてPCやスマホを持って予備知識なしにネットへ繋ぐ行為は、無免許で車に乗り公道へ出るようなもの。
>セキュリティソフトは昔ほど重くは無い
Windows8が登場した2012年くらいから、多くのセキュリティソフト、特にノートンとウイルスバスターは動作が軽くなった印象があります。パターンファイルをクラウド上に置いて、常に最新のパターンマッチングを行う方法を導入し始めたのも、この時期だったような。
個人的に良い印象が無いため、マカフィーの内情は知らず。
>Windowsでは標準で拡張子を表示しない設定
これがため、私はUACのレベルを最低に下げる事は基本的に推奨していません。ダブルクリックで実行ファイルが即時実行される事を防ぐ意図。UACをかいくぐって来るマルウェアに対しては、何をしても感染阻止は無理だな諦めよう、の心持ち。
>リネーム時に拡張子が変更範囲に含まれなくなった
確かXP時代は、同様の機能が便利な「お忍びリネーム」が流行りましたね。
窓の杜:お忍びリネーム
http://forest.watch.impress.co.jp/library/software/oshinobiren/
>知らないメールの添付ファイルは開かない
例え開くにしても、メールソフトから直接ではなく、一度どこかへ保存してマルウェアスキャンにかけてから、改めて開く方が安全ではあります。例え知り合いからのメールでも、意図して送られたメールかは分かりませんから、添付ファイルはその場で開かない事を推奨。
>上記の場合は acountsupport.jp がルートドメインなので楽天とは無関係
普通はサポートページなら、サブディレクトリで分けますしね。「rakuten.jp/accountsupport/」が適当。スペルを似せる行為もけっこう見かけますね。「Hewlett Packard→HewIett Packard(小文字のl→大文字のI)」なんぞ、フォントによっては見分けが付かない場合もあり。実用面だと「pc-koubou→pc-kou6ou」とか「oliospec→oliozpec」とか、遠目から見ると何となく読めそうなくらいが限界ですけれど。