定義
CryptoLockerとはランサムウェアの一種であり、ファイルのコンテンツを暗号化することで感染したコンピューターへのアクセスを制限します。感染すると、被害者はファイルを復号化して回復するために「身代金」を支払うよう要求されます。
主な感染手段は、悪意のある添付ファイル付きのフィッシングメールです。このようなメールは、正規の企業の外観を装う、または偽のFedExやUPSの追跡通知を再現するように作られています。[1]
攻撃者はCryptoLockerの添付ファイルであることを隠し、疑いを持たないユーザーにメールの添付ファイルをクリックさせて攻撃を起動させました。その後、被害者はファイルを復号化するために身代金を支払わなければならなくなりました。CryptoLockerは、2013年9月初旬から 2014年5月下旬にかけて広まりました。[2]
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
CryptoLockerの歴史
ランサムウェア「CryptoLocker」は2013年9月5日に発生し、2014年5月下旬まで続きました。トロイの木馬ウイルス (無害なものに見せかけた悪意のあるコード) として分類され、標的となったのは複数のバージョンのWindowsオペレーティングシステムで動作するコンピューターでした。この攻撃は、正規の企業を装った偽の電子メールや、FedExやUPSの偽の追跡通知を通じて、標的のコンピュータにアクセスしました。
CryptoLockerは、共有ネットワークドライブ、USBドライブ、外付けハードドライブ、ネットワークファイル共有、さらに一部のクラウドストレージドライブ内にあるファイルを見つけて暗号化するため、マシンが感染すると、その除去は困難な作業となります。2013年11月初旬までに、マルウェア「CryptoLocker」は、英語圏を中心に約34,000台のマシンに感染しました。[3]
これに対する無料の暗号化ツールが2014年にリリースされましたが、被害は2,700万ドルを超えていたと報告されています。[4]
CryptoLocker対策
US-CERTは、重要なファイルを定期的にバックアップし、バックアップデータをオフラインで保存することでCryptoLockerを阻止するよう推奨しています。また、ユーザーはウイルス対策ソフトウェアを常に最新の状態に保ち、オペレーティングシステムやソフトウェアを最新のパッチに更新しておく必要があります。
さらに、メールに含まれる未承諾のウェブリンクをたどらないようにし、メールの添付ファイルを開く際には注意が必要です。また、Webを閲覧するときは常に安全な行動を心がけましょう。[5]
CryptoLocker感染時の対処方法
ユーザーがランサムウェアの要求やウイルスを検知した場合は、直ちにネットワークから切断する必要があります。可能であれば、使用していたコンピューターをIT部門に持って行くことが推奨されます。再起動はITセキュリティチーム以外は行わないようにします。
対応において重要なのは、身代金を支払うかどうかです。この判断は、攻撃の種類、攻撃を受けたネットワーク上のユーザー、攻撃を受けたアカウント所有者のネットワーク権限のレベルに基づいて行う必要があります。[6]
ランサムウェアCryptolockerの攻撃は犯罪であり、組織が被害に遭った場合は法執行機関に連絡する必要があります。フォレンジック技術者は、システムが他の方法で侵害されていないことを確認し、今後の保護のために情報を収集し、攻撃者を発見しようと努めます。
セキュリティ研究者が、ファイルのロックを解除する復号化ツールを無料で提供することもありますが、常に利用できるとは限らず、すべてのランサムウェアの攻撃に対応できるわけではありません。
組織がベストプラクティスに従ってシステムバックアップを取っていれば、システムを迅速に復旧させ、通常業務を再開することができます。[4]
[1] 米コンピューター緊急事態対策チーム (US-CERT)、『CryptoLocker Ransomware Infections (CryptoLocker ランサムウェア感染)』。
[2] Dan Goodin (Ars Technica)、『You’re infected—if you want to see your data again, pay us $300 in Bitcoins (感染させた。データを返してほしければビットコインで 300 ドル払え)』、2013 年 10 月。
[3] Ryan Naraine (SecurityWeek)、『CryptoLocker Infections on the Rise (増加する CryptoLocker 感染)』。
[4] Proofpoint 『ランサムウェアとは?仕組みと対策』。
[5] US-CERT、『CryptoLocker Ransomware Infections (CryptoLocker ランサムウェア感染)』。
[6] Proofpoint プルーフポイント、『ランサムウェア サバイバルガイド』。