被害拡大中の“身代金ウイルス”ランサムウェア、ダークウェブまで追いかけてみた
3月下旬、ネット上に大規模なランサムウェア(身代金要求型不正プログラム)がばらまかれた。もちろん、筆者は怪しいファイルには触れないし、そもそもセキュリティソフトをきちんと運用しているので気にも留めなかった。しかし、ニュースで被害に遭っている人が増えていることを知ってびっくり。一種のランサムウェア(記事参照)で、ダークウェブに誘導しているというので、試してみることにした。
問題となっているウイルスは、ZIPやRARで圧縮され「Documents」のような件名のメールに添付されている。その添付ファイルを解凍し、中に入っているJavaScriptのファイルを実行すると感染するのだ。
しかし、感染してもいい環境を用意したのだが、感染させるのに一苦労した。Windows 10のWindows Defenderは見つけ次第駆除してしまうし、Gmailもウイルス検知機能で排除してしまう。Dropboxでもやりとりできないので、USBメモリーで運ぶことにした。実験台のPCはセキュリティ機能を根元から全部切って準備することに。普通に機能をオフにしている程度だと、ウイルスをはじいてしまうのだ。
なんとかファイルを移動させて、jsファイルをダブルクリックすると、PC内のすべての画像ファイルが暗号化され、壁紙が変更された。そこには、日本語で「重要な情報!!!!」として、ファイルを暗号化したので、ダークウェブにアクセスし、復号化するように指示されていた。言い回しに特におかしなところはない。ご丁寧に、Torブラウザの入手先まで書いてある。
指定されたURLを手打ちしてアクセスしたところ、「Unable to connect」となり、接続できなかった。もう目標金額を入手したのか、騒ぎが大きくなって逃走したのかは不明だ。
暗号化された画像ファイルを元に戻す方法は、今のところない。安全性を考えれば、このまま全部リセットしたほうがいい。
今回のテストを行うにあたって、なぜウイルスに感染するのか、やっぱり理解に苦しむ。OS標準のセキュリティ機能があるだけで、さまざまなアクセスが遮断され、実行できないはず。この連載では繰り返しになるが、これらの被害に遭わないための最低限の心得として、「1 Windowsは最新状態に保つ」「2 Windows Defenderを有効にしておく」だけは守るようにしよう。
(文=柳谷智宣)