【迷惑メール】添付ファイルで感染するランサムウェア

   2017/06/29   icon-clock-o読了時間:約21分44秒

世間でランサムウェアという言葉が浸透し始めた昨今、
皆様のパソコンとスマホはご無事でしょうか。

それにしてもなんで今更こんなにテレビがランサムウェアを取り上げてるのかが不思議です。
【迷惑メール】ジェイアール東日本情報システムからの年休申請書 の記事でも書きましたが、
2015年から感染めっちゃ増えてたじゃん…どうせなら去年から対策を言い続けておけば
今こんなに感染被害は増えなかったじゃん…という悲しみ。
あと専門家の方が専門家すぎて、パソコンのことをある程度わかっている人向けの話し方の気がするけど
多分それでは一般のパソコンユーザーさんに脅威も対策も伝わらないんじゃ…という切なさ。

ネットが普及した現在でもテレビの影響力というのは侮れないものがありますし、
パソコンにあまり詳しくない方こそがテレビで情報を得ていることも多いので、
テレビの製作側の方々にはもうちょっとだけ頑張っていただきたいなあと思ってたりします。

というわけで、今回はそのランサムウェアとは、というところから、
その感染経路と、感染してしまった後に出来ることなどをご説明したいと思います。

 
ちなみに先に結論を言えば
 icon-asterisk 変なメールを開かない
 icon-asterisk 変なフリーソフトや動画ファイルを入れない
 icon-asterisk 変なWEBサイトに行かない
 icon-asterisk Windowsのアップデートとセキュリティソフトは常に最新の状態に更新
を守っていれば基本的には大丈夫です。
 目次 

身代金型ウイルス(ランサムウェア)とは
ランサムウェアの感染経路
ランサムウェアに対する対策
  ∟感染しないためには日々の使い方が重要
  ∟メールの自動開封は止めておく
  ∟日々の最新アップデートをサボらない
  ∟セキュリティソフトの警告を無視しない
ランサムウェアに感染してしまったら
  ∟何はともあれネットから遮断する
  ∟対応その①:復元ツールを使う
  ∟対応その②:リカバリーする
  ∟対応その③:何だか良く分からない場合は業者に頼む
迷惑メールはだいたい差出人のメールアドレスを偽っている
  ∟Return-Path とは
  ∟差出人アドレスとReturn-Pathが異なる場合の例
添付ファイルは実行ファイル
過去の迷惑メール手口あれこれ


身代金型ウイルス(ランサムウェア)とは

少し前までは迷惑メールにくっついているウイルスは
ネットバンキング(Web上で銀行取引ができるもの)の遠隔操作を狙ったものが多かったのですが
2015年末からはまた違ったタイプのウイルスが増えてきました。

それがvvvウイルスxxxウイルスといった、
ファイル拡張子を変更して暗号化する迷惑なウイルスです。

このウイルスに感染すると、パソコン内のファイルの拡張子が全て
『 .vvv 』 といった英数字に勝手に変更され暗号化されるため
書類も写真も何もかもが読み込めなくなるというものです。
 ※拡張子とは:主にWindowsで動いているパソコンにおいて、
  ファイルを実行する引き金となる記号のこと。
  拡張子の例
  .xlsならExcelで開く、.docならメモ帳などのソフトでドキュメント形式で開く、
  .jpegなら画像ソフトで開く、.exeならファイルをそのまま単体で実行、といった感じで。
  icon-lightbulb-o 拡張子について詳しくは ファイル拡張子の表示と変更方法 をご覧ください。

そしてこの vvvウイルスや xxxウイルスが、
この状態を直したければお金を払え、と脅してくる、データを人質に取った
身代金型ウイルス(ランサムウェア) 』 でもあるのですが、
お金を払ったとしても当たり前に無視され、改善はされませんので
絶対にお金を払わないようにご注意ください。
むしろその支払いによってクレジットカードや銀行口座を悪用される可能性もあります。

ウイルスセキュリティソフトが対応プログラムを更新しているので、
基本的には入り込まれる前に駆除できるはずですが、
自分がセキュリティの警告を無視してファイルを開いた場合や、
セキュリティソフトの最新バージョン更新を怠っていた場合、
セキュリティソフト自体が外国産の怪しい物だった場合などは
防御ができず感染してしまいます。

ネットやメールをする場合は、必ずセキュリティソフトを入れ、
日々の更新もきちんと行ってくださいね。
   icon-lightbulb-o ご参考に⇒おすすめウイルスセキュリティソフト


ランサムウェアの感染経路

迷惑メールに添付されているファイルがウイルス感染実行ファイルで、
そのファイルを自分がクリックして開き実行して感染することが多いです。
その他はWEBサイトで【 Download 】や【 動画再生 】と書かれたボタンを、
セキュリティの警告を無視してクリックした場合などですね。
あとはごく稀にですが、リンクボタンを踏んで飛んだ先に感染の罠が仕掛けてあるとか。


ランサムウェアに対する対策

感染しないためには日々の使い方が重要

上でも結論としてお伝えしたとおり、
 icon-asterisk 変なメールを開かない
 icon-asterisk 変なフリーソフトや動画ファイルを入れない
 icon-asterisk 変なWEBサイトに行かない
というのが感染を防ぐための基本的な対策です。

とは言っても、パソコンを使い慣れていない方だと
何がどう変なのかを見分けるのは難しいかなとも思います。
こればっかりは、きちんとセキュリティソフトを入れて防御しつつ
パソコンを日々使う中で習熟していただいて、
何が安全で何が危ないのか、実感として覚えていただくしかないかもしれません。

たとえば海外旅行に行って、日本に居るのと同じ感覚で
のんびり腕を伸ばして景色の写真なんかを撮っていると
そのカメラをスリにひったくられて逃げられたりしますよね。
旅慣れている方ならカメラを自分の体からあまり遠くに離さないし、
カメラにつけたストラップを手首に巻いて盗まれないように常に注意しています。

それと同じことで、そこにどんな危険があって、どう対策をすればいいかというのは
自衛のために自ら学んだほうが良いことです。
パソコンはとても便利な機械で、ネットはとても役立つツールですが、
便利で多くのひとが使うものは、犯罪者にも狙われやすくなります。
まず怪しげなところには近づかない、
怪しいかどうか分からないならネットで検索して安全を確かめる、
周りのひとに相談してみる、といったことを心がけていただいて、
犯罪の被害に遭わないようにご注意ください。

メールの自動開封は止めておく

うっかり開封して添付ファイルやリンクURLをクリックしないように、
メールの自動開封設定(カーソルを合わせて数秒経過すると自動で開く)を止めておきましょう。
自動開封を停止させる方法はお使いのメールソフトにより異なりますので
操作方法を検索してみてください。

 icon-windows WindowsのLiveメールの自動開封を停止させる方法はこちら
 【Windows Liveメール】メールの自動開封を止める

日々の最新アップデートをサボらない

更に日頃から気をつけていただきたいのが
 icon-asterisk Windowsのアップデートとセキュリティソフトは常に最新の状態に更新
しておくということ。

WindowsやMac OS等のOSプログラム、セキュリティソフト等のアプリケーションソフトは、
・新しい部品やプログラムに対応するため修正を加える
・新たに見つかった脆弱性(ウイルスに付け込まれるかもしれないセキュリティ上の穴)を修正
・新たに生まれたウイルスへの対策を追加
といったことを日々の更新によって行っています。
なので、更新をサボったり停止したりすると欠点や弱点が改善されず、
動かないプログラムが出てきたり、ウイルスに侵入されやすくなったりします。

 icon-cog Windowsのアップデート
 icon-cog セキュリティソフトのアップデート
 icon-cog Javaのアップデート
 icon-cog Adobe Flash playerのアップデート

最低でもこれらを全て最新の状態に保って、パソコンを快適に使えるように、
安全に防御できるようにしておきましょう。
基本的には全て自動更新になっているはずなので、
パソコンをシャットダウンする時に勝手に更新が始まるか、
パソコンを起動させた時に更新してねーというメッセージが出ます。

セキュリティソフトの警告を無視しない

セキュリティソフトが頑張ってお仕事をしていたとしても、警告を無視して
自分で実行を許可してしまうと、セキュリティソフトにはどうしようもありません。

パソコンユーザー
なんか警告が出たけど、ファイル見ないとわかんないし開いてみよう
セキュリティソフト
怪しいから止めたんだけど、ご主人様がいいって言うならいいか…。発行元が不明な実行ファイルだし、ウイルス報告が上がってるし確実に悪いやつだと思うんだけど。いやでもご主人様をぶん殴って止めることもできないし、もうしょうがないよね

こんな状態です。

フリーソフトや、ネットからダウンロードしたデータなどでも
セキュリティソフトからの警告メッセージが表示された場合は
開封や実行の前に、そのファイルがちゃんとしたものかを今一度確認してください。


ランサムウェアに感染してしまったら

うっかり感染してしまった場合の対策についてご説明します。
とはいえ、感染したウイルスの種類や、感染度合いによっても対策は異なりますので、
以下の対応策は一応の参考としてご覧ください。

もうわけわかんない、どうしよう…!!という方は
とりあえずパソコンの電源を切って、すぐにメーカーサポートに電話するか、
近所のパソコン修理業者さんにパソコンを持ち込んでくださいね。

何はともあれネットから遮断する

ウイルスの中には、同じネットワーク内にあるパソコン、
つまり同じグループのネットを使っているパソコンに飛び火していくものもあります。
特に企業や学校のパソコンは同じネットワークを共有していることが多いので
自分のパソコンから同僚のパソコンにウイルスが広がらないよう、
有線LAN(物理的なケーブルでネットに繋がっている)であればケーブルを抜き、
無線LAN(無線を飛ばしてネットに繋がっている)であればLANを設定でOFFにして、
ネットから自分のパソコンを遮断してください。
スマホの場合はWi-FiをOFFにしましょう。

対応その①:復元ツールを使う

各セキュリティソフト会社が、書き換えられてしまった拡張子を
復元するためのツールを無償提供してくれています。
そちらを試してみると、自力でファイルの復元が出来るかもしれません。

トレンドマイクロ社
ランサムウェア ファイル復号ツール

この場合、ネットに接続しないと復元ツールのダウンロードが出来ないため、
誰かのパソコンを借りて、USBメモリやディスクにツールの実行ファイルを入れてもらい、
そのファイルを自分のパソコン(ネットに繋がっていない)で実行して
復元するほうが安心かと思います。

対応その②:リカバリーする

今パソコンの中に入っているデータが消えても良い場合はリカバリーも有効です。

クラウドや外付けHDDなどにデータのバックアップを取ってある、
あるいは元々そんなに重要なデータは入ってないからデータが消えても構わない、という方は、
パソコンのデータの状態を工場出荷時の状態に戻す(初期化する)手段として
リカバリーディスクを使ってリカバリーを行ってみると良いかと思います。

リカバリーの手順はパソコンのメーカーや機種によって異なるので、
お使いのパソコンのメーカーサポートに聞いてみると良いでしょう。

対応その③:何だか良く分からない場合は業者に頼む

復元ツールやリカバリーの方法も良く分からないし、一体どうしたら…という場合は
メーカーサポートやPC修理業者にご相談ください。

リカバリーで良い場合とデータをどうしても残したい場合、
出張修理に来てもらう場合と持ち込みで修理してもらう場合、
ファイルの復元が簡単な状態と難しい状態の場合、というように
ご希望の修理内容や感染の状態などによって料金は変わると思いますが、
大体1万円~3万円くらいが相場じゃないかなーと思います。

特にリカバリーディスクをお手元にお持ちであれば、
それを使ってリカバリー作業をするのであんまり高価にはなりませんし、
逆にデータが完全に壊されてしまっていて、データ復旧の専門業者さんに
依頼するような場合は結構高額なお見積りになることもあるかもしれません。

今はこのランサムウェアが流行しているので
元の状態に戻しますよ、という怪しい営業の人が来たりすることも多いのだとか。
そういった怪しい業者の人は、例え簡単な作業だったとしても高額な見積もりを出したりするので、
慌ててすぐに依頼するのではなく、数社の修理業者に状態を伝えて
概算の見積もりを取って比較して、おおよその相場を納得してから依頼してくださいね。


迷惑メールはだいたい
差出人のメールアドレスを偽っている

怪しいメールが来て、迷惑メールかどうか良く分からない場合は
まず相手のメールのアドレスを確認しましょう。

例えば今日届いた【 駐禁報告書 】という件名の迷惑メールのアドレスは
『 z-ohk109@yahoo.co.jp 』 と表記されています。
しかしこれは、そう表示されるように偽っているだけで、本当の送信元アドレスは違います

メールを右クリックして【 プロパティ 】→【 詳細 】を見てみましょう。
(大体のメールソフトで右クリックが有効だと思いますが、
 ブラウザメール等では異なる場合がありますので
 お使いのメールソフトの詳細情報確認方法を探してみてくださいね)
ファイル添付の迷惑メール
詳細ウィンドウに表示される【 Return-Path: 】の部分を見ていただくと
『 mountaineeringd72@mwb.biglobe.ne.jp 』と表示されていますね。
差出人として表示されているアドレスの 『 z-ohk109@yahoo.co.jp 』 とは異なっています。
Return-Pathアドレスの確認
郵便や宅配でも、送り主のタナカという人が、封筒や宅配伝票に
『 送り主;ヤマダ 』 と書くだけで嘘の記載をすることは割と簡単ですよね。
メールでも同じように、偽装をすることが可能なのです。

Return-Path とは

「 もしこのメールに何か不具合が起きたら、エラー情報はこのアドレスに送ってね 」
という、いざという時の連絡先のようなものです。

例えばあなたが誰かにメールを送って 『 相手のメールアドレスが見つからないエラー 』の場合、
MAILER-DAEMONというメールがあなたのメールアドレスに来たりしますよね。
それはこのReturn-Path があなたのメールアドレスになっているからです。

基本的にメールソフト上で表示されているアドレスと
Return-Pathになっているアドレスは一致するものですが、例外的に異なる場合があります。
差出人アドレスとReturn-Pathが違っているからといって
一概にスパムとは言えませんが、スパムかも、という目安にはなります。

差出人アドレスとReturn-Pathが異なる場合の例

迷惑メール(スパムメール)が身元を偽っている場合
実際に迷惑メールを送っているアドレスを差出人として表示してしまうと、
日本のドメインではないのですぐに迷惑メールとバレたり、
逆に大量のスパムを送りつけるという復讐を受けたりするかもしれないので
迷惑メール業者はできるだけ自分のアドレスを隠そうとします。
Return-Pathを偽ることは結構困難ですが、メール上の表記は割と簡単に誤魔化せるので
メール上の差出人アドレスは信用しないようにしてくださいね。

メールマガジンなど、自動に大量送信するシステムの場合
メールエラーが起きた場合に大量のエラーメールが送信者に行かないように
表立って表示されているのはメルマガ配信者のアドレス、
Return-Pathにはサーバーシステムの管理用アドレス、というように設定することがあります。

CGIプログラムでReturn-Pathの設定をしている場合
自分でCGIプログラムを作ってメールを運用している場合などは
プログラム上でReturn-Pathに自由に値を設定することができるので
差出人アドレスとReturn-Pathを全く別にすることができます。


添付ファイルは実行ファイル

自分が何らかの書類送付を要請したので無い限り、
企業メールがわざわざ添付ファイルを付けてくることはまずありません。

更にそのファイルが圧縮ファイル(拡張子が.zip)だったり、
解凍後の中身が実行ファイル(拡張子が.exe)であることは確実に有りえません。
  icon-lightbulb-o 拡張子について詳しくはこちら⇒ファイル拡張子の表示と変更方法
拡張子(.の後のファイル形式を表す英字)は変更可能なため、
ZIPファイル以外にもテキストファイル(PDFやXLSなど)に偽装して送られてくる実行ファイルもあります。
メールについているファイルを不用意に開かないよう、くれぐれもご注意ください。

いずれにしても、身に覚えの無い内容のメール、知らない相手からのメールは
とりあえず迷惑メールだと思っていただいて、
何のリアクションもしない(=開かない・返信しない・すぐ削除)のが一番です。

過去の迷惑メール手口あれこれ

ついでに迷惑メールについての過去記事も。
何か変なメールが来たなという時に思い出してください。
 【三菱東京UFJ銀行】本人認証サービス、という名の迷惑メール
 ゆうちょ銀行を装った迷惑メール
 【りそな銀行】本人認証サービス、という名の迷惑メール
 【郵便局】荷物問い合わせを装った迷惑メール
 【迷惑メール】あなたは新しい請求書●●を持っています
 【迷惑メール】ジェイアール東日本情報システムからの年休申請書
 【 迷惑メール 】Notice for “(自サイトのドメイン)” ドメイン競合のお知らせ
 【 迷惑メール 】 download-genius-scan[Scan] 2016-08-13
 【迷惑メール】取引情報更新・備品発注依頼書
 【迷惑メール】DHL発送や写真ファイル添付
 【迷惑メール】EMS(国際スピード郵便) 委託運送状

この他にも色々な文言で送られてくるので、うっかり開いてしまわないよう
【迷惑メール】パソコンとスマホへの感染&最近の迷惑メール一例 も合わせてご覧ください。

 良かったら押してみてください♥

  • このエントリーをはてなブックマークに追加
  • Pocket