エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

ア:アンチウイルスベンダー
ユ:一般ユーザ

ア:定期的にバックアップを取っておくことが重要です。
ユ:どこにそんなの保存できる余分なディスクスペースがあるんだ。。


ア:感染を防ぐためには怪しい添付ファイルは開かないようにしてください。
ユ:怪しいという自信があるなら誰も開かない。。


ア:アンチウイルスソフトをインストールして、パターンファイルを常に最新にしてください。
ユ:結局あなたも金取るの。。


ア:無料だとWindowsのプロフェッショナル以上にはソフトウェア制限ポリシーが、アルティメット以上にはAppLockerも・・・
ユ:なにそれ、おいしいの?

そこで、今回はホームユーザでも無料で3分でできるランサムウェア対策をご紹介します。

Windowsの「保護者による制限」という機能を使います。いわゆるペアレンタルコントロールです。
設定方法はマイクロソフトのサイトをご覧ください。(ページのタイトルは「子供が特定のプログラムを使用できないようにする」となっていますが、大人でもご使用いただけます。)

設定の最後で、実行を許可するプログラムを選択する必要がありますが、面倒な人は全部にチェックを入れても構いません。

application_select

この「保護者による制限」のコンセプトは単純で、事前登録していないファイルの実行をブロックする、というだけです。

では「保護者による制限」がどのようにランサムウェア感染を防いでくれるか、感染失敗の様子を見てみましょう。
ランサムウェアの感染経路は大きく分けて三つしかありません。

感染経路1:メール添付された実行ファイル
概要:開いてしまいそうなタイトル、本文、差出人のメールに実行ファイル(拡張子がexe,scrなど)が添付されている。ワードやPDFファイルのアイコンに偽装されているが、文書ファイルではない。

ransom_samples_desktop ransom_samples_detail

被害者:誤って実行ファイルをクリックした人
感染失敗の様子:
誤って実行ファイルをダブルクリックした際に実行をブロック
exec_exe

スクリプトファイルがメール添付されてくる場合も、実行時にブロック
cryptowall_block

感染経路2:ワードやエクセルのマクロ
概要:ソーシャルエンジニアリングを使い、マクロの実行を許可させ、ランサムウェア本体をダウンロードし、実行する。

macro_warning

被害者:マクロの実行を許可した人
感染失敗の様子:
マクロがランサムウェア本体をダウンロードした後、実行する際にブロック
macro_fail

感染経路3:ソフトウェアの脆弱性
概要:ソフトウェアの脆弱性を悪用し、PCの制御を乗っ取る。乗っ取った後、ランサムウェア本体をダウンロードし、実行する。
被害者:ソフトウェアのバージョンアップをしていない人
感染失敗の様子:
脆弱性攻撃に成功し、ランサムウェア本体をダウンロードした後、実行する際にブロック
JPCERT/CCからも警告が出ているCVE-2015-0313を悪用した攻撃が失敗したところ
exploit_fail

攻撃者が本気になってバイパスしようとすればいくらでもバイパスできますが、ホームユーザには十分な対策かと思います。
今度帰省した際に、実家のPCに設定しておいてあげると親孝行になるかもしれませんよ。

調査したランサムウェア:CryptoLocker, TorrentLocker(Crypt0L0cker), CTB-Locker, CryptoWall, TorLocker, TeslaCrypt, CryptoDefense