Macに感染する初のランサムウェアの登場と「その時」どうやって対処するのか?
つい先日ランサムウェア対策をテーマにしたKasperskyさん主催のセミナーへ出席してきたばかりのGAKIRAです。
ランサム=身代金という意味らしい。無理矢理暗号化して解除して欲しければ金払え!ってすげぇなお前、って感じですが確かに感染されると非常に厄介な代物です。
当方のユーザー様にもごく最近一件感染事例が発生しまして、いろいろと対策を練らないと思っていた矢先です。
ついにMac版「KeRanger」が登場と嬉しくもなんともない状況が発生。
幸いにも発見が早く、またBittrentのクライアント「Transmission」をインストールしていたユーザー限定(多分)であったためさほど被害は出ていない模様(多分)。
曰わく
KeRangerは有効なMacアプリ用開発者証明書が付与されているためAppleのゲートキーパー保護をすり抜けられたとのこと。Palo Alto NetworksがAppleに報告した後、悪用されたデジタル証明書はAppleによって失効化され、XProtectが更新処理されています。
だそうで手口も巧妙化しています。
基本ウィルスやマルウェアに対する対処は後手に回ります。新型であればそもそも定義ファイルに存在しないので侵入されやすいのしょうがない、なので基本は感染要因を減らし、万が一感染したときの対策を練っておくのが大事ということになります。
GAKIRAの拙い知識で説明するよりもこちらを見て頂くのが良いでしょう。
ランサムウェアの面倒なところはPCに接続、あるいはマウントされた別のストレージも暗号化の対象にしてしまう可能性があると云うことです。
この場合、バックアップドライブの中身まで暗号化されてしまって結局復旧できないということが考えられます。
その対策としてはオフラインのストレージへのバックアップ(要するにバックアップするときだけ接続するハードディスクを用意して)を行うことなのですが、Macの場合Timemachineという非常に便利なソリューションがあるので基本的にはそれに頼っていることが多いかと思います。(それすらしてませんは「論外!」です)
定期的に接続してバックアップって難しいんですよね・・・・だいたい忘れる。
万が一感染してしまった、あるいは感染してしまったかもしれないという場合には、
Kasperskyからは古いランサムウェアが行った暗号化を解除するツールが提供されています。(Windowsに対応した物です)
Ransomware decryptor | Kaspersky Lab
また暗号化を解除する物ではありませんが、Macのマルウェア検出アプリ「Malwarebytes Anti-Malware for Mac」が「KeRanger」にすでに対応したとのことですのでこの機会に用意しておくのも良いかもしれません。
こちらの記事は参考になります。
Mac用マルウェア検出アプリ「Malwarebytes Anti-Malware for Mac」がMac向けランサムウェア「KeRanger」の検出に対応。
でこの記事を書いている最中に以下の記事が出ました。
Linuxを標的にしたランサムの改良版(?)らしいです。元になった「Linux.Encoder」については解除キーの取得に成功しているらしいので「KeRanger」についても解析されるのは早いかもしれませんね。
それはさておき、ランサムウェアの拡散は、ウィルス対策だけでなくバックアップなどの総合的な対策の構築を試されている気がします。
先にも書いたとおり、ローカルのドライブにも感染して暗号化されてしまうため、旧来のバックアップ方法だけだとバックアップデータも含めて全滅という話にもなりかねません。
何らかの方法で複数のバックアップを用意しておく必要性を感じます。
GAKIRAの書いたバックアップ関係の過去記事はこちら
Acronis True Image Cloud - 1 Computer + 3 Devices
- 出版社/メーカー: アクロニス
- 発売日: 2015/09/11
- メディア: DVD-ROM
- この商品を含むブログを見る