ランサムウェア「Linux.Encoder.1」にファイルを暗号化された時の対処法

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2015-11-19 06:15

 最初に述べておきたいことがある。サーバ上の重要なファイルを暗号化し、身代金を要求する「Linux.Encoder.1」というランサムウェアは、LinuxというOSの脆弱性を突いているわけではない。脆弱性を抱えているのはLinux自体ではなく、その上で稼働しているEコマースプラットフォーム「Magento」なのだ。

 もしもサーバ上でMagentoが稼働しており、2015年2月9日(そう、かなり前だ)以降にMagentoのパッチを適用した記憶がないのであれば、該当サーバは脆弱性を抱えていることになる。逆に言えば、Magentoを使っていない、あるいは使っていてもその日以降にパッチを適用していれば、Linux.Encoder.1とは無縁というわけだ。

 Magentoに対する攻撃手法は、「Windows」を標的とする「CryptoWall」」や「TorLocker」といったランサムウェアとよく似ている。つまり、マシン上のファイルを暗号化した後で、元通りに戻したければ暗号鍵を購入しろと要求するのだ。

 万一、Magentoを使用しており、この半年あまりで1度もMagentoのパッチを適用していないというのであれば、パッチを適用するようにしてほしい。とにかくパッチは重要だ。

 サーバ内のファイルが大量に暗号化され、すべてのディレクトリに「README_FOR_DECRYPT.txt」というファイルができているのであれば、そのサーバは不幸なことにLinux.Encoder.1の餌食になっている。実際のところ、およそ2700のサーバが餌食になっているという報告もある。

 しかし心配しなくてもよい。その対処は簡単だ。

 もちろん身代金として1ビットコイン(現時点で約325ドル)を支払うという手も考えられる。しかし、それはまったくお勧めできない。その手はランサムウェアの作者を増長させるだけではなく、ちゃんと元通りになるわけでもないのだ。セキュリティ関係の専門家であるBrian Krebs氏のレポートによると、身代金を支払ったあるシステム管理者は、ファイルを復元できたものの「データを元通りにするための復号化スクリプトの問題から、いくつかのファイルで一部の文字が削除されていたり、ファイルにカンマや余分な空白が付加されていた」という。

 要するに、どれだけ絶望のどん底に突き落とされていようと、身代金を支払うのは愚かな手だというわけだ。

 次の手は、Linux.Encoder.1を最初に発見したロシアのアンチウィルスベンダーDoctor Webファイルの復元を依頼するというものだ。ただこのサービスは、Doctor Webが販売しているプログラムのユーザーにしか提供されていない。ちなみにそのプログラムは「Dr. Web Security Space」と「Dr. Web Enterprise Security Suite」だ。

 そこで筆者がお勧めするのは、自らでファイルを復元するという手だ。

 詰めの甘いこのサイバー犯罪者は、基本的なミスをしでかし、AES暗号の暗号鍵を生成する実装に欠陥を作り込んでしまったのだ。セキュリティベンダーBitdefenderレポートによると「AESの暗号鍵は被害者のコンピュータ上、すなわちローカル環境上で生成されており(中略)それは暗号論的にセキュアな鍵と初期化ベクトル(IV)を生成しているわけではなく、Linuxに標準搭載されているライブラリ「libc」内のrand()関数に対して、暗号化処理を実行する時点でのシステムの現在時刻をシード(種)として渡し、2つのデータを生成している。このためファイルのタイムスタンプを見れば、それらの情報を容易に取得できる」という。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]