編集部からのお知らせ
新着PDF:商用5G活用を考える
テレワーク関連記事一覧はこちら

ランサムウェア「Linux.Encoder.1」にファイルを暗号化された時の対処法

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2015-11-19 06:15

 最初に述べておきたいことがある。サーバ上の重要なファイルを暗号化し、身代金を要求する「Linux.Encoder.1」というランサムウェアは、LinuxというOSの脆弱性を突いているわけではない。脆弱性を抱えているのはLinux自体ではなく、その上で稼働しているEコマースプラットフォーム「Magento」なのだ。

 もしもサーバ上でMagentoが稼働しており、2015年2月9日(そう、かなり前だ)以降にMagentoのパッチを適用した記憶がないのであれば、該当サーバは脆弱性を抱えていることになる。逆に言えば、Magentoを使っていない、あるいは使っていてもその日以降にパッチを適用していれば、Linux.Encoder.1とは無縁というわけだ。

 Magentoに対する攻撃手法は、「Windows」を標的とする「CryptoWall」」や「TorLocker」といったランサムウェアとよく似ている。つまり、マシン上のファイルを暗号化した後で、元通りに戻したければ暗号鍵を購入しろと要求するのだ。

 万一、Magentoを使用しており、この半年あまりで1度もMagentoのパッチを適用していないというのであれば、パッチを適用するようにしてほしい。とにかくパッチは重要だ。

 サーバ内のファイルが大量に暗号化され、すべてのディレクトリに「README_FOR_DECRYPT.txt」というファイルができているのであれば、そのサーバは不幸なことにLinux.Encoder.1の餌食になっている。実際のところ、およそ2700のサーバが餌食になっているという報告もある。

 しかし心配しなくてもよい。その対処は簡単だ。

 もちろん身代金として1ビットコイン(現時点で約325ドル)を支払うという手も考えられる。しかし、それはまったくお勧めできない。その手はランサムウェアの作者を増長させるだけではなく、ちゃんと元通りになるわけでもないのだ。セキュリティ関係の専門家であるBrian Krebs氏のレポートによると、身代金を支払ったあるシステム管理者は、ファイルを復元できたものの「データを元通りにするための復号化スクリプトの問題から、いくつかのファイルで一部の文字が削除されていたり、ファイルにカンマや余分な空白が付加されていた」という。

 要するに、どれだけ絶望のどん底に突き落とされていようと、身代金を支払うのは愚かな手だというわけだ。

 次の手は、Linux.Encoder.1を最初に発見したロシアのアンチウィルスベンダーDoctor Webファイルの復元を依頼するというものだ。ただこのサービスは、Doctor Webが販売しているプログラムのユーザーにしか提供されていない。ちなみにそのプログラムは「Dr. Web Security Space」と「Dr. Web Enterprise Security Suite」だ。

 そこで筆者がお勧めするのは、自らでファイルを復元するという手だ。

 詰めの甘いこのサイバー犯罪者は、基本的なミスをしでかし、AES暗号の暗号鍵を生成する実装に欠陥を作り込んでしまったのだ。セキュリティベンダーBitdefenderレポートによると「AESの暗号鍵は被害者のコンピュータ上、すなわちローカル環境上で生成されており(中略)それは暗号論的にセキュアな鍵と初期化ベクトル(IV)を生成しているわけではなく、Linuxに標準搭載されているライブラリ「libc」内のrand()関数に対して、暗号化処理を実行する時点でのシステムの現在時刻をシード(種)として渡し、2つのデータを生成している。このためファイルのタイムスタンプを見れば、それらの情報を容易に取得できる」という。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]