最初に述べておきたいことがある。サーバ上の重要なファイルを暗号化し、身代金を要求する「Linux.Encoder.1」というランサムウェアは、LinuxというOSの脆弱性を突いているわけではない。脆弱性を抱えているのはLinux自体ではなく、その上で稼働しているEコマースプラットフォーム「Magento」なのだ。
もしもサーバ上でMagentoが稼働しており、2015年2月9日(そう、かなり前だ)以降にMagentoのパッチを適用した記憶がないのであれば、該当サーバは脆弱性を抱えていることになる。逆に言えば、Magentoを使っていない、あるいは使っていてもその日以降にパッチを適用していれば、Linux.Encoder.1とは無縁というわけだ。
Magentoに対する攻撃手法は、「Windows」を標的とする「CryptoWall」」や「TorLocker」といったランサムウェアとよく似ている。つまり、マシン上のファイルを暗号化した後で、元通りに戻したければ暗号鍵を購入しろと要求するのだ。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- AWS一強時代でも強さを発揮するマイクロソフト--そのクラウド戦略とは
- テープは死なず--ディスクより長生きするという説も
万一、Magentoを使用しており、この半年あまりで1度もMagentoのパッチを適用していないというのであれば、パッチを適用するようにしてほしい。とにかくパッチは重要だ。
サーバ内のファイルが大量に暗号化され、すべてのディレクトリに「README_FOR_DECRYPT.txt」というファイルができているのであれば、そのサーバは不幸なことにLinux.Encoder.1の餌食になっている。実際のところ、およそ2700のサーバが餌食になっているという報告もある。
しかし心配しなくてもよい。その対処は簡単だ。
もちろん身代金として1ビットコイン(現時点で約325ドル)を支払うという手も考えられる。しかし、それはまったくお勧めできない。その手はランサムウェアの作者を増長させるだけではなく、ちゃんと元通りになるわけでもないのだ。セキュリティ関係の専門家であるBrian Krebs氏のレポートによると、身代金を支払ったあるシステム管理者は、ファイルを復元できたものの「データを元通りにするための復号化スクリプトの問題から、いくつかのファイルで一部の文字が削除されていたり、ファイルにカンマや余分な空白が付加されていた」という。
要するに、どれだけ絶望のどん底に突き落とされていようと、身代金を支払うのは愚かな手だというわけだ。
次の手は、Linux.Encoder.1を最初に発見したロシアのアンチウィルスベンダーDoctor Webにファイルの復元を依頼するというものだ。ただこのサービスは、Doctor Webが販売しているプログラムのユーザーにしか提供されていない。ちなみにそのプログラムは「Dr. Web Security Space」と「Dr. Web Enterprise Security Suite」だ。
そこで筆者がお勧めするのは、自らでファイルを復元するという手だ。
詰めの甘いこのサイバー犯罪者は、基本的なミスをしでかし、AES暗号の暗号鍵を生成する実装に欠陥を作り込んでしまったのだ。セキュリティベンダーBitdefenderのレポートによると「AESの暗号鍵は被害者のコンピュータ上、すなわちローカル環境上で生成されており(中略)それは暗号論的にセキュアな鍵と初期化ベクトル(IV)を生成しているわけではなく、Linuxに標準搭載されているライブラリ「libc」内のrand()関数に対して、暗号化処理を実行する時点でのシステムの現在時刻をシード(種)として渡し、2つのデータを生成している。このためファイルのタイムスタンプを見れば、それらの情報を容易に取得できる」という。