スマホもランサムウェアに感染します！感染の対処方法と４つの対策

ネットの安全
2018.9.7

　我々が普段利用しているスマホやタブレットでは、ランサムウェアの攻撃にあうリスクはないのでしょうか？実は、スマホやタブレットであっても、ランサムウェアの被害にあうリスクは存在します。PCのランサムウェアと同様に、スマホを利用できないように妨害したり、データを暗号化し、元に戻すために金銭の支払いを要求してきます。ここでは、今までのスマホで発生したランサムウェアを例にあげ、今後も気を付けないといけない点を考えていきたいと思います。

1 1. パソコンだけではない、ランサムウェア感染の現状
- 1.1 1.1 スマホランサムウェアの現状
- 1.2 1.2 スマホランサムウェアの種類と特徴
2 2. スマホのランサムウェアに感染してしまった場合の対処法
3 3. スマホ、タブレットでランサムウェアに感染しないためには
4 4. まとめ

1. パソコンだけではない、ランサムウェア感染の現状

　ランサムウェアとは、端末に保存されているデータや端末自体へのアクセスを制限し、人質としてとったデータやデバイスを元の状態に戻すことと引き換えに金銭の支払いを要求するマルウェアのことです。この定義からすると、PCでもモバイルでも大きな違いはありません。実は、以前からスマホへのランサムウェアは存在しています。

1.1 スマホランサムウェアの現状

　マカフィーの2018年Q1のセキュリティ脅威レポートでは、全体の統計数としては、新種のランサムウェアは減少傾向にありますが、依然としてランサムウェア自体の総数は増加傾向にあります。新しいAndroid スクリーンロックマルウェアが81%減少したため、第1四半期の新規ランサムウェアが大幅に減少しました。一時期に比べて、被害の勢いは落ち着いてきた感はありますが、まだまだ警戒が必要です。

＜ランサムウェア全体の統計＞
＜スマホ向け (アンドロイド) ランサムウェアの統計＞

被害状況や違いなど、現状を理解してPCとは異なった対策が必要になるのかもみていきましょう。

1.2 スマホランサムウェアの種類と特徴

　これまで発見されてきたスマホランサムウェアを見てみますと、大きく3つに分類することができます。3つのタイプの中から、1つまたは複数を組み合わせた形で、ユーザーを困らせ、金銭を要求するのが一般的です。なお、これらの分類に関していえば、PCと大きな違いはありません。

A. ファイル暗号化型
　ユーザーにとって重要な文書・画像などのファイルを暗号化して身代金を要求します。このタイプのランサムウェアの場合、ユーザーはファイルを開こうとしたときに、ファイルが暗号化されているため、ファイルが開けないことで気づくことが多いです。

B. 端末ロック型
　スクリーンや端末をロックすることで、ユーザー操作を妨害したり、端末を利用できなくした上で、身代金を要求します。

C. スケアウェア型
　ユーザーの心理を巧みに利用し、例えば、違法コンテンツを閲覧したなどとして、秘密を知り合いに暴露するとユーザーを脅したり、警察や法的機関を名乗り、恐喝的に金銭を要求するタイプのランサムウェアです。

　今までの統計情報をみると、スマホのランサムウェアはPCと被害傾向が大きく異なっています。スマホのランサムウェアの被害傾向は、暗号型ではなくデバイスの管理者権限を要求するものが主流です。

※出所：マカフィー調べ

　上記の左側のグラフ、ファイル暗号化型ランサムウェアの円グラフでは、全体の10％しかありません。最近のPCに対するランサムウェアと比較してみると正反対のデータとなります。これは、スマホの端末ではオンラインバックアップといったクラウドサービスが充実しており、ユーザーが意識することなく、定期的にファイルのバックアップが行われているため、ファイルを暗号化して人質に取ったとしても、バックアップから容易に復元できることがその要因であると考えています。そのため、スマホでは、端末ロック型やスケアウェア型のランサムウェアが多くを占めているのです。

　右側の、デバイス管理者権限の要求の円グラフでは、全体の75％がデバイス管理者権限を要求しています。デバイス管理者権限を要求する主な目的としては、ウイルス対策ソフトウェアの妨害や手動でのアンインストールを妨害する目的に加えて、端末のPINコードやパスワードを変更する目的があります。
　ただ、ユーザーも学習してきているため、例えば、ランサムウェアがゲームアプリとして配布されていた場合に、デバイス管理者権限が要求されることで、ユーザーは怪しいアプリであると気づいてしまうでしょう。
　ユーザーに怪しまれないようにするため、システムアップデートや動画プレーヤーのコーデック、偽のウイルス対策アプリなど称して、デバイス管理者権限を要求する傾向があります。また、クリックジャッキングと呼ばれる攻撃もあります。これはブラウザを悪用した攻撃で、通常のWebページの上にボタンやリンクなどを透明で見えない状態にするなどの手段を駆使して、ユーザーに気づかれずにデバイス管理者権限を有効にするように仕向けるものも出てきています。

2. スマホのランサムウェアに感染してしまった場合の対処法

　感染してしまった後の対処法は、タイプによって異なります。

2.1 ファイル暗号化型

　通常のアプリ同様に削除することが可能です。基本的には暗号化されたファイルの復元は難しいため、スマホ自体を初期化後に、オンラインバックアップなどから復元を行うことをお勧めします。

・バックアップからの復元方法
　利用されているスマホのタイプ、バックアップ方法によって復元方法は異なります。スマホの初期化や復元方法は、様々なサイトで詳しく説明しており、分かりやすそうなものをあげてみましたので、参考にしてみてください。

・iPhone の初期化・復元方法
　iPhoneには、2種類のバックアップ方法（PC（パソコン）を利用した「iTunesバックアップ」と「iCloudバックアップ」）が用意されています。
　不調やパスワード忘れなどでiPhoneを初期化したい時や、iOSのアップデート時、また機種変更（下取り含む）するといった場合に、データをバックアップして安全に復元できます。

・Android の初期化・復元方法
　Androidを初期化すると、本体内のデータが削除されます。アカウント、アプリ、アプリのデータと設定、音楽・写真・画像・その他のデータ。これらを初期化前に、バックアップしておくことをおすすめしています。
バックアップには、オンラインストーレージかSDカードを使う方法があります。
-初期化前の注意事項、バックアップ方法、初期化方法の手順情報
–Android スマホのバックアップと復元方法

2.2 端末ロック型

・全画面表示を執拗に出すことでユーザー操作を妨害するケース
セーフモードで端末を起動し、ランサムウェアが動作していない状態でマルウェアを削除します。

＜セーフモードの起動のしかた＞
　-Android セーフモード起動のしかた
　 -iPhone セーフモード起動のしかた

　場合によっては、管理者権限が有効化されている場合があります。この場合は、端末をセーフモードで起動していたとしても、削除できずに、さらにユーザー操作を妨害する場合があります。事前に端末管理アプリ一覧から当該機能の無効化をする必要があります。Android端末のケースが多いようです。端末管理アプリから管理者権限を無効にする方法は、こちらを参考にしてみてください。

・デバイス管理者権限を利用し画面ロックのパスワードが変更されてしまったケース
この場合はセーフモードで起動しても画面ロックは有効ですので、PINコードやパスワード等を探しあてるか、端末を初期化する必要があります。
　FBI等のニュースでも上がっているように、PINコードやパスワード等を探し当てる方法は、あまり現実的ではなさそうです。最終的には、端末を初期化することが現実的な解決方法になります。
　別の解決方法として、デバイス管理者権限を持つ遠隔サポートアプリ（たとえば、Androidデバイスマネージャーなど）などが、すでにインストールされている端末であれば、リモート操作で画面ロックのパスワードを初期化する方法があります。事前にリモート操作のためのアプリが入っている必要があるため、現実的な解決策としてはレアケースかもしれません。

2.3 スケアウェア型

　通常のアプリ同様に削除することができます。

3. スマホ、タブレットでランサムウェアに感染しないためには

　もしも被害にあっても、慌てないように事前に備えておきましょう。

3.1 OSは最新版に、バックアップもとりましょう

　基本的な対策として、OSを最新版にしておくことは、セキュリティ上重要です。OSアップデートの通知があった場合などは早めに対応をしましょう。
　また、バックアップの設定、こまめにバックアップできている状態にしていることも重要です。最悪の場合でも、端末を初期化して、バックアップからの復元することで、ほとんどのケースは対応できるためです。

3.2 不正アプリを使用しない

　基本的に、非公式なアプリストアからアプリをインストールしないことが重要です。

3.3 詐欺メールや怪しいリンクに注意

　メールやソーシャルメディア経由のフィッシング詐欺に気をつけましょう。リンクをクリックさせたり、ファイルをダウンロードさせたりして感染を狙います。怪しいメールやリンクには注意しましょう。

3.4 セキュリティ対策ソフトをインストール

　前述のスマホ向けランサムウェア、すべてのタイプに対しても言えることとして、自力で削除する場合には、削除対象のアプリの名前がわかっている必要があります。マルウェアによっては System Update などの正規システムアプリと区別がつかないような名称でインストールさせる場合があり、ユーザーはどれを削除してよいのかわからなくなってしまうので、そこは注意が必要です。セキュリティ対策ソフトは、これらを自動的に識別・検知するため自力で削除する手間を大幅に削減することができます。