2017 年 5 月に NHS のコンピューターを機能不全に陥れたランサムウェア WannaCry や、2017 年 6 月末に発生した Petya ランサムウェア攻撃について聞いたことがあるかもしれません。PC ユーザーだけに危険を及ぼしたこれらの注目度の高い事件からしばらく経ちましたが、Mac ユーザーとして、このような脅威から身を守るために何かすべきか、ランサムウェアに感染してしまった場合の修復方法について疑問に思われるかもしれません。
Mac でランサムウェアを検出、回避、削除するために知っておくべきすべてのことを説明します。
ランサムウェアとは何ですか?
Macにおけるランサムウェアの事例を見ていく前に、ランサムウェアとは一体何なのかを説明しましょう。ランサムウェアとは、ユーザーの意図に反してファイルを暗号化し、ファイルを復号化するために身代金を要求するマルウェア攻撃の一種です。
上で述べたように、ランサムウェアは Windows ユーザーにとって懸念事項であり、そのプラットフォームでは WannaCry や Petya がよく知られた例ですが、Mac を使用している場合でも心配する必要があるのでしょうか?
そうですね、Mac で Windows を使用する場合は、PC で Windows を使用する場合と同じように注意する必要がありますが、macOS を使用する場合、Apple はユーザーを保護するためのさまざまな安全対策を組み込んでいますよね?
残念ながら、Mac もランサムウェア攻撃の被害に遭っていますが、読み進めるとわかるように、これは非常にまれです。
これは、Macのセキュリティに関するMacworldの詳細な記事の一つです。アンチウイルスソフトの購入に関するアドバイスをお探しの方は、「Mac向けベストアンチウイルス」と「Macはウイルスに感染するのか?」のまとめ記事をご覧ください。一般的なアドバイスは、Macのセキュリティに関するヒントをご覧ください。ウイルスに感染したと思われる方は、「Macウイルスの駆除方法」をご覧ください。Macウイルスの完全なリストもこちらに掲載しています。
Macはランサムウェアに感染する可能性はありますか?Macがランサムウェアに感染した事例はありますか?
答えは「はい」ですが、非常に稀なケースです。これまでにセキュリティ研究者によってMacを狙ったランサムウェアの例がいくつか特定されていますが、深刻な感染拡大に至った例はなく、影響を受けたMacはごくわずかです。しかしながら、このリストは、将来のランサムウェアの感染拡大がどのように起こり、どのように動作するのかを知る上で興味深い情報源となります。
ThiefQuest / EvilQuest(2020年6月/7月)
マルウェアバイトは、ロシアのトレントフォーラム「Rutracker」上で、Little Snitchやその他のMacプログラムの海賊版に悪意のあるコードが拡散していると指摘した。
このプログラムは、「com.apple.questd」や「CrashReporter」といった名前を隠し、システム内の複数の場所に自身をインストールしようとします。コンピュータにインストールされると、ファイルの暗号化を開始し、その後、ファイルの復号と引き換えに50ドルのビットコインを要求する脅迫メッセージが表示されます。詳しくはこちらをご覧ください:MacランサムウェアがMacを暗号化する恐れがあります。
このマルウェアのランサムウェア要素はその目的の一部に過ぎないと考えられています。マルウェアは、ファイルが暗号化される前に、特定のファイルタイプを検索して中央サーバーに送信するようです。
FileCoder / Filezip / Patcher (2017年2月)
セキュリティ研究者は、海賊版サイトからダウンロード可能な「パッチャー」アプリを装ったFilezipランサムウェアを発見・特定しました。パッチャーアプリは、Adobe PhotoshopやMicrosoft Officeなどの一般的な商用ソフトウェアを違法に改変し、購入やライセンスコードなしで使用できるように設計されています。
ユーザーがパッチアプリを使用しようとすると、Filezipはユーザーのファイルを暗号化し、各フォルダに「README!.txt」、「DECRYPT.txt」、または「HOW_TO_DECRYPT.txt」というファイルを作成し、身代金要求額(0.25ビットコイン、2017年5月執筆時点で約335ポンド)を記載します。注目すべきは、多くのWindowsベースのランサムウェアと同様に、Filezipは実際にファイルを復号することができないため、身代金を支払っても意味がないということです。
KeRanger(2016年3月)
セキュリティ研究者は、Transmission BitTorrentクライアントの正規アップデート内にKeRangerランサムウェアを発見・特定しました。これはMacを標的としたランサムウェアの実例としては初となるもので、今回のランサムウェア作成者は明らかに真の脅威を作り出すことに尽力しています。
KeRangerは認証されたセキュリティ証明書で署名されているため、例えばmacOSのGatekeeperセキュリティシステムによってブロックされることはありません。KeRangerはファイルを暗号化し、ディレクトリ内にREADME_FOR_DECRYPT.txtファイルを残します。このファイルには身代金要求(1ビットコイン、2017年5月執筆時点で約1,338.62ポンド)が記載されています。
しかし、研究者とAppleの迅速な対応により、KeRangerは深刻な脅威となる前に阻止されました。Appleと研究者がこれほど迅速に行動していなかったら、事態は全く違ったものになっていたかもしれません。
ゴーファー(2015年9月)とマブイア(2015年11月)
2人のセキュリティ研究者がそれぞれ独立して、Macを標的としたランサムウェア「Gopher」と「Mabouia」を作成しました。これらはいずれも概念実証に過ぎず、Mac上で本格的なランサムウェアが実際に存在する可能性を示すことを目的としています。
セキュリティ研究者が学習できるようにコピーが共有される以外、どちらも研究者のコンピューターから外に出ることはなく、拡散することはありません。
FileCoder(2014年6月)
セキュリティ研究者は、Virus Total ウイルス スキャン Web サイトを通じて FileCoder を発見し特定しましたが、その時点では FileCoder はすでに古く、2 年前に同サイトのマルウェア スキャナーによって初めて検出されていました。
FileCoderはOS X/macOSを標的としていますが、実際にはユーザーのデータを暗号化しないため、未完成であり脅威ではありません。アプリウィンドウが表示され、30ユーロの身代金を要求されます(PayPalやWestern Unionではなくクレジットカードを使用すると、身代金は20ユーロに割引されます)。
FileCoder がどこで発生したか、またどのように拡散しようとしていたかは不明です。
FBI詐欺(2013年7月)
10年以上にわたり、ウェブサイトベースのランサムウェアは、ウェブブラウザを法執行機関のウェブサイトと偽って「ロック」することで、騙されやすいWindowsユーザーから金銭を脅し取ろうとしてきました。しかし、これは常に単なる見せかけであり、簡単に突破される可能性があります。
しかし、2013年7月、セキュリティ研究者はMacのSafariブラウザを狙った同様の詐欺を発見しました。ユーザーは偽の「FBI」ウェブページに閉じ込められ、ダイアログボックスが表示されてサイトから移動できなくなり、システムのロックを解除するために300ドルの「罰金」を要求されました。
ブラウザを終了できなくなりました。ユーザーがSafariを強制終了した場合、次回Safariを起動した際にランサムウェアのページが再読み込みされるだけでした。
Appleはその後、MacとiPhone/iPadの両方でSafariを修正し、このようなブラウザベースのランサムウェアが動作しにくくしました。しかし、悪質性が低いランサムウェアに遭遇する可能性はまだあります。
Mac は WannaCry に感染しますか?
端的に言えば、いいえ。WannaCryは、Microsoft Windowsのネットワークファイル共有システム(SMB)のバグを悪用します。WannaCryがネットワーク上の1台のコンピューターに侵入すると(通常は不正なメールの添付ファイルを開いたことが原因です)、SMBのバグを利用して、パッチが適用されていないネットワーク上の他のすべてのコンピューターに自身を感染させます。
Macもデフォルトのネットワークファイル共有技術としてSMBを使用しているため、Macも影響を受けるのではないかと最初は思うかもしれません。しかし、Appleは独自のSMB実装を使用しています。これはMicrosoft版と完全に互換性がありながら、同じバグやセキュリティホールはないため、WannaCryの影響を受けません。少なくとも、現在のWannaCryの感染形態では影響はありません。
iPhone、iPad、Apple TV、さらにはApple WatchもSMBファイル共有を使用していないため、理論上はWannaCryの危険にさらされることはありません。
Mac は Petya に感染しますか?
Petya は、2017 年 6 月末にヨーロッパと米国のコンピューターを襲った、WannaCry に似た別のランサムウェア攻撃です。
Petya はいくつかの大企業を襲い、英国の NHS に影響を与えた以前の WannaCry ランサムウェア攻撃と同様に、同じネットワーク上の Windows コンピューターに急速に広がりました。
マイクロソフトがパッチをリリースした Windows の脆弱性により、コンピューターが感染しました。
ほとんどのウイルス対策会社は、Petya から保護するためにソフトウェアを更新しました。
Petyaランサムウェアは、コンピュータへのアクセスを回復するために、身代金として300ドル相当のビットコインの支払いを要求します。しかし、身代金要求メッセージには被害者全員に同じビットコインアドレスが記載されており、連絡先としてメールアドレスが1つしか記載されていないことから、犯人は素人であると考えられます。もちろん、そのメールアドレスは既に閉鎖されています。
この攻撃は金儲けの手段というよりは、ウクライナ政府を標的にしたものだった可能性がある。
ランサムウェアからMacを守る方法
本稿執筆時点では、Mac (または Apple ハードウェア) で深刻なランサムウェアの発生は確認されていないものの、セキュリティ研究者はそれが実際に起こり得ると見ている。
有名なWannaCryランサムウェア攻撃を受けてCNBCの「Squawk Box」番組に出演したSecurityScorecardのCEO、アレクサンドル・ヤンポルスキー氏は、たとえその特定の攻撃がWindowsシステムにのみ影響を与えたとしても、AppleユーザーはWannaCryタイプの攻撃に対して脆弱であると主張した。
「今回の攻撃はWindowsコンピュータを標的にしている」と彼は述べた。「しかし、Appleは同様の攻撃に対して完全に脆弱だ」
仮にあなたが感染したと仮定しましょう。どうすればいいでしょうか?
ステップ1:パニックにならない
時間をかけて、衝動的な反応を避けてください。
ステップ2:クリーンアップ
無料の Bitdefender Virus Scanner などのマルウェア スキャナーを使用して、ランサムウェアを検索し、削除します。
ランサムウェアの影響を受けるのはあなただけではないはずです。Macworldなどのサイトをチェックして、ランサムウェア感染の性質について詳しく学んでください。ウイルススキャナで駆除できない場合でも、感染を駆除する具体的な手順が見つかる可能性は高いでしょう。
セキュリティ研究者が、ファイルを無料で復号化する方法を発見した可能性があります。これは、Mac で確認されたいくつかのランサムウェア感染の最新の例で起こったことです。
ステップ3:支払わない
後ほど、Mac に影響を及ぼす既存のランサムウェアの発生をいくつか調べるとわかるように、お金を払っても実際にファイルを回復できる可能性は低いのです。
ステップ4: ストレージのプラグを抜いて切断する
これまで Mac 上で確認された効果的なランサムウェアの 1 つである KeRanger も、Time Machine バックアップを暗号化して、ユーザーがバックアップからファイルを簡単に復元できないようにしようとしました。
したがって、Mac がランサムウェアに感染していることに気付いた場合は、外付けハードディスクなどのリムーバブルストレージをすぐに取り外し、Finder のサイドバーのエントリの横にある取り出しアイコンをクリックしてネットワーク共有から切断することで、バックアップも暗号化される可能性を最小限に抑える必要があります。
ステップ5:RansomWhere?アプリをインストールする
RansomWhere? アプリのインストールを検討してください。この無料アプリはバックグラウンドで動作し、ランサムウェア攻撃中に発生するような、ファイルの急激な暗号化に類似したアクティビティを監視します。攻撃が検知されると、プロセスを停止し、状況を通知します。確かに、一部のファイルは暗号化される可能性がありますが、それほど多くはないでしょう。
ステップ6: 基本的なフィッシング対策ルールに従う
多くのランサムウェアやマルウェアと同様に、WannaCryは当初、フィッシング攻撃によってコンピュータネットワークに感染しました。たとえ知人から送られてきたように見えても、またどれほど重要で、興味深く、あるいは悪意のある内容であっても、予期せぬメールの添付ファイルは絶対に開かないでください。
9月7日: 怪しいソフトウェアは使わない
最近のMacランサムウェアは、商用ソフトウェアを無料で使用できるように設計された「クラック版」アプリやパッチアプリを介して拡散しようとします。したがって、このような怪しいソフトウェアは絶対に避けてください。
ステップ8: システムとアプリが常に最新の状態であることを確認する
Macでは、Finderのアプリケーションリストにあるシステム環境設定アプリを開き、App Storeアイコンを選択することで自動アップデートを設定できます。「アップデートを自動的に確認」にチェックを入れ、そのすぐ下のすべてのボックスにチェックを入れます。
ステップ9: 公式ウェブサイトからのみインストールする
例えば、ブラウザのプラグインが古くなっているというポップアップが突然表示された場合は、必ずそのプラグインの公式ウェブページ(Flashプラグインの場合はAdobeのウェブサイトなど)からアップデートするようにしてください。ポップアップウィンドウに表示されるリンクは絶対に信用しないでください。ハッカーは、ランサムウェアなどのマルウェアを拡散させるために、このようなポップアップや偽のウェブサイトを頻繁に利用します。
ステップ10: 頻繁にバックアップし、切断する
ファイルのバックアップがあれば、ランサムウェアに感染しても簡単に復元できるため、それほど問題にはなりません。しかし、KeRangerランサムウェアの流行はTime Machineバックアップも暗号化しようとしたため、Carbon Copy Clonerなどのサードパーティ製アプリを使ってファイルをバックアップすることをお勧めします。詳しくはこちら:Macのバックアップ方法
Macをバックアップするだけでは十分ではありません。より安全を確保するには、Macのバックアップが完了したらバックアップドライブを取り外してください。そうすることで、攻撃によってドライブが暗号化されるのを防ぐことができます。
iPhone または iPad をランサムウェアから保護するにはどうすればよいですか?
iPhoneやiPadなどのiOSデバイスは、Macよりもはるかに安全に使用できるよう根本から設計されているため、何らかのマルウェア感染による真のランサムウェアの実行は極めて困難です。少なくともジェイルブレイクされていないiOSデバイスでは、今のところそのような事例は見当たりません。
しかし、iPhone、iPad、そしてMacでさえ、iCloudハイジャックの標的となる可能性があります。これは、ハッカーが多数の大規模なセキュリティ侵害で発見されたパスワードを再利用し、ユーザーのiCloudアカウントにログインして乗っ取る一種の身代金攻撃です。その後、ハッカーはパスワードを変更し、「iPhoneを探す」サービスを使用してiOSデバイスまたはMacをリモートロックし、制御を取り戻すための身代金をユーザーに要求します。
多くの場合、これに加えてデバイスやMacをリモートワイプすると脅迫します。この種の攻撃の最初の例は、2014年に発生したOleg Pliss攻撃です。
iCloud ハイジャックは 2 要素認証を設定することで簡単に阻止できます。今すぐ設定してください。
しかし、実際にランサムウェアに感染する可能性の有無に関わらず、潜在的な脅威から可能な限り保護するために、iPhoneまたはiPadを常に最新の状態に保つことは非常に重要です(iPhoneまたはiPadでiOSをアップデートする方法をご覧ください)。新しいiOSアップデートが利用可能になると、設定アプリの横に通知が表示されます。設定アプリを開き、「一般」>「ソフトウェア・アップデート」をタップすることでアップデートできます。(iOSでは自動システムアップデートを設定することはできませんのでご注意ください。)
iOS デバイス向けのウイルス対策スキャン機能を提供すると主張するアプリは、すべての iOS アプリがサンドボックス化されているため、システムや他のアプリをマルウェアスキャンできないため、せいぜい疑わしいものになる可能性があります。
ウイルス対策アプリを常に実行する必要がありますか?
驚かれるかもしれませんが、Apple のおかげで、Mac にはすでにマルウェア対策機能が組み込まれています。
XProtectはバックグラウンドで目に見えない形で実行され、標準的なファイル隔離プロセスの一環として、ダウンロードしたすべてのファイルをスキャンします。XProtectはAppleによって定期的に更新され、新しいマルウェア定義が追加されます。更新頻度は以下の手順で確認できます。
- 「Apple」>「この Mac について」をクリックし、「システムレポート」ボタンをクリックして、システム情報アプリを開きます。
- 左側のリストで「ソフトウェア」の見出しを選択し、その下の「インストール」の見出しを選択します。
- 「インストール日」列見出しをクリックして、リストを最新順に並べ替え、「XProtectPlistConfigData」と表示されているエントリを探します。
XProtectのおかげで、AppleはKeRanger(おそらくこれまでで最も深刻なMacベースのランサムウェアの脅威)を、蔓延する前に撃退することができました。さらに、最新のMacランサムウェアであるFilezipもXProtectに追加されました。
ファイルの隔離や Gatekeeper などの他の内蔵安全対策 (どちらも、ユーザーが安易にアプリを実行したり、見知らぬ Web サイトからダウンロードしたドキュメントを開いたりするのを阻止します) と組み合わせると、Mac は想像以上にランサムウェアに対して強力に保護されます。
ただし、Bitdefender Virus Scannerのようなオンデマンドウイルススキャナーを時々実行しても、メールの添付ファイルなどにWindowsウイルスの誤検知が多く含まれる可能性はありますが、全く問題ありません。WindowsウイルスはMacユーザーにとって無害です。Macに最適なウイルス対策ソフトウェアについては、こちらをご覧ください。
