マルウェア対策
― ウイルスやワーム、ランサムウェア等への対応 ―
近年、インターネット電子メールシステムは悪漢たちに蹂躙されつつあるように見えます。実行してしまうと会社や組織の命運に影響しかねない悪質なプログラムが電子メール添付ファイルとして世界中を飛び交い、それにより実際に多くの組織や個人が甚大な被害をこうむっています。送信元を調べると世界規模のボットネットと見られることが多く、悪漢の特定は困難です。利のためにはどんなことでもするという者たちの仕業でしょう。

XMailCFG の作者のメールアドレスにも毎日多くのそれらの電子メールが届きます。悪漢たちの認識と技術は日々向上しているため、悪質プラグラムの添付かどうかの判断にこれまでにない注意力を要求されるようになりました。たとえば、宅配便の配送連絡を装うもの、請求書や見積書の送付に見せかけるもの、社内管理者からの連絡文書に見せかけるもの、依頼データを送付するように見せかけるもの、単なる画像ファイルの送付に見せかけるものなど、うっかりだまされかねません。以前はたいてい英語のメッセージでしたが今では人手で書かれたような日本語となって文脈さえ考慮されています。

Windows OS のデフォルトでは一部のファイルの拡張子を非表示にする仕様になっているため、添付されているものが実際は危険な実行ファイルやスクリプトファイル等であっても、一見すると画像ファイルや PDF ファイル、Office ドキュメントのように見えてしまうことも被害を大きくする一因になっている可能性があります。マイクロソフト社には考え直してもらいたいものです。

さて、ウイルスやワーム、ランサムウェア等への対抗はメールサーバが持つ機能だけで完了できるものでないことは当然ですが、XMail や XMailCFG の機能を活用すれば、あなたはそれらへの防御のための一つの有効な関門を構築することができます。

このメモは、困難な状況で XMail を運用するあなたのために役立つことを願って書かれました。内容は不十分ですが、悪漢たちに屈服しないためのヒントになれば幸いです。


ウイルス・ワームへの対抗策

■XMailによる対抗策

XMail には不正プログラム送付への直接の対抗を目的とした機能はありませんが、もし不正プログラムの送信元 IP アドレスが特定できるようであれば XMailCFG の [セキュリティ]-[不正アクセスホストの管理] ページにそれを登録することで XMail がそこからの接続をブロックすることができます。しかし、送信元が固定されたままであることは今ではほとんどないので、この方法には不正プログラム対抗策としては実効性があまりありません。

XMail には XMailCFG の [アンチ・スパム]-[スパムアドレスの管理] から管理できる機能もあり、送信者アドレス(MAIL FROM)を指定して送信元に対抗する手段も用意されていますが、近年の悪漢はもはやそれを固定することはなく、やはり実効性がありません。

■XMailCFG による対抗策

XMailCFG には [セキュリティ]-[ウイルススキャン] というメニューがありますが、長くメンテナンスを行っていないため、現在ではスキャンエンジンとして "ClamWin"、"eset 製品"、"FPROT Antivirus for Windows" などが使えるかどうかというところです。メンテナンスを行っていない理由は、各製品のアップデートを追跡することが困難だからです。しかし、可能性のある製品をセットアップしてみてください。うまく動作するようであれば、不正プログラムが XMail ローカルユーザに届くことを効率的に阻止できます。

[セキュリティ]-[添付ファイル一括削除] は不正プログラム対策として有効です。添付ファイルを一括して、あるいは選択的に削除することができます。問題のない添付ファイルを削除してしまってもそれを回復する手段も用意されています。この機能ではメッセージ本文はあて先に届きます。

[セキュリティ]-[添付ファイルによる受信拒否] は添付ファイルつきメッセージが XMail に到着したとき、それがあて先まで届かないようにするための機能です。特定の拡張子を持つ添付ファイルの場合だけ動作させることができます。拒否したメッセージは隔離することができ、XMailCFG から正常メールとして再処理することもできます。少々乱暴な機能ですが、暴風が吹く現状には有効な面もあります。


ランサムウェアへの対抗策

■ランサムウェアが行うこと

ランサムウェアは、それを実行した人の ローカル PC とそこからアクセス可能なネットワークの共有デバイス上にある画像ファイルや PDF ファイル、Office ドキュメントなどを暗号化し、復号化(元のデータに戻すこと)のためにはビットコイン等を支払う必要があるなどと脅迫する不正プログラムです。2015 年ころから増え始め、2016年には世界的な流行となりました。悪漢たちの事業は今のところ成功しているので当分は収まることはないものと思います。 ランサムウェアの感染に気づいたときはすでに手遅れで、もうその PC では仕事はできません。ファイルをオープンすることすらできません。運よく開けても意味のあるデータは表示されません。社内ネットワーク上の共有ドキュメントや画像ファイルなどが全滅している可能性もあります。重要ファイルが被害を受けていれば会社が傾くかもしれません。

■XMail/XMailCFG による対抗策

XMail については XMailCFG の [セキュリティ]-[不正アクセスホストの管理] ページや [アンチ・スパム]-[スパムアドレスの管理] ページから管理できる機能を利用することができますが、ランサムウェア対策としては大きな効果は期待できないでしょう。

XMailCFG については [ウイルススキャン] メニューのほかに [セキュリティ] メニュー内の [添付ファイル一括削除] と [添付ファイルによる受信拒否] をうまく活用すれば一定の効果を挙げることができます。添付ファイルについては拡張子を指定する選択的な処理を行ってください。ランサムウェアの多くは .docm(マクロ入りWordファイル)、.hta(HTMLアプリケーション)、.iqy(Excel情報ファイル)、.jar(Javaファイル)、.js(JavaScriptファイル)、.wsf(Windows Scriptファイル) などの拡張子を持つことが多く、しかもこれらのタイプのファイルは一般には送受することはないので、"見つけ次第削除" や "見つけ次第切断" を選択しても大きな間違いは少ないのではないでしょうか。

.docm.hta.iqy.jar.js.wsf などのファイルを送受する必要がある環境ではそれらの拡張子を変更してから送受するなどの注意をすればひとまず影響は少なくなります。一方、.exe 実行ファイルや .doc(docx).xls(xlsx) などの Office ドキュメント内に悪質プログラムが隠されることも少なくありませんが、XMailCFG のフィルタはファイルの機能内容までは判断できないので、それらについては XMail ユーザ個人が受信時にウイルス対策ソフトウェア等でチェックすることになります。

ちなみに 2016 年の話ですが、XMailCFG の作者は .docm.hta.iqy.jar.js.wsf を指定して添付ファイル対策をするだけで大部分のランサムウェアをチェックできています。ランサムウェアは ZIP ファイルの中に隠されることが多いので、各メニューの設定では必ずその内部をスキャンするオプションをオンにしてください。


ランサムウェア対策について、あなたの XMail ユーザに啓蒙活動を

■最新版の対策ソフトウェアを維持

ランサムウェアの多くは最新のウイルス対策ソフトウェアなどでチェックできるはずです。しかし完全ではなく、対策ソフトウェアのバージョンが古い場合はとくに危険です。インストール済みソフトウェアはできるだけ最新版を維持するよう強く案内してください。

■重要ファイルの世代バックアップが有効

万一ランサムウェアの被害にあったときのため、本当に大切なファイルは毎日必ずバックアップを残すことがすすめられます。しかも、世代バックアップ(同じ場所のデータを数日分にわたってバックアップ)にしてください。それらはネットワーク共有には置かず、可能であれば USB メモリなど取り外し可能なデバイスに保存するのが安全です。

■被害を受けた場合の対応

被害を受けたのにバックアップもない場合、どうすればよいのでしょう。名案はありますか。
  ビットコインを払いますか?
  無料の復号化ツールで?
  専門業者を利用しますか?
  それとも?

上に書いたように、ランサムウェアつき電子メールは人間心理に通じた巧妙なメッセージ内容であることから、実際に多くの被害者を生んでいます。被害が増えるとともにセキュリティ関連会社から無料の対策ソフトウェア(復号化ツール)が公開され始めましたが、ランサムウェア側の進歩も早く、安心できる状況ではありません。"98%復号化可能、成功報酬のみ頂戴" などとうたう民間の対策業者もありますが、ランサムウェア配布者への身代金より高額になるかもしれません。

しかし、現実問題としてあなたが本当に追い詰められたなら、どれかを試す以外にはないでしょう。ビットコインを払いますか。悔しく残念なことですが、2016 年末のある調査では企業の 70% がビットコインを払うつもりだということです。しかし、そうしたとしてもあなたの大切なデータを取り戻せる確かな保証はないことを知っておいてください。別のある調査ではビットコインを払った場合でも成功率は 50% 程度だそうで、お金を失うだけの結果になるかもしれません。

無料ツールは、古いランサムウェアによるものについては復号化に成功することがあるようです。試してみる価値があります。以下はフリーの復号化ツールをダウンロードできるサイトのリストです。なお、2016 年末には世界的によく知られたセキュリティ関連企業が協力してランサムウェア対抗プロジェクト(The No More Ransom Project)を開始し、専用ウェブサイトで復号化ツールを公開しています。

The No More Ransom Project: NEED HELP unlocking your digital life without paying your attackers?
-----
Avast: Free Ransomware Decryption Tools
AVG: Free Ransomware Decryption Tools
Emsisoft: Download a free Emsisoft Decrypter for the latest file encription ransomware
Intel Security (McAfee): Tesladecrypt
Intel Security (McAfee): Shade Ransomware Decryption Tool
Kaspersky Lab: Ransomware Decryptor
Trend Micro: Downloading and Using the Trend Micro Ransomware File Decryptor

専門業者はどうしますか。"98%" という数字は嘘ではないかもしれません。急いでいるなら、そして見積額が許容できるなら、それはあなたの判断です。大切なドキュメントが戻ってくるなら、それはお金に代えられないこともあるでしょう。

蛇足ですが、率直なところ、XMailCFG の作者はこのような業者が実際何をしているのかということに興味があります。"98%以上" ということは事実上の "100%" です。高度技術の一つである現在の暗号技術を少しでも知るなら、この宣伝コピーは異常に見えます。市井の一事業者がスーパーコンピュータを持たず復号化キーも知らずに本当に 100% を達成できるでしょうか。しかも短時間で。そこに疑いが生まれます。100% を可能にするための別のシナリオも考えられるからです。そこでは科学技術は必要ありません。技術者さえ必要ありません。

XMailCFG