ウィルスの手作業駆除はもう無理か?

FFRIセキュリティ様のブログ「ランサムウェアMaze解析レポート」を読んで、もはや手作業でウィルス駆除ができる時代ではなくなったと思い知らされた。

ランサムウェアとは「身代金ウィルス」とも呼ばれるコンピュータウィルス。感染したPCを丸ごと暗号化して使えなくして、解除して欲しくば身代金を払え、とウィルス作成者等が被害者に要求してくるからだ。

これまで私がイメージしていたランサムウェアは、PCが暗号化されて起動することすらできないから駆除できない、といったものだった。だが、上のブログ記事を読むと、そもそも感染させたPC内部でのウィルスのコード自体が大量の偽の条件分岐でウィルス解析を無効にする機能を持っているという。また、暗号化作業もウィルス内部の固有コードで行っていて、暗号化していること自体が外部から感知できない仕組みになっているらしい。

それ以前のウィルスは、基本、PCを「操って」目的を達成する企みを持っていた。例えばPCを乗っ取って、迷惑メールの発信基地に変えるとか、指令が来たら感染した他のPC群とともにネット上の特定のコンピュータに一斉に接続(=攻撃)しにいくとか、モニター上に偽の表示を出して詐欺的にお金を払わせたりとか、そういった感じ。そのため、そうした目的で使われる特定のプログラムファイルやデータファイル、レジストリ、windows機能などについての情報があれば、それらのファイルを使えなくしたり、悪用されているwindowsの機能を修正したりすれば手作業でもウィルスは駆除可能なものだった。

そうした木訥なウィルスの中にも、ウィルスの機能を無効にされたと察知すると、windowsの復元機能を悪用し、感染している状態に「復元」してしまう狡猾な奴も居た。その場合でも、駆除作業を効率的にやれるよう練習しながら、「復元」されるより先に「復元」できないように抑え込む「競争」に勝ち、手動でウィルスを駆除することはできた。

だけどもランサムウェアはそもそも活動が感知できない。さらに、「復元」を待つまでもなく、解析自体をすり抜ける機能を持っている訳で、これでは手作業ではどうやったってウィルスには勝てない。「ウィルス駆除」といったサービスはもはや成立しなくなったのだろうか。

ともあれ、ランサムウェアで暗号化されたデータを簡単に復号化する技術が確立されるまでは、ウィルス対策は、とにかく感染しないこと、に尽きることになったのかも知れない。