多くのランサムウェアはロシア語キーボードがインストールされていると攻撃を中止する (2021)

1. ロシアのハッカーが嫌う簡単なセキュリティトリック

ほとんどのランサムウェアは、特定の仮想キーボード（ロシア語、ウクライナ語など）がインストールされたPCではインストールされないよう設計されている。この事実をもとに、それらのキーボードを導入すれば攻撃を回避できるという点がTwitterで話題になった。

2. 東欧のハッカーは自国のコンピュータには手を出さない

多くのロシア語圏のランサムウェアは、CIS（独立国家共同体）諸国を避けるよう作られているが、これは自国政府の監視を避けるためだ。

3. ロシア当局は自国の被害がなければ捜査しない

ロシアなどでは、自国内に被害者がいなければサイバー犯罪の捜査を開始しないため、ハッカーは自国の被害をそもそも発生させないようにしている。

4. ダークサイドの反応

DarkSideグループはColonial Pipeline攻撃後、「政治的目的はない」と主張し、今後は社会的影響を考慮して標的企業を選別すると明らかにした。

5. 発言とは裏腹に、地域ベースのターゲティングは必須

DarkSideは実際には、CIS諸国にはインストールされないようハードコードされた設定を使用しており、これは自国内での法的リスクを避けるための戦略だ。

6. ロシア語キーボードの導入 = 一種のワクチン？

多くのマルウェアは、該当言語（ロシア語など）を検知すると実行を中止する。過去にはREvil（またはGandCrab）も、シリアなど特定の国を避けていた。

7. 欠点は？

このトリックがすべてのマルウェアに有効というわけではない。基本的なセキュリティ対策と併用すべきであり、あくまで追加の保護手段にすぎない。

8. 設定を変える方法

誤って表示言語がロシア語に切り替わっても、Windowsキー + スペースバーで元の言語に簡単に戻せる。

9. マルウェア作者が言語チェックを無視する可能性もある

一部の新しいバージョンでは、言語チェックを省略することもある。しかし言語チェックをなくすと、ハッカーにとっては法的リスクが大きくなる。

10. 言語設定はハッカーにとって重要な盾

ロシアの法的環境のもとで、マルウェアは外国のシステムだけを標的にするよう制限されており、これを回避すると法的リスクが生じる。

11. レジストリ操作でも効果がある可能性

キーボード言語設定を追加しなくても、Windowsレジストリに該当国の言語が設定されているように見せかける簡単なスクリプトも公開されている。

12. 手動でキーボード言語を追加する方法

Windowsの設定 > 時刻と言語 > 言語 から希望するキーボード言語を追加し、再起動すれば適用される。