定義

ランサムウェアとは、悪意のあるソフトウェア(マルウェア)の一種で、攻撃者は被害者が身代金を支払うまで、データやコンピュータシステムを暗号化し、そのアクセスを公開したりブロックしたりすると脅迫します。多くの場合、身代金要求には期限が設けられています。被害者が期限内に支払わない場合、データは永久に失われるか、身代金が増額されます。

最近、ランサムウェアによる攻撃が頻発しています。北米や欧州の大手企業も同様にその犠牲になっています。サイバー犯罪者は、あらゆる消費者や企業を攻撃し、被害者はあらゆる業種に及んでいます。

FBIを含むいくつかの政府機関は、No More Ransom Projectと同様に、ランサムウェアのサイクルを助長しないよう、身代金の支払いを控えるよう勧告しています。さらに、身代金を支払った被害者の半数は、特にシステムからランサムウェアが駆除されなかった場合、ランサムウェア攻撃は繰り返される可能性が高いと言われています。

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

ランサムウェア攻撃の歴史

ランサムウェアの起源は1989年に遡り、「AIDS」ウイルスがランサムウェアの受信者から資金を強要するために利用されたのが始まりとされています。その攻撃への支払いはパナマへの郵便で行われ、その時点では復号化キーもユーザーに郵送されていました。

1996年、ランサムウェアはコロンビア大学のMoti YungとAdam Youngによって紹介された「暗号ウイルスによる強奪」として知られていました。学界で生まれたこのアイデアは、現代の暗号化ツールの進歩、強度、創造性を物語っています。YoungとYungは、1996年のIEEE Security and Privacyカンファレンスで、最初の暗号ウイルス攻撃について発表しました。そのウイルスには攻撃者の公開鍵が含まれており、被害者のファイルが暗号化されていました。その後、マルウェアは被害者に非対称暗号文を攻撃者に送信して解読してもらい、料金を支払って復号化鍵を返すよう促しました。

攻撃者は、サイバー犯罪者の匿名性を確保するために、追跡がほぼ不可能な支払いを要求することで、長年にわたって創造性を高めてきました。例えば、悪名高いモバイル型ランサムウェア「Fusob」は、被害者にドルなどの通常の通貨ではなく、Apple iTunesギフトカードでの支払いを要求します。

ランサムウェア攻撃は、ビットコインに代表される暗号通貨の成長とともに急増し始めました。暗号通貨は、暗号化技術を使用してトランザクションの検証や安全性を確保し、新しいユニットの作成を制御するデジタル通貨です。ビットコイン以外にも、イーサリアム、ライトコイン、リップルなど、攻撃者が被害者に使用を促す人気の暗号通貨が存在します。

ランサムウェアは、ほぼすべての業種の組織を攻撃しています。最も有名なウイルスの1つは、Presbyterian Memorial Hospitalへの攻撃です。この攻撃は、ランサムウェアの潜在的な被害とリスクを浮き彫りにしました。研究室、薬局、緊急治療室が被害に遭いました。

ソーシャルエンジニアリング攻撃者は、時とともに革新的になってきています。The Guardianは、新しいランサムウェアの被害者が、ファイルを復号化するために、他の2人のユーザーにリンクをインストールさせ、身代金を支払うよう求められた状況について記載しています。

ランサムウェアの種類

主要なランサムウェア攻撃について学ぶことで、組織は、ほとんどのランサムウェア攻撃の戦術、エクスプロイト、および特性についての確かな基礎を身につけることができます。ランサムウェアのコード、ターゲット、機能にはバリエーションがありますが、ランサムウェア攻撃のイノベーションは通常、漸進的なものです。

  • WannaCry: Microsoftの強力なエクスプロイトを悪用して世界規模のランサムウェアワームが開発され、キルスイッチが作動して感染を食い止めるまでに25万台以上のシステムに感染しました。Proofpointは、キルスイッチを見つけるために使用されたサンプルの発見と、ランサムウェアの分解に携わりました。WannaCryの阻止におけるProofpointの関与について、詳細をご覧ください
  • CryptoLocker: このランサムウェアは、支払いに暗号通貨(ビットコイン)を要求し、ユーザーのハードディスクと接続されたネットワークドライブを暗号化する、現世代のランサムウェアの最初の1つでした。Cryptolockerは、FedExやUPSの追跡通知を名乗る添付ファイル付きのメールを介して拡散されました。これに対する復号化ツールは2014年にリリースされました。しかし、さまざまなレポートによると、CryptoLockerによって2700万ドル以上が強奪されたと報告されています。
  • NotPetya: NotPetyaは、Microsoft Windowsベースのシステムのマスターブートレコードに感染して暗号化するなど、同名のPetyaの戦術を活用した、最も被害が大きいランサムウェア攻撃の1つと考えられています。NotPetyaは、WannaCryと同じ脆弱性を利用して急速に拡散し、変更を元に戻すためにビットコインでの支払いを要求しました。NotPetyaはマスターブートレコードへの変更を取り消すことができず、ターゲットシステムを回復不能にするため、一部ではワイパーに分類されています。
  • Bad Rabbit: NotPetyaと類似したコードとエクスプロイトを使用して拡散したBad Rabbitは、ロシアとウクライナをターゲットとした目に見えるランサムウェアで、主に同国のメディア企業に影響を与えました。NotPetyaとは異なり、Bad Rabbitは身代金を支払うと復号化できるようになっていました。多くの場合、偽のFlash Playerのアップデートによって拡散され、ドライブバイダウンロード攻撃によってユーザーに影響を与える可能性があることが指摘されています。
  • REvil: REvilは、金銭目的の攻撃者グループによって開発されました。暗号化する前にデータを流出させ、標的となった被害者が身代金を送らないことを選択した場合、脅迫して支払わせることができます。この攻撃は、WindowsとMacのインフラにパッチを適用するために使用されるITマネジメントソフトウェアが侵害されたことに起因しています。攻撃者は、企業のシステムにREvilランサムウェアを注入するために使用されるKaseyaソフトウェアを侵害しました。
  • Ryuk: Ryukは、主にスピアフィッシングで使用される手動配布のランサムウェアアプリケーションです。ターゲットは、偵察によって慎重に選ばれます。選ばれた被害者にメールメッセージが送信され、感染したシステムでホストされているすべてのファイルが暗号化されます。

ランサムウェアの仕組み

ランサムウェアは、システム上のデータへのアクセスをブロックまたは防止された被害者から金銭を強要するために設計されたマルウェアの一種です。最も一般的なランサムウェアは、暗号化型と画面ロック型の2種類です。暗号化型は、その名の通り、システム上のデータを暗号化し、復号化キーがなければコンテンツを利用できないようにします。一方、画面ロック型は、システムが暗号化されていることを主張し、「ロック」画面でシステムへのアクセスを単純にブロックするものです。

 

ランサムウェア攻撃の例

図1:ランサムウェアが被害者を騙してインストールさせようとする手口

 

被害者は、ロック画面(暗号化型と画面ロック型の両方に共通)で、ビットコインなどの暗号通貨を購入して身代金を支払うように通知されることがよくあります。身代金の支払いが完了すると、被害者は復号化キーを受け取り、ファイルの復号化を試みることができます。身代金を支払った後の復号化の成功度合いが異なることが複数の情報源から報告されており、復号化が保証されているわけではありません。また、被害者がキーを受け取らないこともあります。身代金が支払われ、データが解放された後でも、コンピュータシステムにマルウェアをインストールする攻撃もあります。

暗号化型ランサムウェアは、当初は主に個人のコンピュータを対象としていましたが、重要なシステムのロックを解除して日常業務を再開するためには、個人よりも企業がより多くの費用を支払うことが多いため、ビジネスユーザーをターゲットにしたものが増えています。

企業のランサムウェアの感染やウイルスは、通常、悪意のあるメールから始まります。疑うことを知らないユーザーが悪意のある、または危険にさらされた添付ファイルを開いたり、URLをクリックしたりします。

この時点で、ランサムウェアエージェントがインストールされ、被害者のPCおよび添付ファイル上の主要なファイルの暗号化を開始します。データを暗号化した後、ランサムウェアは感染したデバイスにメッセージを表示します。メッセージには、何が起きたのか、攻撃者への支払い方法などが説明されています。被害者が支払いを行った場合、ランサムウェアは、データのロックを解除するためのコードを取得することを約束します。

ランサムウェアのリスク

インターネットに接続されているあらゆるデバイスが、次のランサムウェアの被害者となる危険性があります。ランサムウェアは、ローカルデバイスとネットワークに接続されたストレージをスキャンします。つまり、脆弱なデバイスは、ローカルネットワークも犠牲となる可能性があります。ローカルネットワークが企業の場合、ランサムウェアは重要な文書やシステムファイルを暗号化し、サービスや生産性を停止させる可能性があります。

インターネットに接続するデバイスは、最新のソフトウェアセキュリティパッチを適用し、ランサムウェアを検出・停止するマルウェア対策がインストールされている必要があります。Windows XPのようなメンテナンスが終了した古いOSは、より高いリスクを伴います。

ランサムウェアの被害

ランサムウェアの被害に遭った企業は、生産性やデータの損失により、数千ドルの損失を被る可能性があります。データにアクセスできる攻撃者は、被害者を脅迫してデータを公開し、データ流出を暴露することで身代金を支払わせるため、迅速に支払わない組織は、ブランドの毀損や訴訟などの二次的な影響がさらに生じる可能性があります。

ランサムウェアは生産性を低下させるので、まず封じ込めが必要です。封じ込めた後、組織はバックアップから復元するか、身代金を支払うかのどちらかを選択します。法執行機関は捜査に当たりますが、ランサムウェアの開発者を追跡するには調査時間が必要で、復旧を遅らせるだけです。根本的な原因分析により脆弱性が特定されますが、復旧の遅れは生産性と事業収益に影響を及ぼします。

ランサムウェア流行の理由

在宅勤務者の増加により、脅威アクターはフィッシングの利用を増加させました。ランサムウェアの感染経路は、フィッシングが主な起点となっています。フィッシングメールは、低権限ユーザーと高権限ユーザーの両方の従業員をターゲットにしています。メールは安価で使いやすいため、攻撃者にとってランサムウェアを広めるための便利な手段となっています。

通常、ドキュメントはメールで受け渡しされるため、ユーザーはメールの添付ファイルでファイルを開くことを何とも思っていません。悪意のあるマクロが実行され、ランサムウェアがローカルデバイスにダウンロードされ、ペイロードが配信されます。ランサムウェアは電子メールで簡単に拡散することができるため、一般的なマルウェア攻撃となっています。

ランサムウェアの開発者

高度な攻撃では、独自のバージョンを構築する開発者のランサムウェアが使用されることがあります。亜種は、既存のランサムウェアのコードベースを使用し、ペイロードと攻撃方法を変更するために必要な機能だけを変更します。ランサムウェアの開発者は、マルウェアをカスタマイズして任意のアクションを実行し、好みの暗号を使用することができます。

攻撃者は常に開発者とは限りません。ランサムウェアの開発者の中には、ソフトウェアを他者に販売したり、リースして使用したりする者もいます。ランサムウェアは、顧客がダッシュボードに認証して独自のキャンペーンを開始するMalware-as-a-Service(MaaS)として貸し出されることがあります。したがって、攻撃者は、必ずしもコーダーやマルウェアの専門家とは限りません。彼らは、ランサムウェアをリースするために開発者にお金を払う個人でもあります。

ランサムウェアと身代金

ランサムウェアはファイルを暗号化した後、ユーザーに対してファイルが暗号化されていることと、支払わなければならない金額を告知する画面を表示します。通常、被害者は特定の支払期限を与えられるか、身代金が増額されます。また、攻撃者は企業を脅して、ランサムウェアの被害者であることを公に発表することもあります。

支払いの最大のリスクは、データを復号するための暗号鍵が受け取れないことです。組織はお金を払っても、復号化キーが手に入らないことがあります。ほとんどの専門家は、攻撃者に金銭的な利益を永続させないために身代金の支払いに反対するよう助言していますが、多くの組織は選択の余地を失っています。ランサムウェアの開発者は暗号通貨での支払いを要求するため、金銭の授受を取り消すことはできません。

ランサムウェアに感染したら?

ランサムウェアからのペイロードは即座に発生します。マルウェアは、支払いの指示とファイルに何が起こったかについての情報を含むメッセージをユーザーに表示します。ランサムウェアの中には、ネットワーク上の他の場所に拡散し、追加のスキャンで重要なファイルを見つけようとするものもあるため、管理者は迅速に対応することが重要です。ランサムウェアに適切に対応するために、いくつかの基本的なステップを踏むことができますが、根本原因の分析、クリーンアップ、調査には、通常、専門家の介入が必要であることに注意してください。

  • どのシステムが影響を受けているかを判断する。 他の環境に影響を与えないように、システムを分離する必要があります。このステップは、環境へのダメージを最小限に抑える封じ込めの一部です。
  • システムの接続を解除し、必要に応じて電源を落とす。ランサムウェアはネットワーク上で急速に拡散するため、ネットワークアクセスを無効にするか、電源を落として、システムを切り離す必要があります。
  • 最も重要なシステムをより早く正常な状態に戻すために、復旧の優先順位をつける。通常、優先順位は生産性や収益への影響に基づいて決定されます。
  • ネットワークから脅威を根絶する。攻撃者はバックドアを使用する可能性があるため、根絶は信頼できる専門家によって行われる必要があります。専門家は、根本原因の分析で脆弱性と影響を受けたすべてのシステムを特定するために、ログにアクセスする必要があります。
  • 専門家に環境を見直してもらい、セキュリティアップグレードの可能性を探る。ランサムウェアの被害者が2度目の攻撃の標的になることはよくあることです。脆弱性が発見されないと、再び悪用される可能性があります。

ランサムウェアの脅威

開発者は、検出を避けるために、常に新しい亜種にコードを変更します。管理者とマルウェア対策開発者は、これらの新しい手法に対応し、脅威がネットワークに伝播する前に迅速に検出できるようにする必要があります。ここでは、いくつかの新しい脅威をご紹介します。

  • DLLサイドローディング: マルウェアは、正規の機能のように見えるDLLやサービスを使用することで、検知を逃れようとします。
  • ターゲットとなるWebサーバー: 共有ホスティング環境上のマルウェアは、そのサーバーでホストされているすべてのサイトに影響を与える可能性があります。Ryukのようなランサムウェアは、主にフィッシングメールを使って、ホストされているサイトをターゲットにしています。
  • 標準的なフィッシングよりも好まれるスピアフィッシング: 攻撃者は、何千ものターゲットにマルウェアを送りつける代わりに、高い権限を持つネットワークアクセスを行う潜在的なターゲットに対して偵察を行います。
  • Ransomware as a Service (RaaS): Raasはユーザーがサイバーセキュリティの知識を持たずに攻撃を仕掛けることができるサービスです。RaaSの導入により、ランサムウェアの攻撃は増加しています。

ランサムウェアを使った脅威が増加した主な理由は、リモートワークです。パンデミックにより、世界的に新しい働き方が導入されました。在宅勤務者は、脅威に対してより脆弱な存在です。ホームユーザーは、高度な攻撃から保護するために必要な企業レベルのサイバーセキュリティを備えておらず、これらのユーザーの多くは、個人用デバイスと仕事用デバイスを混在させています。ランサムウェアはネットワーク上の脆弱なデバイスをスキャンするため、マルウェアに感染した個人PCがネットワークに接続された業務用機器にも感染する可能性があります。

ランサムウェア感染防止と検知

ランサムウェアの攻撃を防ぐには、バックアップの設定とテスト、およびセキュリティツールのランサムウェア保護機能を適用することが一般的です。メール保護ゲートウェイなどのセキュリティツールは第一の防御手段であり、エンドポイントは第二の防御手段です。侵入検知システム(IDS)は、ランサムウェアのコマンド&コントロールを検知し、ランサムウェアシステムがコントロールサーバーを呼び出すことに対して警告するために使用されることもあります。ユーザートレーニングは重要ですが、ランサムウェアから保護するためのいくつかの防御層の一つに過ぎず、メールフィッシングでランサムウェアが配信された後に活躍するものです。

他のランサムウェアの防御策に失敗した場合の予備策として、ビットコインを備蓄しておくことがあります。これは、被害を受けた企業の顧客やユーザーに直接的な影響を与える可能性がある場合に、より一般的な方法です。病院やホスピタリティは、患者の生命に影響を与えたり、人々が施設に閉じ込められたり、外に出られなくなったりする可能性があるため、特にランサムウェアのリスクが高いと言えます。

ランサムウェア対策

ランサムウェア攻撃を防ぐ方法

  • ランサムウェアからメールを守る: ランサムウェアの攻撃は、主にフィッシングメールやスパムメールによって配信されます。ランサムウェアを配信する悪意のあるメールを検知・ブロックするためには、標的型攻撃対策を備えたセキュアメールゲートウェイが不可欠です。これらのソリューションは、ユーザーのコンピュータに配信されるメールに含まれる悪意のある添付ファイル、悪意のあるドキュメント、およびURLから保護します。
  • ランサムウェアからモバイル端末を防御する: モバイル攻撃対策製品は、モバイルデバイス管理(MDM)ツールと併用することで、ユーザーのデバイス上のアプリケーションを分析し、環境を侵害する可能性のあるアプリケーションについてユーザーとIT部門に即座に警告を発することができます。
  • ランサムウェアからWebサーフィンを守る: セキュアWebゲートウェイは、ユーザーのWebサーフィンのトラフィックをスキャンして、ランサムウェアに誘導する可能性のある悪意のあるWeb広告を特定することができます。
  • サーバーやネットワークを監視し、主要なシステムをバックアップする: 監視ツールは、異常なファイルアクセス、ウイルス、ネットワークC&Cトラフィック、CPU負荷を検出し、ランサムウェアの起動を阻止することができます。また、重要なシステムのフルイメージコピーを保存しておけば、クラッシュしたり暗号化されたマシンが重要な業務のボトルネックとなるリスクを軽減できます。

 

ランサムウェアを除去する方法

  • 連邦および地域の法執行機関に連絡する: 誘拐事件で連邦捜査機関に連絡するように、ランサムウェアの場合も同じように連邦捜査機関に連絡する必要があります。フォレンジック技術者は、システムが他の方法で侵害されていないことを確認し、今後の組織をより良く保護するための情報を収集し、攻撃者を見つけようとします。

 

ランサムウェアからの復旧

  • ランサムウェア対策のリソースについて学ぶ: 「No More Ransom」ポータルとBleeping Computerでは、特定のランサムウェア攻撃に対するヒント、提案、および復号化ツールを提供しています。
  • データを復元する: ベストプラクティスに従ってシステムのバックアップをとっていれば、システムを復元して通常業務を再開することができます。

ランサムウェアの統計

以下のランサムウェアの統計は、ランサムウェアの蔓延とその被害者が被った数千億円の損害を物語っています。最新のランサムウェア統計については、Proofpointのブログもご覧ください。

4,000

毎日平均4,000件のランサムウェア事件が発生しています。出典: FBI Internet Crime Report

39%

ランサムウェアは、マルウェアが確認されたケースの39%で発見され、悪意のあるソフトウェアの中で最も多い種類です。 出典: Verizon’s 2018 Data Breach Investigations Report

46%

最新の「State of the Phish™」レポートでは、ランサムウェアを正しく定義できた回答者はわずか46%にとどまりました。

42%

2017年ユーザーリスクレポートの米国の回答者のうち、42%がランサムウェアが何であるかを正しく認識できませんでした。

ランサムウェア サバイバルガイド 2024

ランサムウェアサバイバルガイド

ランサムウェアは古くからある脅威ですが、今なお存在し続ける脅威です。現在のランサムウェアは以前よりも標的型で、攻撃者により多くの収入を与え、被害者により大きな損害を引き起こすようになっています。

ランサムウェア サバイバル ガイド2023で、ランサムウェアの攻撃前、攻撃の最中、攻撃後に何をすべきかをご確認ください。以下を含む、攻撃チェーンを断ち切り、ランサムウェア攻撃を阻止するための包括的なガイダンスを提供します。

ランサムウェアに関するよくある質問

ランサムウェアはウイルス?

ランサムウェアとウイルスは、どちらもマルウェアの一種ですが、ランサムウェアはウイルスではありません。ランサムウェアは、マルウェアの中でも独自のカテゴリーとされていますが、ウイルスのように自己複製することはありません。ウイルスもランサムウェアもファイルにダメージを与えますが、ペイロードが配信されると異なる動作をします。

WannaCryランサムウェア攻撃とは?

ランサムウェア「WannaCry」は、Microsoft Windowsの脆弱性を利用してインターネット上で急速に拡散し、ファイルを暗号化して人質にします。暗号学的に安全なアルゴリズムでファイルを暗号化するため、標的となった被害者は、ビットコインで身代金を支払って秘密鍵を入手するか、バックアップから復元することを余儀なくされます。ファイルは復号化できないため、多くの組織がやむを得ず身代金を支払うことになりました。

DarkSideランサムウェアとは?

DarkSideとして知られるハッキンググループは、RaaSとして機能するマルウェア「DarkSide」を開発しました。このマルウェアは、ファイルを復号化するために支払いを要求し、次に、漏洩した機密データの支払いを要求することで、ターゲットから2重の脅迫を行います。このマルウェアは、リモート・デスクトップ・プロトコル(RDP)をホストするサーバーを標的とし、パスワードを総当たりで入力して、マシンのローカルファイルにアクセスします。

ランサムウェアからの復旧時間にかかる時間は?

復旧時間は、被害の程度、組織のディザスタリカバリ計画の効率性、レスポンスタイム、封じ込め・撲滅のタイムフレームによって大きく異なります。優れたバックアップとディザスタリカバリ計画がなければ、組織は何日もオフラインの状態が続くことになり、収益に深刻な影響を与えます。

無料トライアル

まずは無料のトライアルをお試しください