ランサムウェアとは

ランサムウェアとは、感染したPCのデータを暗号化する（暗号型）、OSにロックをかける（端末ロック型）などして、使えないようにした後、復元や解除を条件に身代金を請求するマルウェアです。マルウェアとは悪意のあるプロクラムやソフトウェア、ウイルスの総称です。 「ransom」とは身代金を意味し、コンピュータープログラムを意味する「software」と組みあわせてランサムウェアと呼ばれています。

犯罪者がランサムウェアを利用し、個人や企業を対象としたサイバー攻撃は世界中で被害をもたらしています。 感染経路はフィッシングメールの添付ファイルやリンク、ウェブサイト、USBメモリが一般的です。 感染するとデスクトップなどに脅迫文が表示され、金銭の支払いを要求されます。なお、要求通り金銭を支払っても、暗号やロックが解除されるとは限りません。そのため、感染に対する防衛が何より大切です。

ランサムウェアの種類一覧

ランサムウェアは種類により感染経路や手口が異なるため、どのようなタイプがあるのか理解を深めることも防衛するうえで大切です。以下に6つの代表的なランサムウェアを特徴とあわせて紹介します。

• LockBit
• Hive
• Night sky
• WannaCry
• Maze
• NetWalker

LockBit

2019年9月に攻撃が確認された、ランサムウェアの中でも新しいタイプです。政府機関のほかに金融機関や医療機関など潤沢な資金がある企業を標的としています。ロックビットの特徴は、犯罪者の指示がなくとも標的を自動で探し拡散できる点です。

Hive

ハイブは2021年6月に現れたランサムウェアで、米国の医療機関を中心に被害が拡大しています。標的は企業が中心で感染経路はRDPやVPN、脆弱性への対策がされていないセキュリティ機器のほか、フィッシングメールも確認されています。OSはWindowsとLinuxが標的です。

Night sky

ナイトスカイは2021年12月より活動が確認されたランサムウェアです。感染経路はVMware社の提供するVDI、Horizo​​nのLog4jの脆弱性を悪用したものとされています。なお、窃盗データを公開するリークサイトには日本企業の被害とみられる情報もあるため、国内で被害に合う可能性は十分にあります。

WannaCry

ワナクライは2017年に世界中で大規模な被害をもたらしたワーム型ランサムウェアです。ワームとは自己複製能力があり、宿主を必要とせず単独で活動しながら感染を拡大できるマルウェアの一種で、身代金を要求するランサムウェアと組み合わせ感染力を高めている点が特徴です。 Windowsを標的とし、SMBv1の脆弱性を悪用したことで感染が広がりました。また、身代金は足のつかないビットコインで要求されます。

Maze

メイズは2019年5月ごろ確認されたランサムウェアで、ChaChaの亜種とみられています。感染経路はフィッシングメール、RDPやVPNとなり、データの暗号化による身代金の請求および、窃盗と脅迫をおこないます。 なお、サイバー犯罪集団はメイズの更新を停止するとし、事実上の活動終了を発表しました。しかし、時を同じくしてメイズの亜種とみられるEgregoが登場したため、現在でも対策は必要です。

NetWalker

2019年以降、米国や西ヨーロッパ諸国で感染をみせたマルウェアで、現在では世界中の企業を標的としています。感染経路は複数あり、フィッシングメール、RDP、VPNのほかにWebアプリも含まれています。ネットウォーカーもほかのマルウェアと同様に、データの暗号化による身代金の請求だけでなく、窃盗データを漏洩するとして脅迫がおこなわれます。

ランサムウェアの攻撃手口

身代金の要求に留まらず暗号化する前にデータを搾取し、脅しに使う「二重脅迫」や、ランサムウェアの制作者とサイバー犯罪の実行者が異なる「RaaS」など、攻撃手口は年を経るごとに巧妙化しています。以下に代表的な手口を紹介します。

• ばらまき型
• 標的型
• RaaS
• 二重脅迫や四重脅迫
• 破壊型

ばらまき型

事業規模や組織の資金力に関係なく、無差別にフィッシングメールを送り付け、誤って感染した企業に対し現実的な額の身代金を請求する方法です。ばらまき型は従来のランサムウェア攻撃で取られていた方法で、データの暗号化のみおこなうことが多く、身代金の請求額も数十万円程度である点が特徴です。

標的型

従来のばらまき型と異なり、最近ではあらかじめ組織の脆弱性を把握し、効率よく高額の身代金を巻きあげる標的型のランサムウェア攻撃が主流です。とくに、資金が潤沢な大企業や医療機関などが狙われやすく、国内ではLockBitによる被害が相次いでいます。

RaaS（Ransomware as a Service）

RaaS（ラース）とは、ランサムウェアの制作者とサイバー犯罪の実行者が収益を分け合うビジネスモデルです。ランサムウェアの使用料を毎月請求するタイプもあれば、身代金の70～80％を使用料として請求するタイプもあります。

RaaSの普及により、ランサムウェアの高度な知識がない犯罪者も簡単にサイバー攻撃により身代金を請求できるようになったことも、ランサムウェアの感染拡大を後押ししています。LockBitやHiveなど、近年普及したランサムウェアの多くはRaaSにより展開されました。

二重脅迫や四重脅迫

二重脅迫は「暴露型」とも呼ばれ、データを暗号化する前に抜き取り、身代金の支払いに応じなければ、顧客や企業の情報を暴露すると脅すものです。抜き取られたデータはダークウェブ上のリークサイトに一部が掲載され、身代金が請求されます。

なお、最近のランサムウェアは二重脅迫が主流です。 四重脅迫とは、身代金の請求に加え、データの暗号化、情報の暴露、サービスの妨害、利害関係者や顧客への連絡の4つをおこなう手口です。とくに、利害関係者にランサムウェア攻撃にあったことが知れ渡るため、信頼を失うだけでなく、最悪の場合、取り引きが停止される恐れもあります。

破壊型

データを暗号化するのではなく、システム自体を破壊し、機能の停止を目的としたランサムウェアです。破壊型の場合、金銭ではなく、企業や行政機関の機能自体を停止させることが目的のため、身代金の支払いでは解決できないケースもあります。また、ランサムウェアの種類によっては単純なファイルのバックアップでは回復ができない可能性があります。

巧妙化するランサムウェアから組織を守ろう

ランサムウェア攻撃の手口が巧妙化するだけでなく、新種のマルウェアは毎年のように発生しています。感染すれば身代金を請求されるだけでなく、データを暗号化されたり、暴露されたり、場合によっては破壊され機能を停止されたりする恐れもあるため注意が必要です。

ランサムウェアへの感染を防ぐためにも、不信なメールは開かないよう社員教育をする、OSなどに脆弱な部分を作らないようにするなど、セキュリティ対策を入念におこないましょう。