ランサムウェアは、被害者が身代金を支払うまでコンピュータのファイルをロックするマルウェアの一種です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
ランサムウェアとは、ファイルをロックして身代金を要求するために保持する悪意のあるソフトウェアです。ランサムウェアは、瞬く間にネットワーク全体に広がり、さまざまな組織が属する複数のネットワークに感染するケースもあります。ランサムウェアを操る個人またはグループは、被害者が身代金を支払う場合にのみ、ファイルのロックを解除します。
チャックがアリスのノートパソコンを盗んで金庫にしまい、「返して欲しければ200ドル払え」と言った場合を想像してください。これがランサムウェアのグループの基本的な手口であり、物理的にコンピュータを盗み出して鍵をかけるかわりに、デジタル的にそれを行うのです。
ランサムウェアの感染を阻止するための戦略には、マルウェアを検出するためにすべてのファイルとネットワークトラフィックをスキャンする、DNSクエリをフィルタリングする、攻撃を防ぐためにブラウザの分離を使用する、ユーザーに対して情報セキュリティのベストプラクティスに関する教育を実施するなどが含まれます。ランサムウェアの予防策に完全なものはありませんが、すべてのデータのバックアップを維持することで、ランサムウェアの攻撃からより迅速に事業活動を回復することができます。
典型的なランサムウェア攻撃の基本的なステップ:
暗号化とは、データをスクランブルして、暗号化キーを持つ当事者以外は読むことができなくするプロセスであり、暗号化キーは暗号化を元に戻すために使うことができます。暗号化の解除は復号化と呼ばれています。
暗号化は常に合法的な目的で使用され、インターネット上のセキュリティとプライバシーを実現する重要な要素となっています。しかし、ランサムウェアグループは悪意を持って暗号化を使用し、ファイルの正当な所有者を含め、誰も暗号化されたファイルを開いて使用することができないようにします。
チャックがアリスのノートパソコンを盗む代わりに、アリスのファイルをすべて彼女が読めない言語に翻訳してしまった場合を想像してください。これはランサムウェアが行う暗号化に似ています。それでもアリスはファイルにアクセスすることはできますが、読むことも使うこともできません。本質的には、彼女が翻訳する方法を見つけるまで、ファイルは失われたことになります。
しかし、言語の翻訳とは異なり、暗号鍵を使用しない限りデータの復号はほぼ不可能です。攻撃者側がその鍵を握っているため、支払いを要求するのに足りる力を手に入にすることができるのです。
通常、身代金の要求には期限があります。指定された期限までに支払わなければ、ファイルは永久に暗号化されたままになります。時間が経つにつれて価格が吊り上げられることもあります。
ランサムウェアグループは、被害者の支払いから彼らを追跡することを困難にしようとしています。このため、これらのグループは多くの場合、暗号通貨など、法執行機関が追跡しにくい方法での支払いを要求します。
身代金が支払われると、攻撃者はリモートでファイルを復号化するか、被害者に復号化キーを送付します。ほとんどの場合、身代金が支払われると、攻撃者は暗号化されたデータの復号化、またはキーの提供を行います。攻撃者にとっては、データのロックを解除するという約束を守ることが利益となります。このステップを踏まなければ、今後のランサムウェアの被害者は、身代金を支払っても何の成果も得られないと知り身代金を支払うことが無くなり、攻撃者は儲けることができなくなります。
マルウェアの関連形態として、「スケアウェア」があります。スケアウェアは、ユーザーに対して、デバイスがマルウェアに感染していると主張するメッセージを表示し、駆除するための支払いを要求します。スケアウェアは、デバイスにインストールされると、持続的に動作し、駆除が困難となる場合があります。被害者のコンピュータをロックすることはありますが、通常、ランサムウェアのように身代金として要求するためにファイルやデータを保持することはありません。
攻撃者は、ランサムウェアを拡散するために複数の手法を用いますが、多くの場合「トロイの木馬」と呼ばれるタイプのマルウェアを使用します。「トロイの木馬」とは、他の何かに偽装(ちょうど神話でギリシャ軍がトロイの木馬に変装していたように)した悪意のあるファイルです。トロイの木馬が機能するためには、ユーザーがトロイの木馬を実行する必要がありますが、ランサムウェアグループは、さまざまな方法でユーザーを騙して実行させます。
また攻撃者は、脆弱性を利用して、ユーザーが何もしなくてもネットワーク全体に(さらには複数のネットワークに)拡散するワームを作成することでも知られています。2017年にアメリカ国家安全保障局が開発した脆弱性悪用ツールが一般に流出した後、ワーム型ランサムウェア(WannaCry)はこの脆弱性悪用ツールを利用して、20万台以上のコンピュータにほぼ同時に感染させました。
どのような方法であれ、悪意のあるペイロードとも呼ばれる悪意のあるファイルをデバイスやネットワークに取り込むことが目的です。実行されると、悪意のあるペイロードは、感染したシステム上のファイルを暗号化します。
その前に、攻撃者のコマンド&コントロール(C&C)サーバーと通信し、指示を受けることもあります。攻撃者は、ファイルを暗号化するコマンドを送信するタイミングを図ることがあり、この場合、ランサムウェアは、数日、数週間、あるいは数ヶ月の間デバイスやネットワーク上で活動せずに、検出されないまま潜伏することができます。
あるレポートでは、ランサムウェアの被害者が支払った損害の平均は30万ドル超であると報告しています。また、別のレポートでは、身代金の損害額に加えてビジネスの損失などを考慮したランサムウェア攻撃の総損害額の平均は、200万ドルに及ぶとしています。
ある情報筋によると、2020年における過去12ヶ月間のランサムウェアによる経済的被害は10億ドル以上と推定されていますが、サービスの損失や公表せずに身代金を支払った可能性のある被害者を考慮すると、実際の被害額はさらに大きいものとみられています。
ランサムウェア攻撃を行うことには、犯罪者にとって多大な金銭的インセンティブがあるため、ランサムウェアは今後も重要なセキュリティ問題として残り続けるでしょう。
身代金を支払った組織のうち、95%が実際にデータを取り戻すことができたと推定されます。しかし、身代金の支払いには賛否両論があります。身代金を支払うことは、犯罪者に金銭を提供することであり、犯罪組織のさらなる資金源となります。
場合によっては、身代金を支払わずにデバイスからランサムウェアを駆除することができるかもしれません。被害者は次の手順を実行できます:
しかし、特にネットワークやデータセンター全体が感染していて、感染したデバイスを隔離すること自体が手遅である場合など、多くの場合これらの手順を実際に実行することは困難です。ランサムウェアの多くの種類は持続性を持ち、自己複製を行うなどして、駆除に対する対抗力を持っています。また、現在の多くのランサムウェアグループは高度な暗号化方式を採用しており、鍵が無い状態での復号化はほぼ不可能です。
ランサムウェアの駆除は非常に困難であるため、より良い方法は、そもそもランサムウェアを感染させないことです。以下はそのために使える対策の一部です:
これらの方法を用いても、あらゆる脅威を100%防ぐことができないのと同様に、ランサムウェアを100%防ぐことはできません。
企業が取るべき最も重要度の高い措置は、データをバックアップすることであり、これによって万が一感染した場合でも、身代金を支払う代わりに、バックアップに切り替えることができます。
ランサムウェア攻撃と同様に、身代金要求型DDoS攻撃は、本質的に恐喝行為です。攻撃者は、支払いを行わないとWebサイトやネットワークに対してDDoS攻撃を仕掛けると脅します。場合によっては、攻撃者が最初にDDoS攻撃を開始してから支払いを要求することもあります。身代金要求型DDoS攻撃は、DDoS軽減プロバイダー(Cloudflare など)で阻止することができます。
身代金要求型DDoSの詳細についてはこちらをご覧ください。
Cloudflareの製品は、ランサムウェアへの感染につながりかねない脅威ベクトルを封じ込めます。CloudflareのDNSフィルタリングは、安全でないWebサイトをブロックします。Cloudflareのブラウザの分離は、ドライブバイダウンロードやその他のブラウザベースの攻撃を阻止します。Zero Trustアーキテクチャは、ネットワーク内におけるランサムウェア拡散を阻止するのに役立ちます。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集