ランサムウェアとは?| ランサムウェアの意味

ランサムウェアは、被害者が身代金を支払うまでコンピュータのファイルをロックするマルウェアの一種です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムウェアの定義
  • ランサムウェアの仕組みを説明する
  • ランサムウェアを防止する技術について説明する
  • 有名なランサムウェア攻撃を挙げる

記事のリンクをコピーする

ランサムウェアとは?

ランサムウェアとは?- ランサムウェアは、コンピュータに感染し、ファイルを暗号化します。

ランサムウェアとは、ファイルをロックして身代金を要求するために保持する悪意のあるソフトウェアです。ランサムウェアは、瞬く間にネットワーク全体に広がり、さまざまな組織が属する複数のネットワークに感染するケースもあります。ランサムウェアを操る個人またはグループは、被害者が身代金を支払う場合にのみ、ファイルのロックを解除します。

チャックがアリスのノートパソコンを盗んで金庫にしまい、「返して欲しければ200ドル払え」と言った場合を想像してください。これがランサムウェアのグループの基本的な手口であり、物理的にコンピュータを盗み出して鍵をかけるかわりに、デジタル的にそれを行うのです。

ランサムウェアの感染を阻止するための戦略には、マルウェアを検出するためにすべてのファイルとネットワークトラフィックをスキャンする、DNSクエリをフィルタリングする、攻撃を防ぐためにブラウザの分離を使用する、ユーザーに対して情報セキュリティのベストプラクティスに関する教育を実施するなどが含まれます。ランサムウェアの予防策に完全なものはありませんが、すべてのデータのバックアップを維持することで、ランサムウェアの攻撃からより迅速に事業活動を回復することができます。

ランサムウェアの仕組みとは?

典型的なランサムウェア攻撃の基本的なステップ:

  1. ランサムウェアがデバイスやネットワークに足がかりを作る。
  2. 見つけたファイルをすべて暗号化する。
  3. ファイルを復号化するための支払要求メッセージを表示する。

暗号化とは、データをスクランブルして、暗号化キーを持つ当事者以外は読むことができなくするプロセスであり、暗号化キーは暗号化を元に戻すために使うことができます。暗号化の解除は復号化と呼ばれています。

暗号化は常に合法的な目的で使用され、インターネット上のセキュリティとプライバシーを実現する重要な要素となっています。しかし、ランサムウェアグループは悪意を持って暗号化を使用し、ファイルの正当な所有者を含め、誰も暗号化されたファイルを開いて使用することができないようにします。

チャックがアリスのノートパソコンを盗む代わりに、アリスのファイルをすべて彼女が読めない言語に翻訳してしまった場合を想像してください。これはランサムウェアが行う暗号化に似ています。それでもアリスはファイルにアクセスすることはできますが、読むことも使うこともできません。本質的には、彼女が翻訳する方法を見つけるまで、ファイルは失われたことになります。

しかし、言語の翻訳とは異なり、暗号鍵を使用しない限りデータの復号はほぼ不可能です。攻撃者側がその鍵を握っているため、支払いを要求するのに足りる力を手に入にすることができるのです。

身代金要求の共通点

通常、身代金の要求には期限があります。指定された期限までに支払わなければ、ファイルは永久に暗号化されたままになります。時間が経つにつれて価格が吊り上げられることもあります。

ランサムウェアグループは、被害者の支払いから彼らを追跡することを困難にしようとしています。このため、これらのグループは多くの場合、暗号通貨など、法執行機関が追跡しにくい方法での支払いを要求します。

身代金が支払われると、攻撃者はリモートでファイルを復号化するか、被害者に復号化キーを送付します。ほとんどの場合、身代金が支払われると、攻撃者は暗号化されたデータの復号化、またはキーの提供を行います。攻撃者にとっては、データのロックを解除するという約束を守ることが利益となります。このステップを踏まなければ、今後のランサムウェアの被害者は、身代金を支払っても何の成果も得られないと知り身代金を支払うことが無くなり、攻撃者は儲けることができなくなります。

ランサムウェアの主な種類とは?

  • 「Crypto」または暗号化ランサムウェア:これは最も一般的なタイプです。前述のように機能します。
  • ロッカーランサムウェア:このタイプのランサムウェアは、データを暗号化する代わりに、単純にデバイスからユーザーをロックアウト(締め出す)します。
  • ドックスウェア:ドックスウェアは、機密性の高い個人データをコピーし、被害者が料金を支払わない限り、そのデータを公開すると脅します。通常、ドックスウェアはデータを暗号化しません。

マルウェアの関連形態として、「スケアウェア」があります。スケアウェアは、ユーザーに対して、デバイスがマルウェアに感染していると主張するメッセージを表示し、駆除するための支払いを要求します。スケアウェアは、デバイスにインストールされると、持続的に動作し、駆除が困難となる場合があります。被害者のコンピュータをロックすることはありますが、通常、ランサムウェアのように身代金として要求するためにファイルやデータを保持することはありません。

ランサムウェアがデバイスやネットワークに侵入する仕組みとは?

攻撃者は、ランサムウェアを拡散するために複数の手法を用いますが、多くの場合「トロイの木馬」と呼ばれるタイプのマルウェアを使用します。「トロイの木馬」とは、他の何かに偽装(ちょうど神話でギリシャ軍がトロイの木馬に変装していたように)した悪意のあるファイルです。トロイの木馬が機能するためには、ユーザーがトロイの木馬を実行する必要がありますが、ランサムウェアグループは、さまざまな方法でユーザーを騙して実行させます。

  • ソーシャルエンジニアリング悪意のあるファイルは、無害な電子メールの添付ファイルに偽装されることが多く、ランサムウェアグループは、受信者が悪意のある添付ファイルを開く、またはダウンロードしなければならないと思わせるような内容の標的型メールを送信します。
  • ドライブ・バイ・ダウンロード ドライブ・バイ・ダウンロードとは、ウェブページを開くと自動的にファイルがダウンロードされてしまうことです。ドライブバイダウンロードは、感染したWebサイトや攻撃者が管理するWebサイトで行われます。
  • ユーザーがダウンロード、インストールする一見正当なアプリケーションを侵害する。攻撃者は、ユーザーが信頼するアプリケーションを侵害し、そのアプリケーションを開くとマルウェアもインストールされるようにすることがあります。
  • 実際に悪意のある偽のアプリケーションを作成する。時には、攻撃者はマルウェアをマルウェア対策ソフトウェアに偽装することさえあります。

また攻撃者は、脆弱性を利用して、ユーザーが何もしなくてもネットワーク全体に(さらには複数のネットワークに)拡散するワームを作成することでも知られています。2017年にアメリカ国家安全保障局が開発した脆弱性悪用ツールが一般に流出した後、ワーム型ランサムウェア(WannaCry)はこの脆弱性悪用ツールを利用して、20万台以上のコンピュータにほぼ同時に感染させました。

どのような方法であれ、悪意のあるペイロードとも呼ばれる悪意のあるファイルをデバイスやネットワークに取り込むことが目的です。実行されると、悪意のあるペイロードは、感染したシステム上のファイルを暗号化します。

その前に、攻撃者のコマンド&コントロール(C&C)サーバーと通信し、指示を受けることもあります。攻撃者は、ファイルを暗号化するコマンドを送信するタイミングを図ることがあり、この場合、ランサムウェアは、数日、数週間、あるいは数ヶ月の間デバイスやネットワーク上で活動せずに、検出されないまま潜伏することができます。

ランサムウェア攻撃の被害額

あるレポートでは、ランサムウェアの被害者が支払った損害の平均は30万ドル超であると報告しています。また、別のレポートでは、身代金の損害額に加えてビジネスの損失などを考慮したランサムウェア攻撃の総損害額の平均は、200万ドルに及ぶとしています。

ある情報筋によると、2020年における過去12ヶ月間のランサムウェアによる経済的被害は10億ドル以上と推定されていますが、サービスの損失や公表せずに身代金を支払った可能性のある被害者を考慮すると、実際の被害額はさらに大きいものとみられています。

ランサムウェア攻撃を行うことには、犯罪者にとって多大な金銭的インセンティブがあるため、ランサムウェアは今後も重要なセキュリティ問題として残り続けるでしょう。

身代金を支払った組織のうち、95%が実際にデータを取り戻すことができたと推定されます。しかし、身代金の支払いには賛否両論があります。身代金を支払うことは、犯罪者に金銭を提供することであり、犯罪組織のさらなる資金源となります。

ランサムウェアの駆除

場合によっては、身代金を支払わずにデバイスからランサムウェアを駆除することができるかもしれません。被害者は次の手順を実行できます:

  1. 感染したマシンをすべてのネットワークから切り離し、隔離する。
  2. マルウェア対策ソフトを使用して悪意のあるファイルをスキャンし、削除する。
  3. バックアップからファイルを復元するか、復号化ツールを使ってファイルを復号化する。

しかし、特にネットワークやデータセンター全体が感染していて、感染したデバイスを隔離すること自体が手遅である場合など、多くの場合これらの手順を実際に実行することは困難です。ランサムウェアの多くの種類は持続性を持ち、自己複製を行うなどして、駆除に対する対抗力を持っています。また、現在の多くのランサムウェアグループは高度な暗号化方式を採用しており、鍵が無い状態での復号化はほぼ不可能です。

ランサムウェアを防ぐ

ランサムウェアの駆除は非常に困難であるため、より良い方法は、そもそもランサムウェアを感染させないことです。以下はそのために使える対策の一部です:

  • マルウェア対策ソフトは、すべてのファイルをスキャンして、悪意のあるファイルやランサムウェアが含まれていないことを確認できます(すべてのランサムウェアを検出できるわけではありません)。
  • DNSフィルタリングは、ユーザーが安全でないサイトを読み込むことを防ぎ、悪意のあるペイロードが攻撃者のC&Cサーバーと通信することを防ぐことができます。
  • ブラウザの分離は、ドライブバイダウンロードを含む、いくつかの可能性のある攻撃ベクトルを閉じることができます。
  • メールセキュリティフィルターは、疑わしいメールや添付ファイルにフラグを立てることができます。
  • ITチームは、ユーザーが誤ってマルウェアをインストールすることを防ぐために、デバイスにインストールできるアプリケーションの種類を制限することができます。
  • セキュリティチームは、ユーザーが疑わしい電子メールを識別し、信頼できないリンクをクリックしたり、安全でないサイトを読み込むことを避けることや、安全で信頼できるアプリケーションのみをインストールするように教育することができます。

これらの方法を用いても、あらゆる脅威を100%防ぐことができないのと同様に、ランサムウェアを100%防ぐことはできません。

企業が取るべき最も重要度の高い措置は、データをバックアップすることであり、これによって万が一感染した場合でも、身代金を支払う代わりに、バックアップに切り替えることができます。

ランサムウェアの有名な攻撃とは?

  • CryptoLocker(2013):2013年9月から2014年5月にかけてトロイの木馬を使ったランサムウェア攻撃が行われ、数十万台のシステムが感染の被害に遭いました。CryptoLockerは、主に悪意のある電子メールの添付ファイルを通じて拡散しました。攻撃者は攻撃が停止されるまでの間、約300万ドルを稼いだと推定されています。
  • WannaCry(2017): WannaCryは、EternalBlueという脆弱性悪用ツールを利用してコンピュータからコンピュータに拡散するランサムウェアワームで、もともとこの悪用ツールはNSAによって開発されたものでした。WannaCryは、セキュリティ研究者がマルウェアを無効化させる方法を発見するまで、2017年5月12日時点で150カ国で20万台以上のコンピュータに感染しました。米国および英国は後に、この攻撃が北朝鮮から発信されたものであると断定しました。
  • NotPetya(2017):NotPetyaは、Petyaと呼ばれるマルウェアの初期の亜種でした。NotPetyaは、ヨーロッパとアメリカ全土の組織に感染しましたが、特にロシアとウクライナで感染が拡大しました。
  • Ryuk(2018):ランサムウェア「Ryuk」は、主に大企業をターゲットに使用されています。その運営者は、被害者に高額の身代金を要求します。FBIは、Ryukの背後にいる攻撃者が2018年と2019年に身代金の支払いで6100万ドル以上を稼いだと推定しています。Ryukは2021年現在も使用されています。
  • コロニアルパイプライン攻撃(2021年):2021年5月、米国最大の燃料パイプラインがランサムウェア攻撃により停止されました。FBIは、DarkSide と呼ばれるランサムウェアグループがこの攻撃の背後にいたと述べています

ランサムDDoS攻撃とは?

ランサムウェア攻撃と同様に、身代金要求型DDoS攻撃は、本質的に恐喝行為です。攻撃者は、支払いを行わないとWebサイトやネットワークに対してDDoS攻撃を仕掛けると脅します。場合によっては、攻撃者が最初にDDoS攻撃を開始してから支払いを要求することもあります。身代金要求型DDoS攻撃は、DDoS軽減プロバイダー(Cloudflare など)で阻止することができます。

身代金要求型DDoSの詳細についてはこちらをご覧ください。

Cloudflareはランサムウェアの攻撃を防ぐのに役立つか?

Cloudflareの製品は、ランサムウェアへの感染につながりかねない脅威ベクトルを封じ込めます。CloudflareのDNSフィルタリングは、安全でないWebサイトをブロックします。Cloudflareのブラウザの分離は、ドライブバイダウンロードやその他のブラウザベースの攻撃を阻止します。Zero Trustアーキテクチャは、ネットワーク内におけるランサムウェア拡散を阻止するのに役立ちます。