ランサムウェアとは？

ランサムウェアは、サイバー犯罪者がデバイスやネットワークに悪意のあるソフトウェアを感染させるために使用するマルウェアの一種で、ファイルを暗号化し、大切なデータを解読不能なコードに変換します。このデータは身代金目的で保有され、サイバー犯罪者は、金銭を支払わない限り解読しません。

多くの人が、ランサムウェアはウイルスなのかと聞きます。答えはノーです。ランサムウェアとウィルスは、どちらもマルウェアの形をしていますが - ウィルスはファイルに感染するのに対し、ランサムウェアはファイルを暗号化するという異なった攻撃方法を持っています。

組織は、被害者をおびき寄せるための「おとり」を含むフィッシング メールや、ユーザーが感染したウェブサイトにアクセスし、誤ってマルウェアをダウンロードしてしまうドライブバイ ダウンロードによって、ランサムウェア攻撃の被害に遭う可能性があります。

企業ランサムウェアとは？

企業ランサムウェアとは、企業や組織に対するランサムウェアの攻撃を指します。ランサムウェアの攻撃は、サイバー犯罪者にとって最も大きな報酬が期待できることから、ほとんどが企業、法人を対象としていますが、具体的な攻撃内容はターゲットによって異なります。

サイバー犯罪者が個人ではなく企業を攻撃する傾向があるのには理由があります - これは、ランサムウェアの拡散方法とその犯罪の潜在的な価値に大きく関係しているのです。では、どのようにして拡散するのでしょうか？誰かがメールを開いたり、疑わしい URL をクリックすると、マルウェアがデバイスにダウンロードされます - 一般的に、組織が大きく、従業員の数が多いほど（つまりクリックする人の数が多いほど）、ランサムウェアが定着する機会も多くなります。しかし、大企業は攻撃のリスクが高く、また予算も大きいため、より強力なセキュリティ運用を実施している可能性があります。

また、大企業はデータの価値が高いため、ランサムウェアの攻撃を受けるリスクも高くなります。より機密性の高いデータを大量に保有している可能性が高く、混乱が生じた場合の運用コストも大きくなります。これらを念頭に置けば、これらの企業は身代金の支払いに応じ、より大きな額を支払う可能性があります。例えば、地元の花屋よりも、病院へランサムウェア攻撃をすれば、犯罪者は多額の身代金を得られる可能性が高くなります。

ランサムウェアの歴史

おおかた、ランサムウェアの歴史は 1989 年に「AIDS トロイの木馬」として知られるウイルスから始まったとされています。生物学者ジョセフ・ポップが仕組んだ攻撃によって、トロイの木馬ウイルスの入ったディスク 2 万枚が、世界保健機関のエイズ会議で配布されました。コンピューターに不正侵入した途端、パナマの私書箱宛に 189 ドルを送金するよう要求する身代金請求書が画面表示されるものでした。

80 年代以降技術は進歩し、サイバー犯罪者は、私書箱を利用して身代金を受け取る必要がなくなりました。今や身代金はビットコインで要求する時代となり、マルウェアはワームのような性質を獲得したり、感染技術を革新するなど、より危険で破壊的なものになるように適応しています。こうした巧妙化する攻撃からネットワークをより良く守るために、ランサムウェア プロテクションも適応してきています。

ランサムウェアの種類

ランサムウェアにはいくつかの種類があり - 中小企業から大企業、政府系医療機関までが攻撃の対象となっています。身代金の額も数百ドルから数百万ドルと幅広いです。

CryptoLocker ランサムウェア

CryptoLocker は 2013 年ごろに登場し、1989 年のオリジナル攻撃に続くランサムウェアの最初の例と考えられています。2010 年代に暗号通貨が導入されると、サイバー犯罪者は追跡不可能な支払い方法で身代金を要求できるようになりました。CryptoLocker は、高度な暗号化を使用し、ビットコインでの支払いを指示する身代金請求書をもった最初のランサムウェア攻撃でした。

このマルウェアの攻撃は 9 月から翌年 5 月まで続き、25 万台のデバイスに感染し、犯人は少なくとも 300 万ドルを手に入れました。CryptoLocker は、画面に表示される身代金請求書で検出することができます。

Ryuk ランサムウェア

Ryuk ランサムウェアは 2018 年に発生し、2017 年に初めて意図的に使用された、既存のトロイの木馬プログラムである Hermes をベースにしたものです。Hermes は、北朝鮮の国家レベルで企てられたサイバー犯罪グループによる攻撃で使用されましたが、現在では、このマルウェアはロシアで開発されていたという説が有力となっています。

2021 年、Ryuk を「ワーム化」した新たな亜種が検出されました。これは、プログラムが独自のバージョンを複製し、それを拡散することで、複数のデバイスを自動的に移動することができるものです。

WannaCry ランサムウェア

お使いのデバイスが WannaCry ランサムウェアに感染したかどうかは簡単にわかります - 「Oops, your important files are encrypted.」というセリフが表示されるからです。この攻撃は 2017 年に初めて使用され、1 日で 23 万台以上のコンピュータが感染しました。

それぞれの攻撃において、サイバー犯罪者はファイル解読のためにビットコインで 300 ドルを請求し、指定した時間までに支払わなければ身代金を 2 倍にするのです。また、WannaCry はワーム型のマルウェアで、ネットワークを自動で移動することができます。

Sodinokibi ランサムウェア

Sodinokibi はランサムウェアのファミリーで、Windows デバイスを標的とします。REvil としても知られる Sodinokibi ランサムウェアに感染すると、画面上に身代金請求書が表示され、ファイルをすべて解読するためにビットコインが要求されます。このマルウェアは、構成ファイルにリストされているものを除く、デバイス上のすべてを標的とします。このマルウェアは、2019 年に初めて使用されました。

Dharma ランサムウェアと Phobos ランサムウェア

Dharma ランサムウェアは、CrySiS としても知られ、中小企業を攻撃し、被害者が金銭を支払う可能性を高めるために、より少額な身代金を要求することで知られています。

このランサムウェアは 2016 年に初めて検出され、通常はリモート デスクトップ プロトコルを経由して攻撃を実行します。このマルウェアは、同様に機能する Phobos ランサムウェアの作成の基礎となりました。

Petya ランサムウェア

Petya ランサムウェアは、ファイルを暗号化することで機能します。他のマルウェアが特定の重要データを暗号化するのに対し、Petya はハード ドライブ全体を標的とし、デバイスを起動させなくすることが可能です。このランサムウェアは 2016 年に初めて使用されましたが、2017 年の GoldenEye と呼ばれる亜種でその名を知られるようになりました。

Cerber ランサムウェア

Cerber は、ソフトウェア アズ ア サービスのモデルを基にした、ランサムウェア アズ ア サービス（RaaS）の一例です。マルウェアの作成者は、Cerber の使用許可を他のサイバー犯罪者に与え、その代わりに身代金の一部を得るのです。感染すると、デバイスの画面上に Cerber の身代金請求書が表示されます。このマルウェアは、マッピングされていないネットワーク共有のファイルも暗号化できます。

Locky ランサムウェア

Locky ランサムウェアは、2016 年に初めて検出され、メール経由で拡散します。ロサンゼルスにある病院を標的に、1 万 7,000 ドルの身代金を要求したことで知られています。その後も、他の多くの医療機関に攻撃が及びました。しかし、最初の波が起きて以降、Locky を使った有名な攻撃は発生していません。

ランサムウェア ケース スタディ

ランサムウェアは、長年にわたり被害者たちから数十億ドルを引き出し、デジタル世界に大きな影響を及ぼしてきました。最も破壊的で損害の大きいランサムウェアの攻撃例をいくつか見てみましょう。

• 2013 年 9 月、Cryptolocker：Cryptolocker は、1989 年の AIDS トロイの木馬に続き出現し、初めてランサムウェアと呼ばれたマルウェアです。このランサムウェアを阻止するために、FBI とインターポールが関与しました。
• 2017 年 5 月、NHS：WannaCry による世界的な攻撃の最中、英国の国民保健サービスは、国内で最も破壊的なランサムウェアの被害に遭った一例です。システムがダウンし、診察予約はキャンセルされ、従業員は紙とペンでの対応が求められました。WannaCry 攻撃は、世界 150 か国で 20 万台のコンピューターに感染し、その被害額は 40 億ドル - NHS では 9,200 万ポンド（1 億 2,000 万ドル）にのぼりました。
• 2018 年 3 月、アトランタ市：ジョージア州の都市アトランタは、2018 年に SamSam ランサムウェアの攻撃を受けました。政府は、身代金の実コスト（約 5 万ドル）よりも、攻撃への対応（260 万ドル）に多くの費用を費やしました。
• 2019 年 5 月、ボルチモア市：ハッカーは 2019 年にボルチモア市を標的に、RobbinHood ランサムウェアを使って、市政府のコンピューターの大部分を攻撃しました。犯人は 13 ビットコイン（7 万 6,280 ドル）を要求し、4 日以内に支払わなければ身代金を引き上げ、10 日後にはすべてのデータを永久に削除すると脅しました。最終的に、市は身代金を支払うことなくシステムを復旧させました。
• 2020 年 6 月、カリフォルニア大学サンフランシスコ校：同大学は、Netwalker ランサムウェアと 1 か月間戦った末、114 万ドルを支払いました。当初の身代金は 400 万ドルでしたが、大学側が値下げ交渉を行いました。
• 2020 年 9 月、DUC：ドイツの医療機関であるデュッセルドルフ大学病院が Ryuk の攻撃を受け、必要な治療を受けられなかった患者が死亡しました。
• 2021 年 4 月、Quanta 社：近頃の Sodinokibi を使ったランサムウェア攻撃で、Macbook メーカーの Quanta 社が 5,000 万ドルの身代金を要求されました。同社が支払いを拒否したため、サイバー犯罪者は Macbook に関する情報を公開しました。

ランサムウェアの攻撃で発生するコスト

ランサムウェアの被害に遭うと - 身代金そのものだけでなく、データ プライバシー規制機関からの罰金や、顧客からの信頼度が落ち仕事を失うなど、ビジネスの財政にも悪影響を及ぼします。

サイバーセキュリティ・ベンチャーズによると、2021 年には世界のランサムウェア攻撃のコストだけで 200 億ドルと推定され、11 秒に一度は企業がマルウェアの攻撃を受けると考えられています。さらに、欧州の企業は、セキュリティ運用が不十分な場合、GDPR の追加制裁金を課されることになります。2020 年、ブリティッシュ・エアウェイズには規制機関から 2,000 万ポンド（2,600 万ドル）の罰金が科されました - ただし、当初の罰金は 1 億 8,300 万ポンド（2 億 3,900 万ドル）でした。

損失が大きければ、多くの企業は復旧に苦労します - 特に小規模な企業は尚更です。小規模企業の約 60% がデータ侵害の被害に遭い、廃業しています。2020 年、アーカンソー州にあるテレマーケティング企業 The Heritage Company が、2019 年のランサムウェアによるデータ侵害を受けて閉鎖しました。攻撃の管理コスト、復旧作業、顧客の喪失など、ランサムウェアからの復旧はビジネスに大きな打撃を与える可能性があります。

企業がランサムウェアに感染する仕組みとは？

セキュリティ対策が不十分な場合、企業はサイバー攻撃を受けやすくなります。

従業員のトレーニング不足は、企業にとって重大な脆弱性となります。従業員が不審なメールに気づく方法、ランサムウェアの検出方法、問題の報告方法を知らなければ、デバイスやネットワーク全体を感染させる危険性があります。従業員は、自分のデバイスが攻撃を受ける可能性や、Mac や Linux ランサムウェアの危険性を認識していない場合があります。この 2 つのオペレーターは、Windows よりも内蔵セキュリティが強いという評判がありますが、それでも依然としてサイバー脅威のリスクはあります。

また、サードパーティ アプリは、サイバー犯罪者がネットワークに侵入するための入口となる恐れがあります。犯罪者は、システムよりもアプリの方が簡単にアクセスできると判断し、このルートを利用してマルウェアでデバイスを感染させるかもしれないのです。

従業員によって脆弱性が生まれる可能性はありますが、安全性の高い企業では、誤ってダウンロードした悪意のあるソフトウェアから保護するためにアンチウイルス ツールが実装されています。ソフトウェアは、バグを修復し、脆弱性に対処するために定期的にアップデート（または「パッチ」）する必要があります。パッチが適用されていないソフトウェアは、防御の亀裂につながる恐れがあります。

ランサムウェア攻撃を防ぐ方法

ランサムウェアの攻撃からビジネスを保護し、標的にならないようにする効果的な方法はたくさんあります。多くのサイバー攻撃と同様に、犯罪者がネットワークにアクセスする原因は、IT の悪習慣が発端です。これには、以下が含まれます。

• 従業員のトレーニング不足
• 推測されやすい認証情報
• サードパーティ アプリへの過剰なアクセス権の付与
• 有効なファイアウォールの欠如
• アンチウイルスの未使用
• ソフトウェアのアップデートやパッチの未適用

そのため、運用面でのセキュリティが重要です。従業員のトレーニングと徹底した認証情報を両立させることです。特にリモートで作業している際に、ネットワークにアクセスする最適な方法、フィッシング メールの見つけ方、疑わしい活動の報告方法、強力なパスワードの作成方法について、従業員のトレーニングを行う必要があります。これはすべて、ビジネス継続計画にまとめる必要があります - 予防は治療に勝ると言われ、IT 災害復旧やビジネス継続のための計画を立てておくことは有効です。その他、ランサムウェアの攻撃を防ぐための重要な対策として、以下のようなものがあります。

ビジネスがランサムウェアの攻撃を受けているサイン

コンピューターがランサムウェアに侵害された時のサインは数多くありますが - 最もわかりやすいのは身代金請求書です。その他、一般的な指標には次のようなものがあります。

• スピアフィッシングやスプーフィング メールを受信すると、サイバー犯罪者に狙われているサインです
  • 気づかれにくい小規模なテスト サイバー攻撃の被害に遭うと、サイバー犯罪者が大規模な攻撃を実行する前に、システムの脆弱性を発見している可能性があります
• アンチウイルスが疑わしい活動を警告します
• 身に覚えのない不審なログイン試行が通知されます
• ネットワーク上に新たなソフトウェアがあることに気づきます
  • GMER、PC Hunter、Process Hacker などのソフトウェアを削除するプログラムは、サイバー犯罪者が Windows 10 のランサムウェア プロテクションなどを削除するためによく使用されます
  • Microsoft Process Explorer や MimiKatz などのアプリケーションは、認証情報を盗むために使用することができます。

攻撃を受けた場合に行うべきこと

ランサムウェアの攻撃を受けてしまった場合には、以下の手順を踏んでください。

1. 攻撃を報告する。サイバー攻撃を認識して、チームに警告する方法を従業員が把握しておくようにしましょう
2. 目の前の状況を把握し、マルウェアを検出する。システムに感染したマルウェアを検出し、マルウェアの削除や保護の方法を把握しましょう
3. 感染源をシャットダウンする。マルウェアの拡散リスクを軽減するため、最初に攻撃を受けたデバイスを特定し、ネットワークから切断しましょう
4. 攻撃を阻止する。ランサムウェアの拡散を防ぐため、ネットワーク上の脆弱なデバイスの接続を解除しましょう
5. データの復号化を試み、ランサムウェアを削除する。これは、セキュリティに自信のあるチームのみが行うべきであり、そうでなければ状況を悪化させる危険性があります
6. サードパーティを利用する。サードパーティの専門家が、身代金を支払う必要がないようにファイルを復元することができるかもしれません