サイバー攻撃の中でも、特に被害が大きく警戒されている脅威がランサムウェア(身代金要求型マルウェア)です。
ランサムウェアには多くの種類があり、さらにそこから派生型が生まれ、その進化は止まるところを知りません。
本記事では、ランサムウェアの種類や特徴、引き起こされる被害を詳細に解説します。
ランサムウェアは、コンピューターウイルスやワームなどと同じく、マルウェア(悪意を持ったソフトウェア)の一つです。
メールの添付ファイルやリンク、Webサイトなどから感染し、デバイスやユーザーに害をなします。
ただし、ランサムウェアには、これまでのマルウェアとは異なる特徴が2つあります。
一つ目の特徴は、ランサムウェアの目的が身代金の要求だということです。
ランサムウェアの攻撃は、単にユーザーを脅かしたり、データを破壊したりするためのものではありません。
ランサムウェアはユーザーのデータを暗号化して解読不能にしたり、システムへのアクセスをロックしたりして、解除する代わりに金銭の支払いを要求してきます。
身代金の支払いには匿名性の高い暗号通貨が使われることが多く、追跡を難しくしています。
従来のマルウェアは無差別にばらまかれるものが主流でしたが、近年のランサムウェアは高額な身代金を得るために、企業や団体などを狙う標的型攻撃が増えています。
攻撃者はターゲットのセキュリティシステムを詳細に分析し、脆弱性を突いて攻撃を仕掛けてくるため防ぐのが難しく、非常に厄介です。
ランサムウェアに感染すると、どのような被害が引き起こされるのでしょうか。
ランサムウェア被害の主要なものを紹介します。
ランサムウェア攻撃の被害としてよく知られているのが、ファイルや文書が暗号化され、使用不能になることです。
ランサムウェアによって暗号化されたデータを復旧するには、攻撃者が持つ復号キーが必要となります。
デバイスやシステムがロックされ、アクセス不能になるのもランサムウェア被害のひとつです。
中には、コンピュータ全体をロックし、オペレーティングシステムの起動を阻止するものもあります。
ランサムウェアの攻撃者は、データ復旧やシステムのロック解除と引き換えに身代金の支払いを求めてきます。
例えば、パソコンの画面に「ファイルが暗号化されました」という警告と同時に、身代金を要求する脅迫文と支払い方法が表示されるといった形です。
しかし、支払いをしてもデータが戻る保証はありません。また、身代金を支払うと悪意ある攻撃者の新たな活動資金となるため、支払いしないことが推奨されています。
最近のランサムウェアは、単にデータを暗号化するだけでなく、それを窃取し、公開すると脅すケースもあります(二重脅迫)。
顧客の個人情報や機密情報が含まれたデータを公開されれば、企業は信頼を失墜させてしまうことになりかねません。
二重脅迫に加え、最近では被害者へのDoS攻撃をほのめかす、顧客や取引先への連絡を行うなど、何重もの脅迫が行われるケースも出てきています。
多重脅迫により、企業は1回のランサムウェア攻撃で甚大なダメージを被る結果となってしまいます。
ランサムウェアと一口に言っても、実際にはさまざまな種類のものが存在します。
さらに、それらは進化を続け、次々と新たな種類を生み出しているのです。
これまでに確認された代表的なランサムウェアの種類や攻撃の手口・特徴を紹介します。
発生時期: 2014年頃 Emotetは主にスパムメールを通じて拡散し、メールに添付されたドキュメントを開くことで感染します。
すでに感染しているユーザーからメール情報を読み取り、実在する送信者を偽装して送信されるため、ユーザーがスパムメールであることに気づきにくくなっています。
Emotetにはドロッパーとしての役割もあり、他のランサムウェアやマルウェアの配信に利用されることも多くあります。
高度な回避技術を持ち、検出と除去が困難であるため、セキュリティ専門家の間で特に警戒されています。
発生時期: 2013年 CryptoLockerは、トロイの木馬型ランサムウェアの一つで、主に実在する企業を装った偽のメールの添付ファイルを通じて感染します。
非常に複雑なアルゴリズムを用いてユーザーのファイルを暗号化し、対応する秘密鍵でしか解読できない状態にしてしまうため、一度暗号化されたデータはほぼ解読不可能な状態となってしまうのが特徴です。
発生時期: 2015年頃 Shade(別名Troldesh)は、Windowsをターゲットにしたランサムウェアです。
スパムメールに仕込まれたJavaScriptを実行するとローダーがダウンロードされ、ランサムウェアがインストールされます。
感染するとデスクトップの壁紙を変更して知らせたり、脅迫内容を記したファイルを出現させたりします。
発生時期: 2016年初頭 PetyaもWindowsを標的としたランサムウェアです。
メールの添付ファイルやリンクを通じて拡散し、MFT(マスターファイルテーブル)を暗号化することでシステム全体を使用不可にしてしまいます。
後に確認されたシステムロック型ランサムウェアで、MFTではなくハードディスクを暗号化してしまうものは「NotPetya」と呼ばれています。
発生時期: 2016年初頭 Lockyは、メールの添付ファイルを開かせることで感染させるランサムウェアです。
実行スクリプトはドキュメントファイル(.doc)で送られ、Wordのマクロが実行されるとランサムウェアがダウンロードされ、ファイルが暗号化されてしまいます。
Lockyは変異能力が高く、様々なバージョンが出現しています。
発生時期: 2016年 Jigsawは、暗号化したファイルを時間経過と共に削除していくことで知られるランサムウェアです。
身代金を支払うまで次々とファイルが消えていくさまが、被害者の恐怖を煽ります。
発生時期: 2017年5月 WannaCryは、Windowsの脆弱性を悪用して世界中で大規模な被害を引き起こしたランサムウェアです。
感染すると、ファイルを暗号化し、ビットコインでの身代金を要求します。
非常に感染力が強く、短期間で世界150カ国以上に拡散しました。
発生時期: 2017年頃 GoldenEyeは、Petyaの亜種のひとつです。
Petyaと同じくPCの起動領域を暗号化し、起動不可にしてしまいます。
GoldenEyeは、WannaCryでも悪用されたMicrosoft製品の脆弱性を狙って拡散するため、Petyaよりも感染力が高くなっているのが特徴です。
発生時期: 2017年10月 Bad Rabbitも、Petyaから派生したといわれているランサムウェアで、Webサイトから感染するのが特徴です。
改ざんされたサイトからダウンロードした偽のAdobe Flashアップデートを通じて感染し、ファイルを暗号化します。
特に東欧を中心とした地域で被害が報告されています。
発生時期: 2018年 Ryukは、主に大企業や公共機関を狙うランサムウェアです。
セキュリティ警告をすり抜けながらネットワークを横移動し、感染を広げる能力を持ちます。
特定のターゲットに焦点を当て、高額な身代金を要求することでも知られています。
発生時期: 2018年初頭 GandCrabは、多くのバージョンが存在するランサムウェアです。
ボットネットを利用し、被害者がクリックしたくなるようなキャンペーンメールを通じて配布されます。
GandCrabはRaaS(Ransomware as a Service:サービスとしてのランサムウェア)の形式を取っており、自身でマルウェア開発をしないハッカーにも利用されました。
ランサムウェアは、亜種や派生型も含め非常に多くの種類が存在し、攻撃方法や被害も異なります。
日々進化するランサムウェアにどう対抗していくか、頭を抱えている方も多いのではないでしょうか。
ただ、どの種類にも共通して言えるのは、予防が最も重要であるということです。
ランサムウェア感染予防の基本は、まず「システムに侵入させない」こと。
すなわち、侵入口として狙われやすい箇所を重点的に対策するということになります。
ランサムウェアに感染した場合、データへアクセスできなくなり業務の継続が困難になります。
また、攻撃者が握っている解除キーなしにデータを復号することはほぼ不可能と言っても過言ではありません。
そこで重要となるのが、データのバックアップです。
ランサムウェアによるデータ暗号化やシステムロックの被害を受けても、バックアップから復旧できれば速やかに業務を再開することができます。
ランサムウェア被害に遭ってもバックアップデータには感染しないよう、バックアップは安全な場所に保管するのが鉄則です。
ランサムウェアは次々と新しい種類が生まれているため、常に最新の情報にアンテナを張り、対策をアップデートしなければなりません。
しかし、限られたリソースで最新のランサムウェア対策を行うのは難しいとお考えの企業様も多いのではないでしょうか。
そのような場合は、セキュリティ対策をアウトソーシングするという選択肢もあります。
専門家によるセキュリティ診断を受ければ自社に必要なソリューションがわかり、構築・運用・保守まで任せることができるため、従業員への負担は最小限で最新のセキュリティを導入することも可能です。
アウトソーシングについては次の記事でも紹介しておりますので、あわせてお読みください。
