ランサムウェア

ランサムウェアとは

ランサムウェア（ransomware）とは、マルウェアの一種で、感染したコンピュータの利用を制限し、その制限を解除するために身代金（ransom）を要求するものです。これは、データの暗号化やシステムの妨害を通じて行われ、近年、その被害は世界的に増加しています。

ランサムウェアの動作

ランサムウェアは、トロイの木馬として侵入することが多く、ダウンロードされたファイルやネットワークの脆弱性を悪用してシステムに侵入します。侵入後、ペイロードと呼ばれる本体プログラムを実行し、以下のような動作を行います。

ファイルの暗号化: ハードディスクドライブ内の個人ファイルを暗号化し、利用者がアクセスできないようにします。
システムの使用不能化: システムの設定を変更したり、マスターブートレコードを書き換えてOSの起動を妨害したりします。
スケアウェア: 虚偽の警告メッセージを表示し、システムが違法行為に使用されたなどと主張し、利用者に金銭を支払うよう促します。

これらの動作を通じて、ランサムウェアは利用者に金銭を支払わせようとします。支払い方法には、銀行振込、ビットコイン、オンライン決済などが用いられます。

ランサムウェアの歴史

初期のランサムウェア

ランサムウェアの歴史は古く、1989年には「AIDS Trojan」というトロイの木馬が登場しました。このトロイの木馬は、ファイルの暗号化を行い、身代金を要求するものでした。その後、公開鍵[[暗号]]技術を用いたより高度なランサムウェアが登場し、「暗号化ウイルス恐喝」という概念が生まれました。

暗号化ランサムウェアの進化

2000年代に入ると、RSA[[暗号]]などの高度な暗号化技術を用いたランサムウェアが増加しました。例えば、Gpcode、TROJ.RANSOM.Aなどは、より長い鍵長を用いることで、解読を困難にしました。2014年にはNASを標的とした「SynoLocker」が登場し、ターゲットの範囲を広げました。

非暗号化ランサムウェア

暗号化を行わないタイプのランサムウェアも存在します。例えば、「WinLock」は、ポルノ画像を表示してシステムをロックし、解除コードと引き換えに金銭を要求します。また、マイクロソフトのライセンス認証を模倣したランサムウェアも登場しました。

二重恐喝の登場

近年では、二重恐喝と呼ばれる手口も出現しています。これは、データを暗号化するだけでなく、情報を公開すると脅迫するものです。EU一般データ保護規則（GDPR）の制裁金を恐れる企業をターゲットに、個人情報流出に対するペナルティを利用するケースも見られます。

ランサムウェアの分業化

さらに、ランサムウェアの開発と攻撃を分業する「RaaS（Ransomware as a Service）」と呼ばれるビジネスモデルも登場しました。これにより、専門知識がない者でもランサムウェア攻撃を実行できるようになり、被害が拡大しています。

身代金支払いの合法性

日本では、ハッカー集団への身代金支払いは違法ではありません。しかし、国際的なハッカー集団に支払った事実が公表されると、企業の信用を失うリスクがあります。

被害の増加とターゲットの選別

2021年には、ランサムウェアによる被害が組織における情報セキュリティの最大の脅威となりました。当初は個人ユーザーが主な標的でしたが、近年では大企業を狙った攻撃が増加しています。しかし、日本ではバックアップの徹底や身代金の不払いにより、被害が減少傾向にあるとの調査結果もあります。

顕著なランサムウェアの例

Reveton

「警察トロイ」とも呼ばれるRevetonは、警察を装った警告を表示し、違法行為をでっち上げて罰金を要求するものでした。

CryptoLocker

2013年に登場したCryptoLockerは、強力な暗号化技術を使用し、身代金を支払わなければファイルの復号を困難にしました。

CryptoLocker.FとTorrentLocker

これらのランサムウェアは、不在通知を偽装したメールで拡散し、標的を拡大させました。

Cryptowall

Cryptowallは、広告配信ネットワークを悪用し、信頼できるソフトウェアを装って侵入しました。バージョンアップを重ねることで、検出をより困難にしています。

KRSWLocker

日本を標的とした最初のランサムウェアとして知られています。

Petya

2016年に初確認されたランサムウェアです。

KeRanger

macOSを標的とした最初のランサムウェアです。

RSA4096

暗号鍵としてRSA4096を利用したランサムウェアです。

WannaCry

2017年に世界的に蔓延し、多くの企業や機関に被害をもたらしました。

GoldenEye

2017年にウクライナを中心に世界各地に拡大しました。

REvil

RaaS形式でランサムウェアを配布するグループです。

Conti

医療機関などを標的にするランサムウェアです。

DarkSide

パイプライン会社を攻撃し、燃料供給に影響を与えたことで知られています。

緩和策

ランサムウェア対策として、以下のような対策が有効です。

セキュリティソフトの導入: 最新のセキュリティソフトを導入し、定期的に更新することが重要です。
バックアップ: 重要なデータは定期的にバックアップを取り、物理的に分離した場所に保管することが望ましいです。
不審なメールやリンクを避ける: 不審なメールの添付ファイルやリンクは開かないようにしましょう。
身代金を支払わない: 身代金を支払っても必ずしもデータが復旧するとは限りません。また、支払うことで更なる攻撃を招く可能性があります。


これらの対策を講じることで、ランサムウェアによる被害を最小限に抑えることができます。被害に遭った場合は、専門機関に相談し、適切な対応を取るようにしましょう。

参考文献

Russinovich, Mark (7 Jan 2013). “Hunting Down and Killing Ransomware (Scareware)”. Microsoft TechNet blog.
Simonite, Tom (2015年2月4日). “Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)”. MIT Technology Review.
Brad, Duncan (2015年3月2日). “Exploit Kits and CryptoWall 3.0”. The Rackspace Blog! & NewsRoom.

関連項目

フィッシング
身代金
犯罪機会論
2014年トーヴァー作戦
アダルトサイト
ワイパー (マルウェア)

外部リンク

“Ransomware on the rise”. FBI (2015年1月20日).
ランサムウェア被害防止対策 - 警察庁
ランサムウェア対策特設ページ - 情報処理推進機構
ランサムウェア対策について - 日本サイバー犯罪対策センター
* ランサムウエア対策特設サイト - JPCERTコーディネーションセンター

もう一度検索