トレンド解説 2023/06/22

ランサムウェアとは？必要な対策や感染経路・被害について詳しく解説

ICT技術の進化により、私たちの生活は非常に便利になりました。しかし、同時に私たちや企業が持つデジタルな情報の価値も高まっており、それによってサイバー攻撃の標的にされる可能性が増しています。サイバー攻撃の手法もますます多様化が進んでおり、特に注意が必要なもののひとつが「ランサムウェア」です。

この記事では、ランサムウェアの概要、手口や種類から、被害の例、対策方法までを解説します。

ランサムウェアとは

ランサムウェアは、感染先のファイルを暗号化したり、コンピューターをロックしたりすることで利用できない状態とし、元に戻すために「身代金」を要求するマルウェアです。

ICT技術の進歩により、現代では重要な情報もデータ化してサーバーやパソコン、スマートフォンなどに保存するのが一般的になりました。

多くの人にとって、保存されているデータの重要性は高く、それらが利用できない状態となると生活や業務に多大な影響を及ぼします。このような状況を悪用するのがランサムウェアであり、データを「人質」のようにして金銭を要求してきます。

ランサムウェアによる被害は非常に深刻であり、情報処理推進機構（IPA）が毎年公表する「情報セキュリティ10大脅威」においても、2021年～2023年の3年連続で、組織部門1位として挙げられるほどとなっています。

ランサムウェアの手口

世界ではじめてランサムウェアが確認されたのは、1989年です。その後もランサムウェアは進化を続け、2023年現在でももっとも危険なマルウェアのひとつとして存在しています。ランサムウェアを用いた攻撃の手口には近年変化が見られるため、従来型の手口と併せて簡単に紹介します。

従来のランサムウェア

世界初のランサムウェアである「AIDSTrojan」は、主に外部媒体を感染源としていました。しかしインターネットの普及以後、誰もがEメールを気軽に利用できるようになったことから、メールを経由した感染が急激に増加していきます。

メールを起点とするランサムウェアは2010年頃に広まり、主に実行ファイル（.exeなど）の形でメールに添付して拡散されました。その後、2017年にはOSの脆弱性を悪用する「WannaCry」が世界規模で流行し、2018年には普段やり取りを行っている取引先などを騙って添付ファイルを開かせる「標的型攻撃」も、ランサムウェア攻撃の手法のひとつとして猛威を振るいました。

近年のランサムウェア

従来のランサムウェアのほとんどはメールが感染源であったため、メールを中心とするセキュリティ対策で対応できていました。しかし、近年では企業や組織のネットワークへの不正アクセスを起点とするランサムウェアも登場してきています。

近年のランサムウェアは主に次の4つのフェーズから成り立っています。

初期侵入：標的組織の情報を事前に調査し、脆弱な部分から侵入する
内部活動：内部ネットワークを把握し、高い権限を獲得する
データの持ち出し：公開し脅迫するためのデータを先に持ち出す
ランサムウェア実行：セキュリティを無効化し、ランサムウェアを展開する

不特定多数が標的だった従来の攻撃と異なり、近年のランサムウェアは標的を定め、しっかりと事前調査を行った上で攻撃を行います。メールを起点とするとは限らないため、統合的なセキュリティ対策が必要です。

二重恐喝脅迫型ランサムウェア

近年のランサムウェアは「二重恐喝脅迫型ランサムウェア」とも呼ばれています。従来はコンピューターに保存されたデータを暗号化などして身代金を要求するだけでしたが、加えて「保存されているデータを公開する」と二重に恐喝・脅迫するのが近年の手法の特徴です。

これは攻撃者がより確実かつ多くの金銭を得るための手段であり、一度目の脅迫に対して被害者側が要求を飲まなかった場合でも、情報漏えいの可能性を示唆することで要求を飲ませようとしてきます。

例えば、ランサムウェアに感染してデータが暗号化されたコンピューターは使えなくなりますが、データの復旧を諦めて初期化すれば、再利用することはできます。しかし、データを外部に公開されるとなると、被害者側では対処ができません。特に多くの個人情報や機密情報を保持していた場合は、情報漏えいによるインパクトは非常に大きなものとなってしまいます。

このように、ランサムウェアによる攻撃も巧妙化が進んでいるため、十分な対策が必要です。

ランサムウェアによる犯行の目的

身代金を要求することからも明らかですが、金銭の奪取が攻撃者の最大の目的です。従来型のランサムウェアの場合は愉快犯という面も見られましたが、近年では標的を特定の企業・個人に定めて攻撃を行っていることから、より効率的に金銭を奪取しようとしていると考えられます。

ランサムウェアの被害が増加している背景には、一定数の被害者が身代金を支払ってしまっていることが要因としてあります。ランサムウェアによるサイバー攻撃が、ビジネスとして成立してしまっているのです。

加えて、ランサムウェアをサービスとして提供する「RaaS（Ransomware as a Service）」まで登場し、専門的な知識・技術を持たない人でも簡単にランサムウェアによるサイバー攻撃ができるような状況になっています。RaaSはランサムウェアの開発と拡散を分業するモデルが一般的であり、開発者側は標的企業などを攻撃する以外にも、利益を得る手段が確立されはじめています。

また金銭目的以外では、特定の企業や組織のビジネスの妨害・利益損失などを目的としていることも考えられるでしょう。

ランサムウェアによって企業が受ける被害

攻撃を受けた企業の被害は、甚大なものがあります。代表的な被害内容としては次のようなものが挙げられます。

業務、サービスの停止
個人情報、機密情報の漏えい
企業イメージの低下
取引先、顧客からの信用の喪失
上記に伴う金銭的被害

パソコンやサーバーなど、業務で利用するさまざまなコンピューターが影響を受け、業務利用するデータが利用できなくなることから、業務やサービスが停止する可能性があります。また、データを盗み出され情報漏えいにつながる可能性もあるでしょう。

これらのセキュリティインシデントが発生すると、企業イメージの低下につながります。さらに、取引先や顧客からの信用も喪失し、社会的信用の失墜も危惧されます。ランサムウェアの身代金を支払うにしろ、支払わないにしろ、企業にもたらされる金銭的な被害は甚大であるといえます。

警察庁に報告されたランサムウェアの被害状況をまとめた情報では、被害に遭った企業・団体等の内46%が1,000万円以上の損害を被っています。これは、調査・復旧にかかった金額も含まれているものです。さらに、被害に遭った企業の約27%は、調査・復旧に1か月以上かかったという調査結果も出ています。

このように、ランサムウェアに感染すると企業活動に多大な影響をもたらし、ビジネスの存続を脅かす可能性すら考えられます。

ランサムウェアの種別

攻撃手法のなかで特に危険視されているのは「二重恐喝脅迫型」であり、多くがデータを暗号化するランサムウェアを用いていますが、ランサムウェアには、それ以外にもさまざまな種別が存在します。ここでは、さまざまなランサムウェアの種類について見ていきます。

暗号化型ランサムウェア

代表的なランサムウェア種別である暗号化型ランサムウェアは、サーバーやパソコンに保存されているデータを暗号化することで利用できなくし、身代金を要求するものです。従来は暗号化と復号化を同じ鍵で行なう「共通鍵暗号方式」が利用されていましたが、近年ではより強固な「ハイブリッド暗号化」を利用するケースが増えています。

共通鍵暗号方式は仮にデータが暗号化されたとしても、コンピューター内に共通鍵が残っているため、専門家によって復旧が可能でした。しかし、ハイブリッド暗号化では「公開鍵暗号方式」と組み合わせられており、より強固な暗号化が行われ復旧が非常に困難になっています。

非暗号化型（画面ロック型）ランサムウェア

2010年ごろまで頻繁に利用されていたランサムウェアで、データを暗号化するのではなく、画面をロックすることでコンピューターを利用できなくするものです。どのような操作をしても閉じることのできないウィンドウを表示し続け、コンピューターを利用できなくする、などの手法が用いられました。

画面ロック型のランサムウェアは、単純な仕組みであるため比較的駆除しやすいとされています。ただし、仕組みが単純である分、技術的な知識が乏しくとも比較的容易に扱えてしまうといった特徴があります。

ハイブリッド型ランサムウェア

前述の暗号化方式と画面ロック型を組み合わせたランサムウェアです。データの暗号化と画面のロックが同時に行われるため、仮に画面ロックを解除できたとしてもコンピューターは利用できるようになりません。

より強力なランサムウェアとして、攻撃者が金銭を獲得しやすいものとなっています。

破壊型（ワイパー型）ランサムウェア

ランサムウェアの中でも特殊なのが破壊型（ワイパー型）です。ランサムウェアの主な目的は金銭の奪取ですが、破壊型はデータの破壊を目的としています。厳密には、データの破壊を目的とする破壊型はランサムウェアとは異なるものといえます。しかし、ランサムウェアのように振る舞う破壊型も存在するため、分類が分かりづらくなっています。

通常のランサムウェアは金銭を得るために、身代金を受け取れば暗号化したデータを復号化し復旧できるように考えられていますが、破壊型でははじめから復旧することを考慮していません。感染によりデータが利用できなくなるという点は同じですが、目的が異なっており、データの復旧はほとんど期待できないという点は覚えておきましょう。

代表的なランサムウェアの名称

ランサムウェアのなかでも特に有名な16種類を簡単に紹介します。それぞれの特徴や感染源などを理解し、知識を深めておくことで対策につなげましょう。

Locky

Lockyは暗号化型のランサムウェアで、メールの添付ファイルが主な感染源です。メールは一般的なスパムメールとは異なり、偽装されているため気づかずに開いてしまいやすくなっています。暗号化被害に遭ったファイルは160種類以上におよび、特にデザイナーやプログラマー、エンジニアなどがよく使用するファイルが攻撃されました。

Petya

Petyaは個別のファイルを暗号化するのではなく、ハードディスク全体を暗号化するランサムウェアです。こちらもメールが感染源となっており、企業に対する求人申し込みのメールを偽装し、メール内に含まれるオンラインストレージへのリンクを経由して感染する仕組みとなっています。後に紹介する「GoldenEye」のもとになったランサムウェアとしても有名です。

NotPetya

NotPetyaはPetyaの変種であり、ファイル単位でなくハードディスク全体を暗号化する手法は同じですが、いくつかの点で異なります。例えば、PetyaはハードディスクのMFT（Master File Table）を暗号化することでアクセスできないようにしますが、NotPetyaはハードディスクそのものをまるごと暗号化します。

GoldenEye

GoldenEyeはPetyaをもとに作られたランサムウェアであり、「WannaCry」と同じくらい世界規模の被害をもたらしたことで知られています。ロシアの石油関連企業や原子力発電所、銀行など2,000件以上が標的とされました。感染後はローカルネットワーク内で拡散先のIPアドレスリストを作成し、さらなる感染拡大を試みる動きも確認されています。

WannaCry

ランサムウェアの危険性を世界に知らしめたといっても過言ではないほど、世界規模で猛威を振るったランサムウェアです。2017年中に150カ国、23万台に及ぶコンピューターが被害を受けたとされています。Windowsの脆弱性を悪用して感染するように作られており、仮想通貨を用いて支払いを要求する点が特徴です。

Bad Rabbit

Bad RabbitはAdobe Flashのインストーラーを装い、Webサイトを感染経路として拡散されたランサムウェアです。「ドライブバイダウンロード」と呼ばれる攻撃手法が採用されており、Bad RabbitはWebサイトにアクセスするだけでは感染せず、ユーザーがインストーラーを実行する必要があります。

Ryuk

Ryukはデータを暗号化するだけでなく、Windowsのシステム復元オプションを無効化する点が特徴のランサムウェアです。ネットワークドライブ上のファイルも対象となっており、バックアップファイルなども暗号化されてしまいます。2018年に確認され、主にアメリカの企業を中心に被害が報告されました。

Troldesh

Troldeshはメールが感染源であり、スパムメールのリンクや添付ファイルによって感染する仕組みのランサムウェアです。はじめて確認されたのが2015年と古く、サイバー犯罪者が被害者に直接メールでコンタクトを取り、やり取りを行ったことが特徴としてあげられます。

CryptoLocker

CryptoLockerはハイブリッド型ランサムウェアの代表格です。メールを感染源とし、感染することでデータの暗号化だけでなく、コンピューターへのアクセスもできなくなる仕組みとなっています。古くは2013年に確認されており、英語圏を中心に約34,000台のコンピューターが感染、被害総額は2,700万ドルを超えたと報告されています。2014年にはCryptoLockerを無効化するツールが無料でリリースされました。

Jigsaw

Jigsawはホラー映画の「SAW」に登場する腹話術人形の画像が使用されていたことから、その名前がつけられました。感染すると身代金を支払うまで1時間ごとに徐々にファイルが削除されていく（そして削除される数は指数関数的に増えていく）点が特徴です。また、ホラー映画の画像を組み合わせることでユーザーの恐怖感を煽るように作られており、身代金の支払いに対する圧力をかける目的があったとされています。

LockBit

LockBitは暗号型ランサムウェアの一種です。LockBitはそれ自体がRaaSとして機能し、自動的に拡散する性質を持っています。LockBitによる攻撃がはじめて確認されたのは2019年であり、従来のスパム的なランサムウェアとは異なり、近代的な標的型のランサムウェアです。また、二重恐喝脅迫型の特徴も持っています。

Conti

ContiはRaaSとして機能する二重恐喝脅迫型のランサムウェアです。データを暗号化するだけでなく、Contiの管理するWebサイト上でデータの一部が公開されており、身代金を支払わないとすべてのデータを公開するという脅迫を伴うことが特徴です。

Qlocker

Qlockerは世界中で利用されているQNAP社のNASの脆弱性を利用したランサムウェアです。QlockerはNAS上のデータを暗号化するだけでなく、バックアップからデータを復元するためのスナップショットも削除します。2021年に被害が報告され、2022年にはQlockerの新バージョンであるQlocker2も報告されています。

GandCrab

GandCrabは、成人向けコンテンツの視聴履歴を公開するとユーザーを脅迫するランサムウェアです。コンピューターのカメラを乗っ取ってユーザーを撮影したというメッセージを表示し、公開されたくなければ身代金を支払うように要求します。2018年に攻撃が確認され、以降もさまざまな亜種が確認されていますが、現在では個人情報などを取り戻す複合ツールが開発され、被害者向けに公開されています。

DarkSide

DarkSideは同名のサイバー犯罪集団が利用したランサムウェアであり、二重恐喝脅迫型のランサムウェアです。暗号化・情報暴露の二重脅迫だけでなく、DDoS攻撃などによる脅迫も併せて行っているため、「四重脅迫」と呼ばれる手口も展開しています。DarkSideはフィッシングサイトやリモートデスクトッププロトコル（RDP）の脆弱性などを利用して感染します。2021年に被害が報告された際は、アメリカの東海岸における燃料供給の約半分を担う企業が操業停止に追い込まれました。

REvil/Sodinokibi

RaaSの仕組みを利用する犯罪グループである「REvil」が使用するランサムウェアは、別名「Sodinokibi」とも呼ばれます。REvil/Sodinokibiは暗号化型のランサムウェアであり、一般的なランサムウェアと同じようにデータを暗号化して身代金を要求します。特徴的な点は、有名歌手や政治家に関連する法律家、誰もが知る大企業などを標的としている点です。主にフィッシングメールや、セキュリティの脆弱性を狙って攻撃を行っています。

企業がランサムウェア被害に遭わないための対策

ランサムウェア対策のためには、包括的なセキュリティレベルの向上が欠かせません。企業が取るべきセキュリティ対策としては、次のようなものが挙げられます。

従業員教育

システム的な対策はもちろんですが、人的な対策がそれ以上に大切です。最終的には人が判断・実行するものがほとんどであるため、従業員一人ひとりのセキュリティリテラシー向上が、ランサムウェアの被害を遠ざけます。「不審なメールを開かない」「安易に添付ファイルを実行しない」ことの徹底周知や、ランサムウェアがもたらす被害の規模、手口についての知識を深めてもらうことが重要です。

端末の監視・管理

メールを感染源とするランサムウェアは、添付ファイルなどを実行することで感染します。また、ランサムウェアだけでなくさまざまなマルウェアも、インストーラーを実行することが基本的な感染源であるため、端末の監視・管理をしっかりと行うことが重要です。例えば、管理者の許可なくソフトウェアのインストールをできないようにポリシーを設定する、などが有効といえます。

ネットワーク監視

近年のランサムウェアはメールだけでなく、さまざまな感染経路が確認されています。ネットワークを監視し、不正な通信をいち早く発見できる仕組みを導入することも、ランサムウェア対策として有効です。

アクセス制限

不正アクセスを行い、感染するタイプのランサムウェアも増加しています。そのため、ユーザー・コンピューターのアクセス制限をしっかりと行い、それぞれに付与する権限についても厳格に管理することが重要です。不正アクセスに対しては、「二段階認証」や「多要素認証」が有効であるため、これらの導入を検討すると良いでしょう。

バックアップ

コンピューター内のデータが暗号化されてしまうと、重要なデータを失う可能性があります。そのため、事前にバックアップを取得しておき、感染活動の及ばない異なる場所に保存しておきましょう。仮にランサムウェアに感染したとしても、初期化してバックアップから戻すことができれば被害を最小限に抑えられます。

OS・アプリケーションのアップデート

脆弱性を狙ったランサムウェアも存在するため、コンピューターのOSや利用するアプリは常に最新に保つことが重要です。これらは定期的にアップデートされていますが、脆弱性に対するセキュリティアップデートである場合が多くなっています。OS・アプリを古いバージョンで使い続けることは、脆弱性を多く残してしまうことになる点は覚えておきましょう。