ランサムウェアとは？仕組みと対策

ランサムウェアとは、悪意のあるソフトウェア（マルウェア）の一種で、攻撃者は被害者が身代金を支払うまで、データやコンピュータシステムを暗号化し、そのアクセスを公開したりブロックしたりすると脅迫します。多くの場合、身代金要求には期限が設けられています。被害者が期限内に支払わない場合、データは永久に失われるか、身代金が増額されます。

最近、ランサムウェアによる攻撃が頻発しています。北米や欧州の大手企業も同様にその犠牲になっています。サイバー犯罪者は、あらゆる消費者や企業を攻撃し、被害者はあらゆる業種に及んでいます。

FBIを含むいくつかの政府機関は、No More Ransom Projectと同様に、ランサムウェアのサイクルを助長しないよう、身代金の支払いを控えるよう勧告しています。さらに、身代金を支払った被害者の半数は、特にシステムからランサムウェアが駆除されなかった場合、ランサムウェア攻撃は繰り返される可能性が高いと言われています。

ランサムウェアの起源は1989年に遡り、「AIDS」ウイルスがランサムウェアの受信者から資金を強要するために利用されたのが始まりとされています。その攻撃への支払いはパナマへの郵便で行われ、その時点では復号化キーもユーザーに郵送されていました。

1996年、ランサムウェアはコロンビア大学のMoti YungとAdam Youngによって紹介された「暗号ウイルスによる強奪」として知られていました。学界で生まれたこのアイデアは、現代の暗号化ツールの進歩、強度、創造性を物語っています。YoungとYungは、1996年のIEEE Security and Privacyカンファレンスで、最初の暗号ウイルス攻撃について発表しました。そのウイルスには攻撃者の公開鍵が含まれており、被害者のファイルが暗号化されていました。その後、マルウェアは被害者に非対称暗号文を攻撃者に送信して解読してもらい、料金を支払って復号化鍵を返すよう促しました。

攻撃者は、サイバー犯罪者の匿名性を確保するために、追跡がほぼ不可能な支払いを要求することで、長年にわたって創造性を高めてきました。例えば、悪名高いモバイル型ランサムウェア「Fusob」は、被害者にドルなどの通常の通貨ではなく、Apple iTunesギフトカードでの支払いを要求します。

ランサムウェア攻撃は、ビットコインに代表される暗号通貨の成長とともに急増し始めました。暗号通貨は、暗号化技術を使用してトランザクションの検証や安全性を確保し、新しいユニットの作成を制御するデジタル通貨です。ビットコイン以外にも、イーサリアム、ライトコイン、リップルなど、攻撃者が被害者に使用を促す人気の暗号通貨が存在します。

ランサムウェアは、ほぼすべての業種の組織を攻撃しています。最も有名なウイルスの1つは、Presbyterian Memorial Hospitalへの攻撃です。この攻撃は、ランサムウェアの潜在的な被害とリスクを浮き彫りにしました。研究室、薬局、緊急治療室が被害に遭いました。

ソーシャルエンジニアリング攻撃者は、時とともに革新的になってきています。The Guardianは、新しいランサムウェアの被害者が、ファイルを復号化するために、他の2人のユーザーにリンクをインストールさせ、身代金を支払うよう求められた状況について記載しています。

主要なランサムウェア攻撃について学ぶことで、組織は、ほとんどのランサムウェア攻撃の戦術、エクスプロイト、および特性についての確かな基礎を身につけることができます。ランサムウェアのコード、ターゲット、機能にはバリエーションがありますが、ランサムウェア攻撃のイノベーションは通常、漸進的なものです。

• WannaCry: Microsoftの強力なエクスプロイトを悪用して世界規模のランサムウェアワームが開発され、キルスイッチが作動して感染を食い止めるまでに25万台以上のシステムに感染しました。Proofpointは、キルスイッチを見つけるために使用されたサンプルの発見と、ランサムウェアの分解に携わりました。WannaCryの阻止におけるProofpointの関与について、詳細をご覧ください。
• CryptoLocker: このランサムウェアは、支払いに暗号通貨（ビットコイン）を要求し、ユーザーのハードディスクと接続されたネットワークドライブを暗号化する、現世代のランサムウェアの最初の1つでした。Cryptolockerは、FedExやUPSの追跡通知を名乗る添付ファイル付きのメールを介して拡散されました。これに対する復号化ツールは2014年にリリースされました。しかし、さまざまなレポートによると、CryptoLockerによって2700万ドル以上が強奪されたと報告されています。
• NotPetya: NotPetyaは、Microsoft Windowsベースのシステムのマスターブートレコードに感染して暗号化するなど、同名のPetyaの戦術を活用した、最も被害が大きいランサムウェア攻撃の1つと考えられています。NotPetyaは、WannaCryと同じ脆弱性を利用して急速に拡散し、変更を元に戻すためにビットコインでの支払いを要求しました。NotPetyaはマスターブートレコードへの変更を取り消すことができず、ターゲットシステムを回復不能にするため、一部ではワイパーに分類されています。
• Bad Rabbit: NotPetyaと類似したコードとエクスプロイトを使用して拡散したBad Rabbitは、ロシアとウクライナをターゲットとした目に見えるランサムウェアで、主に同国のメディア企業に影響を与えました。NotPetyaとは異なり、Bad Rabbitは身代金を支払うと復号化できるようになっていました。多くの場合、偽のFlash Playerのアップデートによって拡散され、ドライブバイダウンロード攻撃によってユーザーに影響を与える可能性があることが指摘されています。
• REvil: REvilは、金銭目的の攻撃者グループによって開発されました。暗号化する前にデータを流出させ、標的となった被害者が身代金を送らないことを選択した場合、脅迫して支払わせることができます。この攻撃は、WindowsとMacのインフラにパッチを適用するために使用されるITマネジメントソフトウェアが侵害されたことに起因しています。攻撃者は、企業のシステムにREvilランサムウェアを注入するために使用されるKaseyaソフトウェアを侵害しました。
• Ryuk: Ryukは、主にスピアフィッシングで使用される手動配布のランサムウェアアプリケーションです。ターゲットは、偵察によって慎重に選ばれます。選ばれた被害者にメールメッセージが送信され、感染したシステムでホストされているすべてのファイルが暗号化されます。

ランサムウェアは、システム上のデータへのアクセスをブロックまたは防止された被害者から金銭を強要するために設計されたマルウェアの一種です。最も一般的なランサムウェアは、暗号化型と画面ロック型の2種類です。暗号化型は、その名の通り、システム上のデータを暗号化し、復号化キーがなければコンテンツを利用できないようにします。一方、画面ロック型は、システムが暗号化されていることを主張し、「ロック」画面でシステムへのアクセスを単純にブロックするものです。

図1：ランサムウェアが被害者を騙してインストールさせようとする手口

被害者は、ロック画面（暗号化型と画面ロック型の両方に共通）で、ビットコインなどの暗号通貨を購入して身代金を支払うように通知されることがよくあります。身代金の支払いが完了すると、被害者は復号化キーを受け取り、ファイルの復号化を試みることができます。身代金を支払った後の復号化の成功度合いが異なることが複数の情報源から報告されており、復号化が保証されているわけではありません。また、被害者がキーを受け取らないこともあります。身代金が支払われ、データが解放された後でも、コンピュータシステムにマルウェアをインストールする攻撃もあります。

暗号化型ランサムウェアは、当初は主に個人のコンピュータを対象としていましたが、重要なシステムのロックを解除して日常業務を再開するためには、個人よりも企業がより多くの費用を支払うことが多いため、ビジネスユーザーをターゲットにしたものが増えています。

企業のランサムウェアの感染やウイルスは、通常、悪意のあるメールから始まります。疑うことを知らないユーザーが悪意のある、または危険にさらされた添付ファイルを開いたり、URLをクリックしたりします。

この時点で、ランサムウェアエージェントがインストールされ、被害者のPCおよび添付ファイル上の主要なファイルの暗号化を開始します。データを暗号化した後、ランサムウェアは感染したデバイスにメッセージを表示します。メッセージには、何が起きたのか、攻撃者への支払い方法などが説明されています。被害者が支払いを行った場合、ランサムウェアは、データのロックを解除するためのコードを取得することを約束します。

インターネットに接続されているあらゆるデバイスが、次のランサムウェアの被害者となる危険性があります。ランサムウェアは、ローカルデバイスとネットワークに接続されたストレージをスキャンします。つまり、脆弱なデバイスは、ローカルネットワークも犠牲となる可能性があります。ローカルネットワークが企業の場合、ランサムウェアは重要な文書やシステムファイルを暗号化し、サービスや生産性を停止させる可能性があります。

インターネットに接続するデバイスは、最新のソフトウェアセキュリティパッチを適用し、ランサムウェアを検出・停止するマルウェア対策がインストールされている必要があります。Windows XPのようなメンテナンスが終了した古いOSは、より高いリスクを伴います。

ランサムウェアの被害に遭った企業は、生産性やデータの損失により、数千ドルの損失を被る可能性があります。データにアクセスできる攻撃者は、被害者を脅迫してデータを公開し、データ流出を暴露することで身代金を支払わせるため、迅速に支払わない組織は、ブランドの毀損や訴訟などの二次的な影響がさらに生じる可能性があります。

ランサムウェアは生産性を低下させるので、まず封じ込めが必要です。封じ込めた後、組織はバックアップから復元するか、身代金を支払うかのどちらかを選択します。法執行機関は捜査に当たりますが、ランサムウェアの開発者を追跡するには調査時間が必要で、復旧を遅らせるだけです。根本的な原因分析により脆弱性が特定されますが、復旧の遅れは生産性と事業収益に影響を及ぼします。

在宅勤務者の増加により、脅威アクターはフィッシングの利用を増加させました。ランサムウェアの感染経路は、フィッシングが主な起点となっています。フィッシングメールは、低権限ユーザーと高権限ユーザーの両方の従業員をターゲットにしています。メールは安価で使いやすいため、攻撃者にとってランサムウェアを広めるための便利な手段となっています。

通常、ドキュメントはメールで受け渡しされるため、ユーザーはメールの添付ファイルでファイルを開くことを何とも思っていません。悪意のあるマクロが実行され、ランサムウェアがローカルデバイスにダウンロードされ、ペイロードが配信されます。ランサムウェアは電子メールで簡単に拡散することができるため、一般的なマルウェア攻撃となっています。

高度な攻撃では、独自のバージョンを構築する開発者のランサムウェアが使用されることがあります。亜種は、既存のランサムウェアのコードベースを使用し、ペイロードと攻撃方法を変更するために必要な機能だけを変更します。ランサムウェアの開発者は、マルウェアをカスタマイズして任意のアクションを実行し、好みの暗号を使用することができます。

攻撃者は常に開発者とは限りません。ランサムウェアの開発者の中には、ソフトウェアを他者に販売したり、リースして使用したりする者もいます。ランサムウェアは、顧客がダッシュボードに認証して独自のキャンペーンを開始するMalware-as-a-Service（MaaS）として貸し出されることがあります。したがって、攻撃者は、必ずしもコーダーやマルウェアの専門家とは限りません。彼らは、ランサムウェアをリースするために開発者にお金を払う個人でもあります。

ランサムウェアはファイルを暗号化した後、ユーザーに対してファイルが暗号化されていることと、支払わなければならない金額を告知する画面を表示します。通常、被害者は特定の支払期限を与えられるか、身代金が増額されます。また、攻撃者は企業を脅して、ランサムウェアの被害者であることを公に発表することもあります。

支払いの最大のリスクは、データを復号するための暗号鍵が受け取れないことです。組織はお金を払っても、復号化キーが手に入らないことがあります。ほとんどの専門家は、攻撃者に金銭的な利益を永続させないために身代金の支払いに反対するよう助言していますが、多くの組織は選択の余地を失っています。ランサムウェアの開発者は暗号通貨での支払いを要求するため、金銭の授受を取り消すことはできません。

ランサムウェアを使った脅威が増加した主な理由は、リモートワークです。パンデミックにより、世界的に新しい働き方が導入されました。在宅勤務者は、脅威に対してより脆弱な存在です。ホームユーザーは、高度な攻撃から保護するために必要な企業レベルのサイバーセキュリティを備えておらず、これらのユーザーの多くは、個人用デバイスと仕事用デバイスを混在させています。ランサムウェアはネットワーク上の脆弱なデバイスをスキャンするため、マルウェアに感染した個人PCがネットワークに接続された業務用機器にも感染する可能性があります。

ランサムウェアの攻撃を防ぐには、バックアップの設定とテスト、およびセキュリティツールのランサムウェア保護機能を適用することが一般的です。メール保護ゲートウェイなどのセキュリティツールは第一の防御手段であり、エンドポイントは第二の防御手段です。侵入検知システム（IDS）は、ランサムウェアのコマンド＆コントロールを検知し、ランサムウェアシステムがコントロールサーバーを呼び出すことに対して警告するために使用されることもあります。ユーザートレーニングは重要ですが、ランサムウェアから保護するためのいくつかの防御層の一つに過ぎず、メールフィッシングでランサムウェアが配信された後に活躍するものです。

他のランサムウェアの防御策に失敗した場合の予備策として、ビットコインを備蓄しておくことがあります。これは、被害を受けた企業の顧客やユーザーに直接的な影響を与える可能性がある場合に、より一般的な方法です。病院やホスピタリティは、患者の生命に影響を与えたり、人々が施設に閉じ込められたり、外に出られなくなったりする可能性があるため、特にランサムウェアのリスクが高いと言えます。

ランサムウェア攻撃を防ぐ方法

• ランサムウェアからメールを守る: ランサムウェアの攻撃は、主にフィッシングメールやスパムメールによって配信されます。ランサムウェアを配信する悪意のあるメールを検知・ブロックするためには、標的型攻撃対策を備えたセキュアメールゲートウェイが不可欠です。これらのソリューションは、ユーザーのコンピュータに配信されるメールに含まれる悪意のある添付ファイル、悪意のあるドキュメント、およびURLから保護します。
• ランサムウェアからモバイル端末を防御する: モバイル攻撃対策製品は、モバイルデバイス管理（MDM）ツールと併用することで、ユーザーのデバイス上のアプリケーションを分析し、環境を侵害する可能性のあるアプリケーションについてユーザーとIT部門に即座に警告を発することができます。
• ランサムウェアからWebサーフィンを守る: セキュアWebゲートウェイは、ユーザーのWebサーフィンのトラフィックをスキャンして、ランサムウェアに誘導する可能性のある悪意のあるWeb広告を特定することができます。
• サーバーやネットワークを監視し、主要なシステムをバックアップする: 監視ツールは、異常なファイルアクセス、ウイルス、ネットワークC&Cトラフィック、CPU負荷を検出し、ランサムウェアの起動を阻止することができます。また、重要なシステムのフルイメージコピーを保存しておけば、クラッシュしたり暗号化されたマシンが重要な業務のボトルネックとなるリスクを軽減できます。

ランサムウェアを除去する方法

• 連邦および地域の法執行機関に連絡する: 誘拐事件で連邦捜査機関に連絡するように、ランサムウェアの場合も同じように連邦捜査機関に連絡する必要があります。フォレンジック技術者は、システムが他の方法で侵害されていないことを確認し、今後の組織をより良く保護するための情報を収集し、攻撃者を見つけようとします。

ランサムウェアからの復旧

• ランサムウェア対策のリソースについて学ぶ: 「No More Ransom」ポータルとBleeping Computerでは、特定のランサムウェア攻撃に対するヒント、提案、および復号化ツールを提供しています。
• データを復元する: ベストプラクティスに従ってシステムのバックアップをとっていれば、システムを復元して通常業務を再開することができます。

以下のランサムウェアの統計は、ランサムウェアの蔓延とその被害者が被った数千億円の損害を物語っています。最新のランサムウェア統計については、Proofpointのブログもご覧ください。