初期のランサムウェア攻撃は、被害を受けたデータへのアクセスや、感染したデバイスを再び使用可能な状態にするために必要な復号化キーを渡す代わりに、身代金の支払いを要求するだけのシンプルなものでした。そのため、定期的または継続的にデータのバックアップを作成すれば、組織はこの種のランサムウェア攻撃による被害を制限し、多くの場合、身代金要求の支払いを回避できてました。
しかし近年、ランサムウェア攻撃は二重恐喝攻撃や三重恐喝攻撃を含むように進化しており、データのバックアップを厳密に維持する被害者にとっても、最初の身代金要求に応じた被害者にとっても、リスクが大幅に高まりました。
二重恐喝攻撃では、被害者のデータが盗まれ、オンラインに漏洩されるという脅威が、さらに三重恐喝攻撃では盗んだデータが悪用され、被害者の顧客やビジネス・パートナーもが攻撃される恐れが加わるようになったのです。
ランサムウェアは悪意あるソフトウェアの最も一般的な形式の1つであり、その攻撃の影響により組織に数百万ドルの損害を与える可能性があります。
2023年にIBM X-Force Threat Intelligence Indexが記録したサイバー攻撃全体の、実に20%にランサムウェアが関与していました。これらの攻撃は素早く実行されます。ハッカーがネットワークにアクセスしてから、ランサムウェアを展開するのに4日もかかりません。その結果、組織が潜在的な攻撃を検知して対処する時間がほとんどありません。
ランサムウェアの被害者や交渉者は身代金の支払いを公表したがりませんが、脅威アクターが7桁や8桁の金額を要求することも少なくありません。また、身代金はランサムウェア感染による被害総額の一部に過ぎません。IBMのデータ侵害のコストに関する調査によると、ランサムウェアによるデータ侵害の平均コストは568万米ドルですが、これには身代金の支払いは含まれていません。
とはいえ、サイバーセキュリティー・チームはランサムウェアの攻撃を黙って見ているわけではありません。X-Force Threat Intelligence Indexによると、ランサムウェアの感染は2022年から2023年の間に11.5%減少しましたが、これはおそらく脅威の検出と防止策が強化されたことによるものです。
ランサムウェアは大きく分けて2種類あります。最も普及しているのランサムウェアは、暗号化ランサムウェアまたはクリプト・ランサムウェアと呼ばれ、攻撃者は被害者のデータを暗号化してアクセスをブロックし、復号化キーを渡す代わりに身代金の支払いを要求するものです。
非暗号化ランサムウェアまたは画面ロック・ランサムウェアと呼ばれる、より一般的ではない形式のランサムウェアは、オペレーティング・システムへのアクセスをブロックすることで、被害者のデバイス全体をブロックします。これによりデバイスは正常に起動しなくなり、代わりに身代金を要求する画面が表示されます。
これら2つの種類は、
リークウェアまたはドキシウェアは、機密データを盗み、または抽出し、これを公開すると脅すランサムウェアです。初期のリークウェアやドキシウェアは暗号化せずにデータをそのまま盗むことが一般的に見られますが、今日の亜種では暗号化も行うケースが増えています。
これには、モバイル・デバイスに影響を与えるすべてのランサムウェアが含まれますが、悪意あるアプリやドライブ・バイ・ダウンロードを通じて配信されるモバイル・ランサムウェアのほとんどは、暗号化を行わないランサムウェアが使用されること多いようです。なぜなら多くのモバイル・デバイスで標準化された自動クラウド・データ・バックアップにより、暗号化攻撃を簡単に解除できるため、ハッカーはモバイル攻撃には画面ロック型を好んで使っています。
身代金が支払われなかった場合にデータを破壊すると脅す、ワイパーと呼ばれるランサムウェアですが、身代金が支払われた場合でもデータが破壊される場合があります。後者のタイプのワイパーには、一般的なサイバー犯罪者ではなく、国家機関やハクティビストが関与している疑いが持たれています。
スケアウェアは、その名の通り、ユーザーを脅して身代金を支払わせようとするランサムウェアです。スケアウェアは法執行機関を装い、被害者による違反を伝えて罰金の支払いを要求したり、正規のウイルス感染警告を装い、被害者にウイルス対策ソフトウェアと偽ってランサムウェアの購入を促す可能性があります。
場合によっては、データを暗号化したりデバイスをロックしたりするランサムウェアがスケアウェアになることもあります。または、ランサムウェアの感染経路として、何も暗号化せず、被害者にランサムウェアをダウンロードするよう強制することもあります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ランサムウェア攻撃は、ネットワークまたはデバイスを感染させるために、複数の方法または経路を使用します。最もよく使用されているランサムウェア感染経路は次のとおりです。
ソーシャル・エンジニアリング攻撃は、ユーザーを騙してランサムウェアである実行可能ファイルをダウンロードさせ、実行させます。例えば、フィッシング・メールに、一見無害な.pdfやMicrosoft Word文書、またはその他の正常なファイルを装った、悪意ある添付ファイルが含まれている場合があります。
さらに、ユーザーを悪意あるWebサイトに誘導したり、Webブラウザーを通じてランサムウェアを仕込むためのQRコードをスキャンさせます。
サイバー犯罪者は、既存の脆弱性を悪用して、デバイスやネットワークに悪意あるコードを挿入することがよくあります。
ゼロデイ脆弱性とは、セキュリティー・コミュニティにまだ知られていない脆弱性、または特定されてはいるもののパッチがまだ適用されていない脆弱性のことで、特別な脅威をもたらします。一部のランサムウェア・ギャングは、攻撃を計画するために他のハッカーからゼロデイ欠陥に関する情報を購入します。この記事の後半で説明する2017年のWannaCry攻撃の事例では、ハッカーはパッチが適用された脆弱性を感染経路として効果的に悪用しました。
サイバー犯罪者は、アクセス権限のあるユーザーの認証情報を盗んだり、ダークウェブで購入したり、ブルートフォース攻撃を用いて解読したりして、これらの認証情報でネットワークまたはコンピューターにログインしたり、ランサムウェアを直接仕込んだりする可能性があります。
特にコンピューターにリモートでアクセスするため、Microsoft社が開発した独自のプロトコルであるリモート・デスクトップ・プロトコル(RDP)は、認証情報の盗難の標的としてランサムウェア攻撃者により、頻繁に悪用されています。
ハッカーは、別の攻撃のために開発されたマルウェアを使用して、デバイスにランサムウェアを送り込むことがよくあります。脅威アクターは、もともと銀行の認証情報を盗むように設計されたトロイの木馬のTrickbotを使い、2021年にランサムウェア「Conti」の亜種を拡散しました。
ドライブ・バイ・ダウンロードとはWebサイトを経由して、ユーザーの知らないうちにランサムウェアをユーザーのデバイスに仕込むことを指します。エクスプロイト・キットは、侵害されたWebサイトから訪問者のブラウザーをスキャンし、デバイスにランサムウェアを仕込むために悪用できるWebアプリケーション上の脆弱性を特定します。
マルバタイジング(ハッカーによって侵害された正規のデジタル広告)は、ユーザーが広告をクリックしなくても、ランサムウェアをデバイスに仕込む可能性があります。
サイバー犯罪者は、これらの経路を悪用するために必ずしも独自のランサムウェアを開発する必要がありません。一部のランサムウェア開発者は、RaaS(ランサムウェア・アズ・ア・サービス)としてマルウェアのコードをサイバー犯罪者に販売します。
購入したサイバー犯罪者、つまり「アフィリエイト」はコードを使用して攻撃を実行し、身代金の支払いを開発者と折半します。彼らにとって、これは相互に有益な関係です。アフィリエイトは独自でマルウェアを開発することなく恐喝から利益を得ることができ、開発者はサイバー攻撃を新たに仕掛けることなく利益を増やすことができるからです。
ランサムウェア販売業者は、ダークウェブ上のデジタル市場を通じてランサムウェアを販売したり、オンライン・フォーラムや同様の手段を通じて直接アフィリエイトを募集したりすることもあるようです。大規模なランサムウェア・グループは、メンバーを惹きつけるために多額の資金を投入しています。
ランサムウェア攻撃は通常、以下の流れで進みます。
IBM Securityランサムウェア対策決定版ガイドによると、ランサムウェア攻撃の最も一般的な経路として使われるのは、フィッシング、脆弱性の悪用、そしてRDPのようなリモートアクセス・プロトコルの侵害です。
初回侵入経路によっては、ハッカーは中間リモートアクセス・ツール(RAT)またはその他のマルウェアを導入して、ターゲットとするシステムへの足掛かりを得る可能性があります。
この3段階目では、攻撃者は現在アクセスできるローカル・システムとドメインを把握し、他のシステムとドメインへの感染経路を獲得すること(横移動)に重点が置きます。
ここで、ランサムウェアを使用する攻撃者は、通常、自分用のコピーをダウンロードまたはエクスポートすることにより、金銭的価値のあるデータを特定し、それを抽出(窃取)することに焦点を切り替えます。
攻撃者はアクセスできるあらゆるデータを窃取する可能性がありますが、通常は二重恐喝に使用できる貴重なデータ(ログイン認証情報、顧客の個人情報、知的財産)が特に狙われます。
暗号化を行うクリプト・ランサムウェアの場合、この時点でファイルの識別と暗号化が開始されます。一部のクリプト・ランサムウェアは、システムの復元機能を無効化するか、被害者のコンピューターやネットワーク上のバックアップを削除または暗号化し、復号化キーを得るための身代金の支払いを要求してきます。
暗号化を行わないランサムウェアの場合、デバイスの画面をロックしたり、デバイスにポップアップ画面を大量に表示させたりして、ユーザーがデバイスを使用できないようにします。
ファイルが暗号化され、デバイスが使用不可の状態になった時点で、ランサムウェアはユーザーに感染を警告します。この警告は、コンピューターのデスクトップに保管された.txtファイルや、ポップアップ通知を表示することで、ユーザーに伝えられます。
また送られる脅迫メールには、復号キーまたは標準操作の復元と引き換えに、通常は暗号通貨または同様の追跡不可能な方法での身代金の支払い方法に関する指示が記載されています。
現在までに、サイバーセキュリティー研究者は、独自のコード署名と機能を持つ固有の系統である、数千の異なるランサムウェアの亜種、つまり「ファミリー」を特定しています。
長年にわたって出回った多くのランサムウェアの亜種の中でも、破壊力、ランサムウェア開発への影響力、または今日に至っても持続している脅威の観点から、特に注目すべき亜種について説明します。
2013年9月に初めて登場したCryptoLockerは、今日のランサムウェア時代の先駆けであったと広く認識されいます。
ハイジャックされたコンピューターのネットワークであるボットネットを使用して拡散されたCryptoLockerは、ユーザーのファイルを復号不可能な状態に暗号化した最初のランサムウェア・ファミリーの1つでした。2014年に国際法執行機関により対策が取られるまで、推定300万米ドルの被害を出しました。
CryptoLockerの成功は多数の模倣犯罪者を生み出し、WannaCry、Ryuk、Petyaなどの亜種への道を開きました。
初めて注目を集めたクリプトワームで、ネットワーク上の他のデバイスに自己拡散できるランサムウェア「WannaCry」は、150カ国20万台以上のコンピューターを攻撃しました。被害を受けたコンピューターが脆弱だったのは、管理者がEternalBlue Microsoft Windowsの脆弱性に対するパッチの適用を怠ったためでした。
WannaCryは、機密データの暗号化に加えて、7日以内に支払いがなければファイルを消去すると脅迫しました。この攻撃は現在でも史上最大規模のランサムウェア攻撃の1つであり、その被害総額は40億米ドルに上ると推定されています。
他のクリプト・ランサムウェアとは異なり、Petyaは個々のファイルではなくファイル・システム・テーブルを暗号化し、感染したコンピューターにWindowsを起動できなくさせます。
大幅に改良されたNotPetyaは、2017年、主にウクライナに対する大規模なサイバー攻撃を実行するために使用されました。このワイパーは、身代金支払い後もシステムロックを解除できない類のものでした。
2018年に初めて確認されたRyukは、特定の高額ターゲットに対する「ビッグゲーム・ハンティング」ランサムウェアを広め、身代金要求額は平均で100万ドルを超えるものでした。このランサムウェアはバックアップ・ファイルとシステム復元機能を見つけ、無効化させます。さらにクリプトワームを備えた新しい株が2021年に登場しています。
ロシアから活動しているとみられるグループが仕掛けるDarkSideは、2021年5月7日に石油パイプライン「コロニアル」を攻撃したランサムウェアの亜種であり、米国東海岸の燃料の45%を供給するパイプラインを一時的に停止させたため、インフラに対して行われた史上最悪のサイバー攻撃と考えられています。
このグループは、DarkSideで攻撃を仕掛けるだけではなく、RaaSとして「アフィリエイト」にランサムウェアのライセンスも販売しています。
Lockyは、独特の感染経路を持つ暗号化ランサムウェアです。ユーザーは正規の請求書を装った、マクロが仕込まれたEメールの添付ファイル(Microsoft Wordファイル)を受信し、ユーザーがMicrosoft Word文書をダウンロードして開くと、悪意あるマクロがランサムウェア・ペイロードのダウンロードを密かに開始することで感染します。
REvilはSodinまたはSodinokibiとしても知られ、ランサムウェア攻撃を拡大するRaaSの普及に貢献しました。
REvilはビッグゲーム・ハンティングや二重恐喝攻撃に使用されることで知られており、2021年に起きたJBS USA社とKaseya Limited社に対する攻撃でも使われています。ハッカーが同社の米国内の牛肉加工業務全体を混乱させたことを受け、JBS社は1,100万ドルの身代金を支払いました。深刻なダウンタイムにより、Kaseya社のソフトウェアを使用する企業1,000社以上が影響を受けました。
ロシア連邦保安局は、2022年初めにREvilを解体し、そのメンバー数名を起訴したと報告しました。
2020年に初めて確認されたContiギャングは、ランサムウェアを使用するには、定期料金をハッカーに支払うという仕組みの大規模なRaaSスキームを運営していました。その一方でContiは、被害者が支払いをしなかった場合には、被害者のネットワークへのアクセスを他のハッカーに売ると脅すという、独特の形式での二重恐喝を使用しました。
このギャング・グループは2022年に内部のチャット・ログが流出したことを受け解散しましたが、元メンバーの多くは今もサイバー犯罪の世界で活動しています。X-Force Threat Intelligence Indexによると、BlackBasta、Royal、Zeonなど、現在最も広く蔓延しているランサムウェアの亜種のいくつかにContiの元関係者が関与していたことがわかっています。
X-Force Threat Intelligence Indexによると、2023年に最も一般的なランサムウェアの亜種の1つであるLockBitは、その開発者のビジネスライクな行動が注目されています。LockBitグループは、合法的な企業が他の企業を買収するのとほぼ同じ方法で、他のマルウェア株を買収することで知られています。
2024年2月に法執行機関がLockBitのウェブサイトの一部を押収し、米国政府がギャングの幹部の1人に制裁を課したにもかかわらず、LockBitは被害者への攻撃を続けています。
身代金の要求は多岐にわたり、被害者の多くは支払った金額を公表しないことを選択しているため、平均的な身代金の支払い額を決定するのは困難ですが、ほとんどの場合、10万から999万米ドルの間と推定されています。一方、IBMのランサムウェア対策決定版ガイドによると、攻撃者は最高で8,000 万米ドルもの身代金を要求したケースさえあるといいます。
重要なのは、身代金を支払う被害者の割合が近年急激に低下していることです。サイバー恐喝インシデント対応会社Coveware社によると、身代金を支払った被害者は、2020年に全体の70%であったのに対し、2023年には37%まで減少しています。1
専門家は、データのバックアップ、インシデント対応計画、脅威の防止および検出技術への投資の増加など、サイバー犯罪対策の強化が、この減少の理由の大きな理由であると指摘しています。
米国連邦法執行機関は、ランサムウェア被害者が身代金要求を支払うことを一切推奨していません。サイバー脅威を調査するために20の米国連邦機関で構成された国家サイバー捜査統合タスク・フォース(NCIJTF)は次のように述べています。
「FBIは犯罪者に身代金を支払うことを推奨していません。身代金を支払うと、敵がより多くの組織を標的にしたり、他の犯罪者にランサムウェア攻撃を仕掛けるよう促したり、違法行為に資金提供したりするようつけあがらせる可能性があります。また、身代金を支払ったとしても、被害者のファイルが回復されるという保証はありません。」
法執行機関は、ランサムウェアの被害者に対し、身代金を支払う前にFBIのインターネット犯罪通報センター(IC3)などの適切な法的機関に攻撃を報告することを推奨しています。
ランサムウェア攻撃の被害者の中には、身代金を支払うかどうかに関わらず、ランサムウェア感染を報告する法的義務を負う組織もあります。例えば、HIPAAでは通常、医療機関はランサムウェア攻撃を含むデータ侵害があった場合には、保健福祉省への報告が義務付けられています。
また、特定の状況下では、身代金の支払いは違法となる場合があります。
米国財務省外国資産管理局(OFAC)は、北朝鮮やイランなど米国の経済制裁下にある国の攻撃者に身代金を支払うことはOFAC規制に違反すると述べています。違反者は民事罰、罰金、または刑事責任を問われる可能性があります。
また、フロリダ州やノースカロライナ州など米国の一部の州では、州政府機関が身代金を支払うことを違法としています。
サイバーセキュリティーの専門家や、サイバーセキュリティー社会基盤安全保障庁(CISA)や米国シークレットサービスなどの連邦機関は、組織がランサムウェアの脅威から身を守るための予防措置を講じることを推奨しています。こうした対策には次のものが含まれます。
一部のランサムウェアの亜種に対する復号化ツールは、「No More Ransom2」のようなプロジェクトを通じて一般に公開されていますが、アクティブなランサムウェア感染の修復には多くの場合、多面的なアプローチが必要になります。
米国国立標準技術研究所(NIST)のインシデント・レスポンス・ライフサイクルに倣ったランサムウェア・インシデント・レスポンス・プランの例については、IBM Securityのランサムウェア対策決定版ガイドをご覧ください。
1989年:AIDSTrojanまたは「PCサイボーグ攻撃」として知られる、史上初めて確認されたランサムウェア攻撃は、フロッピーディスクを介してコンピューターを感染させるというものでした。このランサムウェアは、被害者のコンピューター上のファイル・ディレクトリを隠し、再表示させるために189米ドルを要求してきましたが、ファイル自体ではなくファイル名を暗号化したため、ユーザーは身代金を支払わずとも被害から簡単に回復することができました。
1996年:コンピューター科学者のAdam L. Young氏とMoti Yung氏は、AIDSTrojanウイルスの欠陥を分析していく中で、将来、より高度な公開鍵暗号を使用して、機密データを人質に取るマルウェアの形態が誕生する可能性があると警告しました。
2005年: 2000年代初頭までランサムウェア攻撃は下火でしたが、ロシアと東ヨーロッパを中心に感染が増加し始めました。非対称暗号化を使用した最初の亜種が登場しました。新しいランサムウェアがより効果的に金銭を脅し取れるようになるにつれ、より多くのサイバー犯罪者がランサムウェアを世界中に拡散し始めました。
2009年: 暗号通貨、特にビットコインの導入により、サイバー犯罪者は追跡不可能な身代金の支払いを受け取る手段ができ、ランサムウェア攻撃が一気に増えました。
2013年:新時代のランサムウェアはCryptoLockerにより幕が開け、暗号通貨での支払いを要求する高度に洗練された暗号化ベースのランサムウェア攻撃が頻発するようになりました。
2015年:Toxランサムウェアの亜種により、ランサムウェア・アズ・ア・サービス(RaaS)という形でランサムウェアが犯罪者間で取引されるようになりました。
2017年:史上初の自己複製クリプトワームである「WannaCry」が登場しました。
2018年: Ryukはビックゲーム・ハンティング・ランサムウェアを普及させました。
2019年:二重恐喝、三重恐喝ランサムウェア攻撃がより一般的となりました。2019年以降、IBM Security X-Forceインシデント対応チームが対応したほぼすべてのランサムウェア・インシデントには、二重恐喝が関係していました。
2022年:サイバー犯罪者が標的の合法的なオンライン上のやり取りに紛れ込んでマルウェアを拡散させる「スレッド・ハイジャック」が、ランサムウェアの有力な感染経路として台頭しました。
2023年:ランサムウェアに対する防御策が強化されるにつれ、多くのランサムウェア集団が武器庫を拡大し、ランサムウェアに新たな恐喝戦術を加え始めます。特に、LockBitのような犯罪集団やContiの残党は、被害者のシステムをロックダウンすることなく機密データを盗み、人質にすることができるインフォスティーラー・マルウェアを使い始めています。
1 New Ransomware Reporting Requirements Kick in as Victims Increasingly Avoid Paying. Coveware. 26 January 2024.
2 Decryption tools. No More Ransom