ランサムウェアは、被害者のデータやデバイス・ホステージをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになる、あるいはさらにロックを続けると脅すマルウェアです。
IBM Security X-Force Threat Intelligence Index 2023によると、2022年には、ランサムウェア攻撃はサイバー攻撃全体の17%を占めました。
初期のランサムウェア攻撃は、影響を受けたデータへのアクセスや感染したデバイスを再び使用できるようにするために必要な暗号化キーを渡す代わりに身代金の支払いを要求するだけのシンプルなものでした。定期的または継続的にデータのバックアップを作成することで、組織はこの種のランサムウェア攻撃による被害を制限し、多くの場合、身代金要求の支払いを回避できました。
しかし近年、ランサムウェア攻撃は二重恐喝攻撃や三重恐喝攻撃を含むように進化しており、データのバックアップを厳密に維持する被害者にとっても、最初の身代金要求に応じた被害者にとっても、リスクが大幅に高まりました。二重恐喝攻撃では、被害者のデータが盗まれ、オンラインに漏洩されるという脅威が加わります。さらに、三重恐喝攻撃では、盗まれたデータを悪用して被害者の顧客やビジネス・パートナーを攻撃する恐れがあります。
2023年のX-Force Threat Intelligence Indexによると、サイバーセキュリティー・インシデント全体に占めるランサムウェアの割合は、2021年から2022年にかけて4%減少しました。これはおそらく、組織側がランサムウェア攻撃の検出と防止策に成功したためと考えられます。しかし、この傾向は、攻撃にかかる平均時間が2カ月から4日未満へと94%も大幅に短縮されたことで影を潜め、組織が潜在的な攻撃を検知して対処する時間はほとんどなくなりました。
ランサムウェアの被害者や交渉者は、身代金の支払額を明らかにしたがりません。しかし、ランサムウェア対策決定版ガイドによると、身代金要求額は100万ないし、1000万米ドルという金額に膨れ上がっているといいます。また、身代金の支払いは、ランサムウェア感染による被害総額の一部にすぎません。IBMの2022年データ侵害のコストに関する調査レポートによると、ランサムウェア攻撃によるデータ侵害の平均コストは513万米ドルでした。また、ランサムウェア攻撃による被害総額は、2023年には全体で推定300億ドルに上ると予想されています(ibm.com外部へのリンク)。
IBMのランサムウェアに関する決定版ガイドで、サイバー犯罪の最新動向を常に把握しましょう。
データ侵害のコストに関する調査 2024 ー データ侵害のコストは過去最高を更新。コストを削減するための方策をご確認ください。
X-Force脅威インテリジェンス・インデックス 2024 ー 攻撃者の戦術を深く理解し、ID保護に関する推奨事項をご確認ください。
ランサムウェアは大きく分けて2タイプあります。最も一般的なタイプは、暗号化ランサムウェアまたはクリプト・ランサムウェアと呼ばれるもので、攻撃者は被害者のデータを暗号化してアクセスできなくし、その上で、復号化キーを渡す代わりに身代金の支払いを要求します。
非暗号化ランサムウェアまたは画面ロック・ランサムウェアと呼ばれる、より一般的ではない形式のランサムウェアは、通常、オペレーティング・システムへのアクセスをブロックすることにより、被害者のデバイス全体にアクセスできなくします。デバイスは正常に起動せず、代わりに、身代金を要求する画面を表示します。
これら2つのタイプは、さらに次のサブカテゴリーに分類できます。
ランサムウェア攻撃は、ネットワークまたはデバイスを感染させるために、複数の方法または経路を使用します。最もよく使用されているランサムウェア感染経路には次のようなものがあります。
サイバー犯罪者は、これらの経路を悪用するために必ずしも独自のランサムウェアを開発する必要がありません。一部のランサムウェア開発者は、ランサムウェア・アズ・ア・サービス(RaaS)としてマルウェアのコードをサイバー犯罪者に販売します。サイバー犯罪者、つまり「アフィリエイト」はコードを使用して攻撃を実行し、身代金の支払いを開発者と折半します。これは相互に有益な関係です。アフィリエイトは独自でマルウェアを開発することなく恐喝から利益を得ることができ、開発者はサイバー攻撃を新たに仕掛けることなく利益を増やすことができるからです。
ランサムウェア流通者は、デジタル・マーケットプレイスを通じてランサムウェアを販売したり、オンライン・フォーラムや同様の手段を通じて直接アフィリエイトを募集したりします。大規模なランサムウェア・グループは、アフィリエイトを惹きつけるために多額の資金を投じてきました。
ランサムウェア攻撃は通常、以下の流れで進みます。
ランサムウェア攻撃の最も一般的な侵入経路は引き続き、フィッシングと脆弱性の悪用です。
初回侵入経路によっては、対話型アクセスを確立する前に、このステージ2で、仲介リモート・アクセス型ツール(RAT)またはマルウェアが使用される場合があります。
この攻撃のステージ3では、攻撃者は現在侵入できるローカル・システムやドメインを把握し、他のシステムとドメインへの侵入経路を獲得することに重点が置かれます(横移動)と呼ばれます。
ここで、ランサムウェアを使用する攻撃者は、通常、自分用のコピーをダウンロードまたはエクスポートすることにより、貴重なデータを特定し、それを抽出(窃取)することに焦点を切り替えます。攻撃者はアクセスできるあらゆるデータを窃取する可能性がありますが、通常は二重恐喝に使用できる貴重なデータ(ログイン認証情報、顧客の個人情報、知的財産)に特に焦点を当てます。
クリプト・ランサムウェアはファイルの識別と暗号化を開始します。一部のクリプト・ランサムウェアは、システムの復元機能を無効化するか、被害者のコンピューターやネットワーク上のバックアップを削除または暗号化し、復号キーを得るための支払い圧力を高めます。暗号化を行わないランサムウェアは、デバイスの画面をロックしたり、デバイスにポップアップ画面を大量に表示させたりして、被害者がデバイスを使用できないようにします。
ファイルが暗号化されるか、またはデバイスが無効化されると、多くの場合、コンピューターのデスクトップに保管された.txtファイルや、ポップアップ通知を表示することで、ランサムウェアは被害者に感染を伝えます。脅迫メールには、復号キーまたは標準操作の復元と引き換えに、通常は暗号通貨または同様の追跡不可能な方法で身代金を支払う方法に関する指示が記載されています。
2020年以来、サイバーセキュリティーの研究者は、130種を超える個別のアクティブなランサムウェア・ファミリーまたは亜種を特定しています。これらは、独自のコード署名と機能を持つ独自のランサムウェア株です。
長年にわたって出回った多くのランサムウェアの亜種の中でも、破壊力、ランサムウェア開発への影響力、または今日に至っても持続している脅威の観点から、特に注目すべき亜種について説明します。
2013年9月に初めて登場したCryptoLockerは、今日のランサムウェア時代の先駆けであったと広く認識されいます。ボットネット(ハイジャックされたコンピューターのネットワーク)を使用して拡散されたCryptoLockerは、ユーザーのファイルを解読不可能に暗号化した最初のランサムウェア・ファミリーの1つでした。2014年に国際法執行機関により対策が取られるまで、推定300万米ドルの被害を出しました。CryptoLockerの成功は多数の模倣犯罪者を生み出し、WannaCry、Ryuk、Petyaなどの亜種への道を開きました。
初めて注目を集めたクリプトワームで、ネットワーク上の他のデバイスに自己拡散できるランサムウェアWannaCryは150か国の20万台以上のコンピューターを攻撃しました。影響を受けたコンピューターが脆弱だったのは、管理者がEternalBlue Microsoft Windowsの脆弱性に対するパッチの適用を怠ったためでした。WannaCry・ランサムウェアは、機密データの暗号化に加えて、7日以内に支払いがなければファイルを消去すると脅迫しました。WannaCryは現在でも史上最大規模のランサムウェア攻撃の1つであり、その被害総額は40億米ドルに上ると推定されています。
他のクリプト・ランサムウェアとは異なり、Petyaは個々のファイルではなくファイル・システム・テーブルを暗号化し、感染させたコンピューターにWindowsを起動できなくさせます。大幅に改良されたNotPetyaは、2017年に、主にウクライナに対する大規模なサイバー攻撃を実行するために使用されました。NotPetyaは、身代金が支払われた後でもシステムのロックを解除できないワイパーでした。
2018年に初めて確認されたRyukは、特定の高額ターゲットに対する「ビッグゲーム・ハンティング」ランサムウェアを広め、身代金要求額は平均で100万ドルを超えるものでした。Ryukはバックアップ・ファイルとシステム復元機能を見つけて、これらを無効化します。クリプトワームを備えた新しい株が2021年に発見されています。
ロシアから活動しているとみられるグループが仕掛けるDarkSideは、2021年5月7日に米国の石油パイプライン「コロニアル」を攻撃したランサムウェアの亜種であり、米国の重要なインフラに対して行われた史上最悪のサイバー攻撃と考えられています。この攻撃により、米国東海岸の燃料の45%を供給するパイプラインは一時的に閉鎖されました。DarkSideを仕掛けるグループは、直接攻撃を開始するだけではなく、RaaSにより、「アフィリエイト」にランサムウェアのライセンスを販売しています。
Lockyは、独特の感染経路を持つ暗号化ランサムウェアです。正規の請求書を装ったEメールの添付ファイル(Microsoft Word ファイル)マクロを仕込んでいます。ユーザーがMicrosoft Word文書をダウンロードして開くと、悪意のあるマクロがランサムウェア・ペイロードをユーザーのデバイスに密かにダウンロードします。
REvilはSodinまたはSodinokibiとしても知られ、ランサムウェア攻撃を拡大するRaaSの普及に貢献しました。REvilはビッグゲーム・ハンティングや二重恐喝攻撃で使用されることで知られており、2021年に起きたJBS USA社とKaseya Limited社に対する重大な攻撃でも使用されました。JBS社では米国の牛肉加工業務全体が中断され、Kaseya社ではソフトウェア顧客1,000社以上が大幅なダウンタイムの影響を受け、1,100万米ドルもの身代金を支払いました。ロシア連邦保安局は、2022年初めにREvilを解体し、そのメンバー数名を起訴したと報告しました。
2022年まで、ほとんどのランサムウェア被害者は攻撃者の身代金要求に応じていました。例えば、IBMのCyber Resilient Organization Study 2021によると、調査実施前2年以内にランサムウェア攻撃を経験した調査対象組織の61%が身代金を支払ったと回答しています。
しかし、最近のレポートでは2022年に変化があったことが示唆されています。サイバー恐喝インシデント対応企業であるCoveware社が発表した調査結果によると、2022年にランサムウェア被害者のうち身代金を支払ったわずか41%でした(2021年には51%、2020年には70%)(ibm.com外部へのリンク)。また、ブロックチェーン・データ・プラットフォームのプロバイダーであるChainanalysis社は、ランサムウェア攻撃者が2022年に被害者から脅し取った金額は、2021年と比較して40%近くも減少したと報告しています(ibm.com外部へのリンク)。専門家は、この喜ばしい数字の潜在的な要因として、サイバー犯罪対策の強化(データのバックアップを含む)や、脅威の防止および検知テクノロジーへの投資額の増加を挙げています。
米国連邦法執行機関は、ランサムウェア被害者が身代金要求を支払うことを一切推奨していません。サイバー脅威を調査するために20の米国連邦機関で構成された国家サイバー捜査統合タスクフォース(NCIJTF)は次のように述べています。
「FBIは犯罪者に身代金を支払うことを推奨していません。身代金を支払うと、敵がより多くの組織を標的にしたり、他の犯罪者にランサムウェア攻撃を仕掛けるよう促したり、違法行為に資金提供したりするようつけあがらせる可能性があります。また、身代金を支払ったとしても、被害者のファイルが回復されるという保証はありません。」
法執行機関は、ランサムウェアの被害者に対し、身代金を支払う前にFBIのインターネット犯罪通報センター(IC3)などの適切な法的機関に攻撃を報告することを推奨しています。ランサムウェア攻撃の被害者の中には、身代金が支払われたかどうかに関係なく、ランサムウェア感染を報告することが法的に義務付けられている場合があります。例えば、HIPAAでは通常、医療機関はランサムウェア攻撃を含むデータ侵害があった場合には、保健福祉省への報告が義務付けられています。
また、特定の状況下では、身代金の支払いは違法となる場合があります。米国財務省外国資産管理局(OFAC)が発表した2020年勧告によると、ロシアや北朝鮮、イランなど米国の経済制裁下にある国からの攻撃者に身代金を支払うことは、OFAC規制への違反とみなされ、違反者は民事罰、罰金、または刑事責任を問われる可能性があります。
CISA、NCIJFT、米国秘密情報局などの連邦機関は、ランサムウェアの脅威から身を守るために、組織に次のような予防措置を講じることを推奨しています。
No More Ransom(ibm.com外部へのリンク)などのプロジェクトを通じて、いくつかのランサムウェアの亜種に対する復号化ツールが公開されていますが、アクティブなランサムウェア感染からの復旧には、多くの場合、多面的なアプローチが求められます。米国国立標準技術研究所(NIST)のインシデント・レスポンス・ライフサイクルに倣ったランサムウェア・インシデント・レスポンス・プランの例については、IBM Securityのランサムウェア対策決定版ガイドをご覧ください。
1989年:AIDSTrojanまたは「PCサイボーグ攻撃」として知られる、史上初めて文書化されたランサムウェア攻撃は、フロッピーディスクを介してコンピューターを感染させていました。このランサムウェアは、被害者のコンピューター上のファイル・ディレクトリを隠し、再び表示できるようにするために189米ドルを要求しました。しかし、ファイル自体ではなくファイル名を暗号化したため、ユーザーは身代金を支払わずとも、簡単に被害を回復することができました。
1996年:コンピューター科学者のAdam L. Young氏とMoti Yung氏は、AIDSTrojanウイルスの欠陥を分析する中で、より高度なパブリックキー暗号を使用して機密データを人質に取る可能性のある、マルウェアの形態が将来誕生する可能性があると警告していました。
2005年:2000年代初頭までランサムウェア攻撃は下火でしたが、ロシアと東ヨーロッパを中心に感染が増加し始めました。非対称暗号化を使用した最初の亜種が登場しました。新しいランサムウェアがより効果的に金銭を脅し取れるようになるにつれ、より多くのサイバー犯罪者がランサムウェアを世界中に拡散し始めました。
2009年:暗号通貨、特にビットコインの導入により、サイバー犯罪者は追跡不可能な身代金の支払いを受け取る手段ができ、ランサムウェア攻撃が一気に増えました。
2013年:新時代のランサムウェアはCryptoLockerにより幕が開け、暗号通貨での支払いを要求する高度に洗練された暗号化ベースのランサムウェア攻撃が頻発するようになりました。
2015年:Toxランサムウェアの亜種により、サービスとしてのランサムウェア(RaaS)という形でランサムウェアが犯罪者間で取引されるようになりました。
2017年:史上初の自己複製クリプトワームである「WannaCry」が登場しました。
2018年:Ryukはビックゲーム・ハンティング・ランサムウェアを普及させました。
2019年:二重恐喝、三重恐喝ランサムウェア攻撃が増加し始めました。2019年以降、IBM Security X-Forceインシデント対応チームが対応したほぼすべてのランサムウェア・インシデントには、二重恐喝が関係していました。
2022年:サイバー犯罪者がターゲットのオンライン対話に侵入するスレッド・ハイジャックが、ランサムウェアの主流として台頭しました。
ゼロトラスト・アプローチを導入することで、ランサムウェアによる事業継続性の中断を阻止し、攻撃された場合にも迅速な復旧を実現します。このアプローチにより、ランサムウェアをより迅速に検知して対応し、ランサムウェア攻撃の影響を最小限に抑えることができます。
次世代FlashCore Module 4 (FCM4)は、サイバー攻撃を受けても回復力のあるデータストレージを提供します。機械学習モデルを使用して、すべてのI/Oから収集された統計情報を継続的に監視し、ランサムウェアなどの異常を1分以内に検知します。
組織のプライマリー、およびセカンダリー・ストレージ・システムをランサムウェア、人的エラー、自然災害、妨害行為、ハードウェア障害、その他のデータ損失リスクからプロアクティブに保護します。