ランサムウェアとは| IBM

ランサムウェアとは

ランサムウェアはマルウェアの一種で、被害者のデータやデバイスをロックし、身代金を支払わない限り、被害者を脅迫する。 IBM Security X-Force Threat Intelligence Index 2023によると、2022年のランサムウェア攻撃はすべてのサイバー攻撃の17％を占めました。

初期のランサムウェア攻撃では、影響を受けたデータへのアクセスや感染したデバイスの使用を取り戻すために必要な暗号化キーと引き換えに身代金を要求するだけでした。定期的または継続的にデータのバックアップを作成することで、組織はこの種のランサムウェア攻撃によるコストを制限し、多くの場合、身代金要求の支払いを回避できます。

しかし近年、ランサムウェア攻撃は二重恐喝攻撃や三重恐喝攻撃を含むように進化しており、データのバックアップを厳密に維持したり、最初の身代金要求を支払った被害者にとっても、リスクは大幅に高まります。二重恐喝攻撃により、被害者のデータが盗まれ、オンラインに漏洩されるという脅威が加わります。さらに、三重恐喝攻撃では、盗まれたデータを使用して被害者の顧客やビジネスパートナーを攻撃する恐れがあります。

2023 年の X-Force Threat Intelligence Index によると、すべてのサイバーセキュリティインシデントに占めるランサムウェアの割合は、2021 年から 2022 年にかけて 4% 減少しました。これはおそらく、防御側がランサムウェア攻撃の検出と防止に成功したためと考えられます。しかし、この前向きな発見は、攻撃の平均タイムラインが 2 か月から 4 日未満へと 94% 大幅に短縮されたことで影を潜め、組織が潜在的な攻撃を検出して阻止する時間がほとんどなくなりました。

ランサムウェアの被害者や交渉者は、身代金の支払い額を明らかにすることに消極的です。しかし、『Definitive Guide to Ransomware（ランサムウェアの決定版）』によると、身代金要求は7桁、8桁の金額に膨れ上がっているといいます。また、身代金の支払いは、ランサムウェア感染の総コストの一部にすぎません。 IBMの「Cost of a Data Breach 2022」レポートによると、ランサムウェア攻撃によるデータ漏洩の平均コストは、身代金の支払いを含めず、454万米ドルでした。ランサムウェア攻撃による被害額は、2023年には全体で推定300億ドルに上ると予想されています（リンク先はibm.comの外部）。

ランサムウェアの種類

ランサムウェアには2つの一般的なタイプがあります。最も一般的なタイプは、暗号化ランサムウェアまたはクリプトランサムウェアと呼ばれ、被害者のデータを暗号化して人質に取ります。次に、攻撃者は、データの復号化に必要な暗号化キーを提供する代わりに身代金を要求します。

非暗号化ランサムウェアまたは画面ロックランサムウェアと呼ばれる、あまり一般的ではない形式のランサムウェアは、通常、オペレーティングシステムへのアクセスをブロックすることによって、被害者のデバイス全体をロックします。デバイスは通常どおり起動する代わりに、身代金を要求する画面を表示します。

これら 2 つのタイプは、さらに次のサブカテゴリに分類できます。

リークウェア/Doxware は、機密データを盗む、または流出させ、公開すると脅すランサムウェアです。以前の形式のリークウェアや doxware は暗号化せずにデータを盗むことがよくありましたが、今日の亜種は両方を行うことがよくあります。
モバイルランサムウェアには、モバイルデバイスに影響を与えるすべてのランサムウェアが含まれます。悪意のあるアプリやドライブバイダウンロードを通じて配信されるモバイルランサムウェアは、多くのモバイルデバイスに標準装備されている自動クラウドデータバックアップにより暗号化攻撃を簡単に逆転できるため、通常は非暗号化ランサムウェアです。
ワイパー/破壊的ランサムウェアは、身代金が支払われなかった場合にデータを破壊すると脅します。ただし、身代金が支払われた場合でもランサムウェアがデータを破壊する場合は除きます。この後者のタイプのワイパーは、一般的なサイバー犯罪者ではなく、国家主体またはハクティビストによって展開されていると疑われることがよくあります。
スケアウェア はその名の通り、ユーザーを脅して身代金を支払わせようとするランサムウェアです。スケアウェアは、法執行機関からのメッセージを装って、犯罪の被害者を告発し、罰金を要求する可能性があります。正規のウイルス感染警告を偽装し、被害者にウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアの購入を促す可能性があります。場合によっては、スケアウェアはランサムウェアであり、データを暗号化したり、デバイスをロックしたりします。他の場合には、それはランサムウェアのベクトルであり、何も暗号化せず、被害者にランサムウェアのダウンロードを強制します。

ランサムウェア2023の決定的なガイドに登録する

ランサムウェアがシステムやデバイスを感染させる仕組み

ランサムウェア攻撃は、ネットワークまたはデバイスに感染するために、いくつかの方法またはベクトルを使用します。最も顕著なランサムウェア感染経路には次のようなものがあります。

フィッシングメールやその他のソーシャルエンジニアリング攻撃： フィッシングメールは、ユーザーを操作して、悪意のある添付ファイル（無害に見える.pdfに偽装されたランサムウェアを含む）をダウンロードさせ、実行させます、 Microsoft Word、文書、またはその他のファイル）、またはユーザーのウェブブラウザを介してランサムウェアを転送する悪意のある Web サイトにアクセスする。 IBMのCyber Resilient Organization Study 2021では、調査参加者から報告されたランサムウェア攻撃の45％がフィッシングやその他のソーシャルエンジニアリングによるもので、ランサムウェアの攻撃ベクトルの中で最も一般的なものでした。
オペレーティングシステムとソフトウェアの脆弱性:サイバー犯罪者は多くの場合、既存の脆弱性を悪用して、デバイスやネットワークに悪意のあるコードを挿入します。ゼロデイ脆弱性は、セキュリティコミュニティに知られていない脆弱性、または特定されているもののパッチがまだ適用されていない脆弱性であり、特別な脅威をもたらします。一部のランサムウェアギャングは、攻撃を計画するために他のハッカーからゼロデイ欠陥に関する情報を購入します。以下で説明する 2017 年の WannaCry 攻撃の場合のように、ハッカーはパッチが適用された脆弱性を攻撃ベクトルとして効果的に利用しています。
認証情報の盗難:サイバー犯罪者は、権限のあるユーザーの認証情報を盗んだり、ダークウェブで購入したり、ブルートフォース攻撃によって解読したりする可能性があります。その後、これらの資格情報を使用してネットワークまたはコンピュータにログインし、ランサムウェアを直接展開する可能性があります。ユーザーがコンピューターにリモートでアクセスできるようにするためにマイクロソフトが開発した独自のプロトコルであるリモートデスクトッププロトコル (RDP) は、ランサムウェア攻撃者の間で認証情報の盗難の標的としてよく利用されています。
他のマルウェア：ハッカーは、他の攻撃用に開発されたマルウェアを使用して、デバイスにランサムウェアを送り込むことがよくあります。たとえば、Trickbot トロイの木馬は、もともと銀行の認証情報を盗むように設計されていましたが、2021 年を通じて Conti ランサムウェアの亜種を拡散するために使用されました。
ドライブバイダウンロード:ハッカーは Web サイトを使用して、ユーザーの知らないうちにランサムウェアをデバイスに渡すことができます。エクスプロイトキットは、侵害された Web サイトを使用して訪問者のブラウザをスキャンし、デバイスにランサムウェアを注入するために使用できる Web アプリケーションの脆弱性を検出します。マルバタイジング (ハッカーによって侵害された正規のデジタル広告) は、ユーザーが広告をクリックしていない場合でも、ランサムウェアをデバイスに渡す可能性があります。

サイバー犯罪者は、これらのベクトルを悪用するために必ずしも独自のランサムウェアを開発する必要はありません。一部のランサムウェア開発者は、ランサムウェア・アズ・ア・サービス（RaaS）の取り決めを通じて、マルウェアのコードをサイバー犯罪者と共有している。サイバー犯罪者、つまり「アフィリエイト」はコードを使用して攻撃を実行し、身代金の支払いを開発者と折半します。これは相互に有益な関係です。アフィリエイトは独自のマルウェアを開発することなく恐喝から利益を得ることができ、開発者は追加のサイバー攻撃を開始することなく利益を増やすことができます。

ランサムウェアの配布者は、デジタルマーケットプレイスを通じてランサムウェアを販売したり、オンラインフォーラムや同様の手段を通じて直接アフィリエイターを募集したりできます。大規模なランサムウェアグループは、関連会社を誘致するために多額の資金を投資してきました。例えば、REVILグループは2020年10月に採用活動の一環として100万米ドルを費やしました（リンクはibm.com外に存在）。

ランサムウェア攻撃の段階

ランサムウェア攻撃は通常、以下の段階を経て進行する。

ステージ 1: 初期アクセス

ランサムウェア攻撃の最も一般的なアクセス経路は、引き続きフィッシングと脆弱性の悪用です。

ステージ 2: ポストエクスプロイト

最初のアクセスベクトルに応じて、この第 2 段階では、対話型アクセスを確立する前に、仲介リモートアクセスツール (RAT) またはマルウェアが関与する場合があります。

ステージ3:理解して展開

この攻撃の第 3 段階では、攻撃者は現在アクセスできるローカルシステムとドメインを理解すること、および他のシステムとドメインへのアクセスを獲得することに重点を置きます (ラテラルムーブメントと呼ばれます)。

ステージ 4: データの収集と流出

ここで、ランサムウェアのオペレーターは、通常、自分用のコピーをダウンロードまたはエクスポートすることによって、貴重なデータを特定し、それを抽出(窃取) することに焦点を切り替えます。攻撃者はアクセスできるあらゆるデータを窃取する可能性がありますが、通常は二重恐喝に使用できる特に貴重なデータ (ログイン認証情報、顧客の個人情報、知的財産) に焦点を当てます。

ステージ 5: デプロイとメモの送信

クリプトランサムウェアはファイルの識別と暗号化を開始します。一部の暗号ランサムウェアは、システムの復元機能を無効にしたり、被害者のコンピュータやネットワーク上のバックアップを削除または暗号化したりして、復号キーの支払い圧力を高めます。暗号化されていないランサムウェアは、デバイスの画面をロックしたり、デバイスにポップアップを大量に表示させたり、被害者がデバイスを使用できないようにします。

ファイルが暗号化されるか、デバイスが無効になると、ランサムウェアは被害者に感染を警告します (多くの場合、.txt 経由)。ファイルはコンピュータのデスクトップまたはポップアップ通知を通じて保存されます。身代金メモには、復号キーまたは標準操作の復元と引き換えに、通常は暗号通貨または同様の追跡不可能な方法で身代金を支払う方法に関する指示が含まれています。

注目すべきランサムウェアの亜種

2020 年以来、サイバーセキュリティ研究者は、130 を超える個別のアクティブなランサムウェアファミリまたは亜種、つまり独自のコード署名と機能を持つ独自のランサムウェア株を特定しました。

長年にわたって出回った多くのランサムウェアの亜種の中でも、破壊の程度、ランサムウェアの開発にどのような影響を与えたのか、または今日なおもたらされている脅威の点で、いくつかの亜種が特に注目に値します。

クリプトロッカー

2013 年 9 月に初めて登場した CryptoLocker は、現代のランサムウェア時代の始まりとなったと広く認められています。ボットネット (ハイジャックされたコンピューターのネットワーク) を使用して拡散した CryptoLocker は、ユーザーのファイルを強力に暗号化する最初のランサムウェアファミリの 1 つでした。2014年に国際法執行機関によって閉鎖されるまで、推定300万米ドルを脅し取られていた。CryptoLocker の成功は多数の模倣者を生み出し、WannaCry、Ryuk、Petya (後述) などの亜種への道を開きました。

WannaCry

WannaCryは、管理者がMicrosoft Windowsの脆弱性EternalBlueのパッチ適用を怠っていた20万台以上（150カ国）のコンピュータを攻撃しました。 WannaCry ランサムウェアは、機密データの暗号化に加えて、7 日以内に支払いがなければファイルを消去すると脅迫しました。これは依然としてこれまでで最大規模のランサムウェア攻撃の 1 つであり、その被害額は 40 億米ドルに上ると推定されています。

Petya and NotPetya

他の暗号ランサムウェアとは異なり、Petya は個々のファイルではなくファイルシステムテーブルを暗号化し、感染したコンピュータは Windows を起動できなくなります。大幅に変更されたバージョンである NotPetya は、2017 年に主にウクライナに対する大規模なサイバー攻撃を実行するために使用されました。NotPetya は、身代金が支払われた後でもシステムのロックを解除できないワイパーでした。

Ryuk

2018 年に初めて確認された Ryuk は、特定の高額ターゲットに対する「ビッグゲームランサムウェア」攻撃を広め、身代金要求額は平均 100 万ドルを超えました。Ryuk はバックアップファイルとシステム復元機能を見つけて無効にすることができます。クリプトワームの能力を持つ新しい株が 2021 年に発見されました。

DarkSide

ロシア国外で活動していると疑われるグループが運営する DarkSide は、2021 年 5 月 7 日に米国植民地パイプラインを攻撃したランサムウェアの亜種であり、米国の重要なインフラに対するこれまでで最悪のサイバー攻撃と考えられています。その結果、米国東海岸の燃料の45パーセントを供給するパイプラインは一時的に閉鎖されました。DarkSide グループは、直接攻撃を開始することに加えて、RaaS 協定を通じて関連会社にランサムウェアのライセンスを供与しています。

Locky

Locky は、独特の感染方法を持つ暗号化ランサムウェアです。正規の請求書を装った電子メールの添付ファイル (Microsoft Word ファイル) に隠されたマクロを使用します。ユーザーが Microsoft Word 文書をダウンロードして開くと、悪意のあるマクロがランサムウェアペイロードをユーザーのデバイスに密かにダウンロードします。

REvil/Sodinokibi

REvil は Sodin または Sodinokibi としても知られ、ランサムウェア配布に対する RaaS アプローチの普及に貢献しました。REvilは大物狩りや二重恐喝攻撃で使用されることで知られており、2021年の注目すべきJBS USAとKaseya Limitedに対する攻撃の背後にいた。JBS は、米国の牛肉加工業務全体が中断され、Kaseya のソフトウェア顧客 1,000 社以上が大幅なダウンタイムの影響を受けた後、1,100 万ドルの身代金を支払いました。ロシア連邦保安局は、2022年初めにREvilを解体し、そのメンバー数名を起訴したと報告した。

身代金の支払い

2022 年まで、ほとんどのランサムウェア被害者は攻撃者の身代金要求に応じていました。たとえば、IBMの「Cyber Resilient Organization Study 2021」では、調査後2年以内にランサムウェア攻撃を経験した参加企業の61％が身代金を支払ったと回答しています。

しかし、最近の報道は2022年に変化が起こることを示唆しています。サイバー恐喝インシデント対応企業Covewareが発表した調査結果によると、2022年のランサムウェア被害者のうち身代金を支払ったのはわずか41％で、2021年には51％、2020年には70％でした（リンク先はibm.comの外部）。また、ブロックチェーンデータプラットフォームのプロバイダーであるChainanalysis社は、ランサムウェア攻撃者が被害者から脅し取る金額は、2022年には2021年よりも40％近く減少すると報告しています（リンク先はibm.comの外部）。専門家らは、この逆転の潜在的な要因として、サイバー犯罪への備えの強化（データのバックアップを含む）と、脅威の防止および検出テクノロジーへの投資の増加を指摘しています。

法執行機関の指導

米国連邦法執行機関は、ランサムウェア被害者が身代金要求を支払うことを全会一致で阻止しています。国家サイバー捜査統合タスクフォース (NCIJTF) によると、サイバー脅威の調査を担当する 20 の提携米国連邦機関からなる連合組織です。

「FBIは犯罪者に身代金を支払うことを推奨していません。身代金を支払うと、敵がさらなる組織を標的にしたり、他の犯罪者がランサムウェアの配布に参加したり、違法行為に資金提供したりするよう勇気づけられる可能性があります。また、身代金を支払ったとしても、被害者のファイルが回復されるという保証はありません。」

法執行機関は、ランサムウェアの被害者に対し、身代金を支払う前に FBI のインターネット犯罪苦情センター (IC3) などの適切な当局に攻撃を報告することを推奨しています。ランサムウェア攻撃の被害者の中には、身代金が支払われたかどうかに関係なく、ランサムウェア感染を報告することが法的に義務付けられている場合があります。たとえば、HIPAA 準拠では通常、医療機関はランサムウェア攻撃を含むデータ侵害を保健福祉省に報告することが義務付けられています。

特定の条件下では、身代金の支払いは違法となる場合がある。米国財務省外国資産管理局（OFAC）の2020年勧告によると、ロシア、北朝鮮、イランなど米国の経済制裁下にある国からの攻撃者に身代金を支払うことは、OFACの規制に違反することになり、民事罰、罰金、刑事責任を問われる可能性があります。

ランサムウェアからの保護と対応

ランサムウェアの脅威から身を守るために、CISA、NCIJFT、米国秘密情報局などの連邦機関は、組織に次のような特定の予防措置を講じることを推奨しています。

機密データとシステムシステムイメージのバックアップを、理想的にはネットワークから切断できるハードドライブまたはその他のデバイス上に維持します。
パッチを定期的に適用する ソフトウェアやオペレーティングシステムの脆弱性を悪用するランサムウェア攻撃を阻止するのに役立ちます。
マルウェア対策やウイルス対策ソフトウェア、ファイアウォール、ネットワーク監視ツール、セキュア・ウェブ・ゲートウェイなどのサイバーセキュリティ・ツール（）や、セキュリティ・オーケストレーション、自動化、対応（SOAR ）、エンドポイント検知・対応（EDR ）、セキュリティ情報・イベント管理（SIEM）、拡張検知・対応（XDR ）など、セキュリティ・チームがランサムウェアをリアルタイムで検知し、対応するのに役立つ企業向けサイバーセキュリティ・ソリューションを更新する

。
従業員のサイバーセキュリティトレーニング ユーザーがフィッシング、ソーシャルエンジニアリング、およびランサムウェア感染につながる可能性のあるその他の戦術を認識し、回避できるようにします。
多要素認証、ゼロ・トラスト・アーキテクチャ、ネットワーク・セグメンテーション、およびランサムウェアが特に機密性の高いデータに到達するのを防ぎ、クリプトワームがネットワーク上の他のデバイスに拡散するのを防ぐ同様の対策を含むアクセス制御ポリシーを実装します。

No More Ransom（リンクはibm.comの外にあります）のようなプロジェクトを通じて、いくつかのランサムウェアの亜種に対する復号化ツールが公開されていますが、アクティブなランサムウェア感染の修復には、多くの場合、多面的なアプローチが必要です。米国国立標準技術研究所（NIST）のインシデント・レスポンス・ライフサイクルに倣ったランサムウェア・インシデント・レスポンス・プランの例については、IBM Security'sDefinitive Guide to Ransomware を参照してください。

ランサムウェアの簡単なタイムライン

1989: AIDS トロイの木馬または「PC」として知られる、最初に文書化されたランサムウェア攻撃サイボーグ攻撃、" はフロッピーディスクで配布された。被害者のコンピュータ上のファイルディレクトリを隠し、再表示するには 189 ドルを要求しました。しかし、ファイル自体ではなくファイル名を暗号化するため、ユーザーが身代金を支払わずに被害を回復するのは簡単でした。

1996: コンピュータ科学者のアダム・L・ヤングとモチ・ユングは、エイズ型トロイの木馬ウイルスの欠陥を分析する一方で、より高度な公開鍵暗号を使用して機密データを人質に取る可能性のある、将来のマルウェアの形態について警告した。

2005: 2000 年代初頭まで比較的少数のランサムウェア攻撃があった後、ロシアと東ヨーロッパを中心に感染が増加し始めます。非対称暗号化を使用する最初のバリアントが表示されます。新しいランサムウェアがより効果的に金銭を脅し取る手段を提供するにつれ、より多くのサイバー犯罪者がランサムウェアを世界中に拡散し始めました。

2009 年:暗号通貨、特にビットコインの導入により、サイバー犯罪者は追跡不可能な身代金の支払いを受け取る手段が与えられ、ランサムウェア活動の次の急増が促進されます。

2013 年: ランサムウェアの現代は、CryptoLocker によって始まり、暗号通貨での支払いを要求する高度に洗練された暗号化ベースのランサムウェア攻撃の波が始まりました。

2015: Tox ランサムウェアの亜種により、サービスとしてのランサムウェア (RaaS) モデルが導入されました。

2017 : 最初に広く使用された自己複製クリプトワームである WannaCry が登場。

2018: Ryuk は大物ランサムウェアハンティングを普及させました。

2019年:二重、三重の恐喝ランサムウェア攻撃が増加し始める。2019 年以降、IBM Security X-Force インシデント対応チームが対応したほぼすべてのランサムウェアインシデントには、二重恐喝が関係していました。

2022年:サイバー犯罪者がターゲットのオンライン会話に侵入するスレッドハイジャックが、ランサムウェアの顕著なベクトルとして台頭します。