ランサムウェアとは?
ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質にします。 ランサムウェアがどのように動作するか、近年急増した理由、および組織がどのようにランサムウェアを防御しているかについて説明します。
動画を見る(1:43) ランサムウェア・ソリューションの詳細はこちら
机に向かって開いているラップトップ・コンピューターを見つめている人。
ランサムウェアとは?

ランサムウェアは、マルウェア(悪意のあるソフトウェア)の一種で、被害者のデータやコンピューティング・デバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックしたままかそれ以上悪い状態にすると脅迫するものです。 2021年には、ランサムウェア攻撃は全サイバー攻撃の21%を占め(PDF、4.1 MB) 、全体の被害総額は推定で200億米ドルに達しました(ibm.com外部へのリンク)。

最初期のランサムウェア攻撃では、データやデバイスのロックを解除するための身代金を要求していました。 しかし、今日のサイバー犯罪者は、その危険性を大幅に高めています。 2022年のX-Force脅威インテリジェンス・インデックス(PDF、4.1 MB) によると、現在のランサムウェア攻撃は実質的にすべてが「二重脅迫型」の攻撃であり、データのロック解除データの盗難防止に対する身代金を要求することが報告されています。 さらに分散型サービス妨害(DDos)攻撃の脅威を追加した「三重脅迫型」攻撃も増加しています。

これらの二重および三重脅迫の手口、使用可能な「ransomware-as-a-service」ソリューションの増加、追跡不可能な支払い方法としての暗号通貨の出現が組み合わさって、ランサムウェア・インシデントの急激な増加に拍車をかけています。 FBIのインターネット犯罪相談センターの記録によると、 2013年から2020年の間に、報告されたランサムウェア・インシデントの件数が約243%増加しています (ibm.com外部へのリンク)。

ランサムウェアの被害者や交渉担当者は、身代金の支払い額を公表することに消極的です。 しかし、「Definitive Guide to Ransomware 2022」(PDF、966KB) の報告によると、以前は総額で2桁しかなかった身代金の金額が、7桁や8桁に増加しています。 さらに極端なケースでは、企業がデータの制御を取り戻すために、4000万から8000万米ドルを支払うこともあります。 また、ランサムウェア感染のコストは、身代金の支払いだけにとどまりません。 IBMの「Cost of a Data Breach 2021」レポートによると、ランサムウェア攻撃の平均コストは、身代金の支払いを含めずに462万米ドルでした。

Definitive gude to ransomware 2022(966 KB)

ランサムウェア感染の原因

ランサムウェアの攻撃は、デバイスやネットワークに感染するために、いくつかの方法(ベクトル)を使用する可能性があります。 ランサムウェアの最も顕著な感染ベクトルには、以下のものがあります。

  • フィッシング・メールなどのソーシャル・エンジニアリング攻撃:フィッシング・メールは、悪意のある添付ファイル(無害に見える.pdfやMicrosoft Word文書などのファイルに偽装されたランサムウェアを含む)をダウンロードして実行させたり、ユーザーのWebブラウザー経由でランサムウェアを感染させる悪意のあるWebサイトにアクセスさせたりします。 IBMのCyber Resilient Organization Study 2021では、サーベイの参加者が報告した全ランサムウェア攻撃のうち、フィッシングなどのソーシャル・エンジニアリングが原因であるものが45%であり、全ランサムウェア攻撃のベクトルの中で最も一般的なものとなっています。  
  • オペレーティング・システムとソフトウェアの脆弱性サイバー犯罪者は、多くの場合、既存の脆弱性を悪用して、悪意のあるコードをデバイスやネットワークに挿入します。 ゼロデイ脆弱性とは、セキュリティー・コミュニティーで未知の脆弱性、または特定されているがまだパッチが適用されていない脆弱性であり、特に脅威となります。 一部のランサムウェア・ギャングは、攻撃を計画するために他のハッカーからゼロデイ欠陥に関する情報を購入します。 また、以下で説明する2017年のWannaCry攻撃の場合と同様に、ハッカーはパッチが適用された脆弱性を攻撃ベクトルとして効果的に利用しています。
  • 資格情報の盗難:サイバー犯罪者は、許可されたユーザーの資格情報を盗んだり、それらをダークWebで購入したり、ブルートフォースによってクラックしたりすることがあります。 そして、これらの資格情報を使用してネットワークやコンピューターにログインし、ランサムウェアを直接展開することがあります。 リモート・デスクトップ・プロトコル(RDP)は、ユーザーがリモートでコンピューターにアクセスできるようにするためにMicrosoftが開発した独自のプロトコルであり、ランサムウェア攻撃者の間で有名な資格情報盗難のターゲットです。
  • その他のマルウェア:ハッカーは、他の攻撃用に開発されたマルウェアを使用して、デバイスにランサムウェアを送ることがよくあります。 例えば、「Trickbot」というトロイの木馬は、元は銀行資格情報を盗むために設計されたものでしたが、2021年を通じてContiランサムウェアの亜種を広めるために使用されました。
  • ドライブ・バイ・ダウンロード:ハッカーはWebサイトを利用して、ユーザーに気付かれることなくランサムウェアをデバイスに感染させることができます。 エクスプロイト・キットは、侵害されたWebサイトを使用して訪問者のブラウザーをスキャンし、ランサムウェアをデバイスに挿入するために利用できるWebアプリケーションの脆弱性がないかを調べます。 マルバタイジング(ハッカーによって侵害された正規のデジタル広告)は、ユーザーが広告をクリックしなくても、ランサムウェアを端末に感染させることができます。

サイバー犯罪者は、これらのベクトルを悪用するために、必ずしも独自のランサムウェアを開発する必要はありません。 一部のランサムウェア開発者は、ransomware-as-a-service(RaaS)の協定を通じて、マルウェアのコードをサイバー犯罪者と共有しています。 サイバー犯罪者(アフィリエイト)は、このコードを使用して攻撃を実行し、支払われた身代金を開発者と分け合います。 これは相互にメリットのある関係です。アフィリエイトは独自のマルウェアを開発することなく恐喝で利益を得ることができ、開発者は自らの手でサイバー攻撃を行うことなく利益を増やすことができます。

ランサムウェアの販売業者は、デジタル・マーケットプレイスを通じてランサムウェアを販売したり、オンライン・フォーラムなどの手段を通じてアフィリエイトを直接募集したりすることができます。 大規模なランサムウェア・ギャングは、アフィリエイトを引き込むために多額の資金を投資しています。 例えば、REvilグループは、2020年10月に採用活動の一環として100万米ドルを費やしました(ibm.com外部へのリンク)。

Definitive Guide to Ransomware 2022(966 KB)

ランサムウェア攻撃の段階

ハッカーがデバイスにアクセス可能になると、通常、ランサムウェア攻撃は以下の手順で進みます。

ステップ 1:偵察。 攻撃者は、感染したシステムをスキャンして、デバイスとネットワークをより詳細に把握し、攻撃者が二重、三重の恐喝攻撃に使用できる機密情報を含むファイルなど、ターゲットにできるファイルを特定します。 また、ほとんどの場合に、ネットワーク内を横方向に移動することを可能にする追加の資格情報を検索しており、その間にもより多くのデバイスにランサムウェアを拡散させています。

ステップ 2:アクティベーション。 暗号化ランサムウェアがファイルの識別と暗号化を開始します。 ほとんどの暗号化型ランサムウェアは非対称暗号化を採用しており、公開鍵を使用してランサムウェアを暗号化し、データを復号化できる秘密鍵を保持します。 被害者は秘密鍵を持っていないため、ハッカーの協力がないと暗号化されたデータを復号化できません。 暗号化ランサムウェアの中には、システムの復元機能を無効にしたり、被害者のコンピューターやネットワーク上のバックアップを削除または暗号化して、復号化鍵への支払いに対する圧力を高めるものもあります。

非暗号化型ランサムウェアは、デバイスの画面をロックしたり、ポップアップでデバイスを埋め尽くしたりするなどして、被害者がデバイスを使用できないようにします。

ステップ 3:身代金請求書。 ファイルの暗号化やデバイスの無効化が完了すると、ランサムウェアは被害者に感染を警告します。これは、多くの場合、コンピューターのデスクトップに置かれた.txtファイルか、ポップアップ通知によって行われます。 身代金請求書には、通常、復号化の鍵または標準操作の復旧と引き換えに、暗号通貨や同様に追跡不可能な方法で身代金を支払うための方法が記載されています。


ランサムウェアのタイプ

ランサムウェアには大別して2つのタイプがあります。 最も一般的なタイプは、「暗号化型ランサムウェア」または「暗号化ランサムウェア」と呼ばれるもので、ユーザーのデータを暗号化によって人質にします。 それほど一般的ではないランサムウェアとしては、「ロッカー・ランサムウェア」と呼ばれるものがあり、被害者のデバイス全体をロックします。

これら2つのタイプは、さらに次のサブカテゴリーに分類できます。

  • リークウェア/ドクスウェアは、機密データを盗み出し、または外部に持ち出して、それを公開すると脅迫するランサムウェアです。 以前のリークウェアやドクスウェアは、多くの場合はデータを暗号化せずに盗み出していましたが、今日の亜種は、多くの場合にその両方を行います。
  • モバイル・ランサムウェアには、モバイル・デバイスに影響を及ぼすすべてのランサムウェアが含まれます。 悪意のあるアプリやドライブ・バイ・ダウンロードを介して配信されるモバイル・ランサムウェアは、通常、非暗号化型ランサムウェアです。これは、多くのモバイル・デバイスに標準装備されている自動クラウド・データ・バックアップによって、暗号化攻撃は簡単に回復することができるためです。
  • ワイパー型/破壊型ランサムウェアは、身代金が支払われない場合にはデータを破壊すると脅迫しますが、身代金が支払われた場合でもランサムウェアによってデータが破壊されるケースもあります。 この後者のタイプであるワイパー型は、一般的なサイバー犯罪者ではなく、国家的なアクターまたは活動家によって展開されている疑いがあることが多くあります。
  • スケアウェアは、その名の通り、ユーザーを怖がらせて身代金を支払わせようとするランサムウェアです。 スケアウェアは、法執行機関からのメッセージを装い、被害者の犯罪を告発して罰金を請求する場合もあれば、正当なウイルス感染警告を装い、被害者にウィルス対策やマルウェア対策のソフトウェアの購入を促す場合もあります。 スケアウェアは、それ自体がランサムウェアとなってデータの暗号化やデバイスのロックを行う場合もあれば、ランサムウェアのベクトルとなって、暗号化は行わずに被害者にランサムウェアのダウンロードを強要する場合もあります。

注目すべきランサムウェアの亜種

2020年以降、サイバーセキュリティーの研究者は、130種類以上の異なるアクティブなランサムウェア・ファミリーまたは亜種を特定しました。これらは、独自のコード署名や機能を持つユニークなランサムウェア系統です。 

長年にわたって広まってきた多くのランサムウェアの亜種の中でも、破壊の規模、ランサムウェアの開発に与えた影響、あるいは現在でも引き続き保持している脅威という点から、特に注目される系統がいくつかあります。

CryptoLocker

2013年9月に初めて登場したCryptoLockerは、現代のランサムウェアの幕を開けたと広く評価されています。 ボットネット(乗っ取られたコンピューターのネットワーク)を使用して拡散するCryptoLockerは、ユーザーのファイルを強力に暗号化する最初のランサムウェア・ファミリーの1つでした。 2014年に国際的な法執行機関の取り組みによってシャットダウンされるまで、推定300万米ドルを脅し取っていました。 CryptoLockerの成功は多くの模倣品を生み出し、WannaCry、Ryuk、Petya(後述)などの亜種への道を開きました。

WannaCry

注目を集めた最初の暗号化ワーム(ネットワーク上の他のデバイスに自身を拡散できるランサムウェア)であるWannaCryは、管理者がEternalBlue Microsoft Windowsの脆弱性へのパッチ適用を怠っていた20万台以上のコンピューター(150か国)を攻撃しました。 WannaCryランサムウェアは、機密データを暗号化するだけでなく、7日以内に支払いが行われない場合にはファイルを消去すると脅迫しました。 今なお最大級のランサムウェア攻撃の1つであり、推定される被害額は40億米ドルに上ります。

PetyaとNotPetya

他の暗号化ランサムウェアとは異なり、Petyaは個々のファイルではなくファイル・システム・テーブルを暗号化するため、感染したコンピューターはWindowsをブートできなくなります。 大幅に改変されたバージョンであるNotPetyaは、2017年に主にウクライナに対する大規模なサイバー攻撃の実行に使用されました。 NotPetyaは、身代金を支払ってもシステムのロックを解除することができないワイパーでした。

Ryuk

2018年に初めて確認されたRyukは、身代金の要求額の平均が100万米ドルを超えるような、特定の高価値ターゲットに対する「大物狩りランサムウェア」攻撃を広めました。 Ryukは、バックアップ・ファイルやシステムの復元機能を見つけて無効にすることができます。また、2021年には、暗号化ワームの機能を持つ新種が発見されました。

DarkSide

ロシア国外で活動していると疑われるグループが実行するDarkSideは、2021年5月7日に米国のColonial Pipeline社を攻撃したランサムウェアの亜種で、米国の重要インフラストラクチャーに対する過去最悪のサイバー攻撃と見なされています。 その結果、米国東海岸の燃料の45%を供給しているパイプラインが一時的に停止しました。 DarkSideグループは、直接攻撃を仕掛けるだけでなく、RaaS契約を通じてそのランサムウェアのライセンスをアフィリエイトに供与しています。

Locky

Lockyは、正規の請求書を装ったEメールの添付ファイル(Microsoft Word ファイル)に隠されたマクロを使用する、独自の感染方法を備えた暗号化型ランサムウェアです。 ユーザーがMicrosoft Word文書をダウンロードして開くと、悪意のあるマクロがランサムウェアのペイロードをユーザーのデバイスに密かにダウンロードします。

REvil/Sodinokibi

REvil(SodinまたはSodinokibiとも呼ばれる)は、ランサムウェアの配布におけるRaaSアプローチの普及に一役買いました。 大物狩り攻撃や二重恐喝攻撃に使用されることで知られるREvilは、注目すべきJBS USA社とKaseya Limited社に対する2021年の攻撃の背後にいました。 JBS社は米国の牛肉加工業務全体が中断された後に1100万米ドルの身代金を支払い、Kaseya社の1,000を超えるソフトウェア顧客は大規模なダウンタイムの影響を受けました。 ロシア連邦保安局は、2022年初頭にREvilを解体し、そのメンバー数人を起訴したと報告しました。


身代金の支払い

身代金を支払うのはよくあることです。 IBMのCyber Resilient Organization Study 2021では、ランサムウェア攻撃を受けたと報告した参加企業の61%が、身代金を支払ったと述べています。

しかし、米国のすべての連邦法執行機関は一貫して、ランサムウェアの被害者に対して要求された身代金を支払わないように呼び掛けています。 サイバー脅威の調査を担当する20の米国連邦政府機関が提携した連合体である国家サイバー捜査共同タスクフォース(NCIJTF)は、以下のように述べています。

「FBIは、犯罪者に身代金を支払うことを推奨していません。 身代金を支払うことで、敵対者がつけあがってさらに別の組織を標的にするようになり、他の犯罪者がランサムウェアの配布に関与することを助長するようになり、違法行為に資金を提供するようになる可能性があります。 身代金を支払っても、被害者のファイルが回復する保証はありません」

法執行機関は、ランサムウェアの被害者が身代金を支払う前に、FBIのインターネット犯罪相談センター(IC3)などの適切な当局に攻撃を報告することを推奨しています。 ランサムウェア攻撃の被害者の中には、身代金の支払いの有無にかかわらず、ランサムウェアの感染について報告することが法的に義務付けられている場合があります。 例えば、HIPAAのコンプライアンスでは、一般的に、医療機関に対してランサムウェア攻撃を含むあらゆるデータ侵害を保健社会福祉省に報告することを義務付けています。

特定の条件下では、身代金の支払いが違法になる可能性もあります。 米国財務省外国資産管理局(OFAC)の2020年の勧告によると、米国の経済制裁下にある国(ロシア、北朝鮮、イランなど)からの攻撃者に身代金を支払うことはOFACの規制に対する違反となり、民事罰、罰金、刑事罰の対象となる可能性があります。


ランサムウェアに対する防御と対応

ランサムウェアの脅威から防御するために、CISA、NCIJFT、米国シークレット・サービスなどの連邦機関は、以下のような予防措置を講じることを組織に推奨しています。

  • バックアップの保持:機密データおよびシステム・イメージのバックアップを、理想的にはネットワークから切り離せるハードディスクまたはその他のデバイスに保持します。
  • 定期的なパッチの適用:ソフトウェアやオペレーティング・システムの脆弱性を悪用するランサムウェアを阻止するのに役立ちます。
  • サイバーセキュリティー・ツールの更新:マルウェア対策ソフトウェア、ウイルス対策ソフトウェア、ファイアウォール、セキュアなWebゲートウェイなどのサイバーセキュリティー・ツールや、セキュリティー・チームがランサムウェアをリアルタイムで検知して対応するのに役立つエンタープライズ・サイバーセキュリティー・ソリューション(EDR(Endpoint Detection and Response)ツールやXDR(Extended Detection and Response)ツールなど)を更新します。
  • 従業員のサイバーセキュリティー・トレーニング:ランサムウェアの感染につながる可能性のあるフィッシングやソーシャル・エンジニアリングなどの手口をユーザーが認識して回避できるようにするための従業員向けのサイバーセキュリティー・トレーニング。
  • アクセス制御ポリシーの実装:多要素認証、ゼロトラスト・アーキテクチャー、ネットワーク・セグメンテーションなどのアクセス制御ポリシーの実装により、特に重要なデータにランサムウェアが到達したり、暗号化ワームがネットワーク上の他のデバイスに拡散されたりすることを防止できます。

一部のランサムウェア亜種に対する復号化ツールは、No More Ransom(ibm.com外部へのリンク)などのプロジェクトを通じて公開されていますが、アクティブなランサムウェア感染の修復には、多くの場合、多面的なアプローチが必要になります。 米国国立標準技術研究所(NIST)のインシデント対応ライフサイクルを手本にしたランサムウェア・インシデント対応計画の例については、IBM SecurityのDefinitive Guide to Ransomware(PDF、966 KB) を参照してください。


ランサムウェアの簡易年表

1989:AIDSトロイの木馬または「P.C. Cyborg攻撃」として知られている、最初に記録されたランサムウェア攻撃がフロッピー・ディスクで配布されました。 これは、被害者のコンピューターのファイル・ディレクトリーを隠し、それらを再表示するために189米ドルを要求するものでした。 しかし、ファイル自体ではなく、ファイル名を暗号化していたため、ユーザーは身代金を支払うことなく、簡単に被害を回復させることができました。

1996:コンピューター科学者のAdam L. Young氏とMoti Yung氏が、AIDSトロイの木馬ウイルスの欠陥を分析する一方で、より高度な公開鍵暗号方式を使用して機密データを人質に取る可能性のある将来のマルウェアの形態について警告しました。 

2005:2000年代初頭は比較的少なかったランサムウェア攻撃ですが、この頃からロシアや東欧を中心に感染が増加し始めました。 非対称暗号を使用する最初の亜種が登場します。 新しいランサムウェアがより効果的に金銭を強奪する方法を提供するようになるにつれて、より多くのサイバー犯罪者がランサムウェアを世界中に広げ始めました。

2009:暗号通貨(特にビットコイン)の導入が、サイバー犯罪者に追跡不可能な身代金の支払いを受け取る手段を与えることになり、ランサムウェア活動の次の急増を後押ししました。

2013:現代のランサムウェアの時代が、CryptoLockerから始まりました。CryptoLockerは、暗号通貨での支払いを要求する非常に高度な暗号化ベースのランサムウェア攻撃の現在の波を起こしたランサムウェアです。

2015:Toxランサムウェアの亜種が、ransomware-as-a-service(RaaS)モデルを導入しました。

2017:広く使用された最初の自己複製型の暗号化ワームであるWannaCryが出現しました。

2018:Ryukが大物狩りランサムウェアを普及させました。


関連ソリューション

ランサムウェア攻撃からデータを保護する

組織のデータを人質にするランサムウェアの脅威からデータを保護する方法をご覧ください。

ネットワーク・セキュリティー

高度な脅威とマルウェアからネットワーク・インフラストラクチャーを守ります。

Extended Detection and Response(XDR)

オープンなセキュリティー・プラットフォーム上で動作する、脅威の検知および対応機能のモジュール式の統合スイート

IBM Security X-Force Incident Response Retainer

サイバー・インシデント対応の備えを改善して、侵害の影響を最小化する方法を見つけます。

インシデント対応を調整

インテリジェントな調整と自動化で、インシデント対応の速度を速めます。

検知と対応のマネージド・サービス(MDR)

脅威に対する防御は、24時間体制の防止、検出と迅速対応から始まります。

エンドポイント・セキュリティー

リモートワーク傾向やエンドポイントの相互接続の増加には、サイバーセキュリティー上の課題が伴います。 これらに対抗するために、マルウェアやランサムウェアの脅威をプロアクティブにブロックおよび分離し、エンドポイント・セキュリティーをゼロトラストの世界へと推進できる、最新のAI駆動型のエンドポイント対応および検知ツールが必要になっています。

モバイル・デバイスの管理と制御

基本的にすべてのモバイル・デバイス、アプリ、コンテンツを永続的に表示および制御し、AIを活用したセキュリティー分析を実行し、すべてのプラットフォームでセキュリティーを維持します。

フラッシュ・ストレージ・ソリューション

統合されたIBM FlashSystem®プラットフォーム・ファミリーを使用してデータとインフラストラクチャーの管理を簡素化しましょう。これにより、オンプレミスやハイブリッドクラウドの環境、さらには仮想化されコンテナ化された環境での管理と運用の複雑さが効率化されます。


参考情報