ランサムウェア

信頼の理由

ランサムウェアとは?

ランサムウェアは、マルウェア(悪意のあるソフトウェア)の一種です。ランサムウェアはコンピュータに侵入し、ファイルやデータを暗号化することで、持ち主をアクセス不能の状態にします。攻撃者は、再びアクセスするための条件として身代金(ransom)を要求します。

ランサムウェアは「ransom(身代金)」と「software(ソフトウェア)」を合わせた造語です。ランサムウェアは「暗号化」と「情報暴露」という二重の脅迫で、被害者を追い詰めます。さらに最近ではDDoS攻撃の手法も確認されています。

ランサムウェアの目的

ランサムウェアの主な目的は、金銭的な利益を不正に取得することです。攻撃者はデータやシステムを暗号化し、元に戻す引き換えに身代金を要求します。身代金は通常、ビットコインなどの仮想通貨(暗号資産)で要求されることが多いです。犯罪者は仮想通貨を使用することにより、匿名性を保ちやすくしているのです。

金銭以外にも、ランサムウェアは以下のような目的で使用されることがあります。

  • 威嚇や報復:政治的・社会的な動機を持つグループが、特定の組織・国家を標的にしてランサムウェアを利用するケース
  • 競合他社への攻撃:ビジネス上の競合他社を弱体化させるためにランサムウェアを利用するケース
  • 混乱の拡大:攻撃者が単に混乱を引き起こしたい場合や組織・社会機能を妨害したいとき、ランサムウェアを利用するケース

しかしこれらはあくまでレアケースで、ランサムウェアの大半は身代金の要求が目的です。

ランサムウェアのターゲット

ランサムウェアのターゲットは様々です。一昔前のランサムウェアは、ランダムなメールアドレスにフィッシングメールを一斉に送り付け、可能な限り多くの人々に感染させようとしていました。最近の攻撃はターゲットを絞って行われることも多く、サイバー攻撃の対象は民間企業や国家・政府にまで及んでいます。

またターゲットにされやすい場所もあります。例えば病院はターゲットにされやすい場所の代表例です。人命がかかっているため、システムを早く復旧させなければならず、病院が身代金を支払ってしまうケースが想定されているからです。

金融業界も狙われやすいと言われています。こちらは単純に、身代金を支払えるだけの潤沢な資金を持っているからです。

ランサムウェアの感染経路

ランサムウェアの代表的な感染経路は、以下のとおりです。

  • 違法ダウンロード:音楽や映画を違法にダウンロードすると、そのファイルにマルウェアが隠されていることがあります。
  • フィッシングメール:フィッシングメールを使って偽サイトにアクセスさせたり、悪意のあるファイルを開かせたりします。
  • システムの弱点:システムの脆弱性につけ込まれる場合もあります。例えば、リモート・デスクトップ・プロトコル(RDP)は、自宅や外出先からオフィスのIT環境にアクセスできる技術ですが、脆弱性を突いてランサムウェアが拡散されることもあります。

ランサムウェアの仕組み

ランサムウェアによる攻撃は、以下の流れで行われます。

  1. ネットワークに侵入
  2. 攻撃範囲の拡大
  3. データの暗号化・持ち出し
  4. ランサムウェアの実行

1.ネットワークに侵入

まず攻撃者であるハッカーは、ターゲットとなる企業や組織のネットワークに侵入します。VPNなどのネットワーク機器の脆弱性を突いたり、従業員にソーシャルエンジニアリングを仕掛ける場合もあります。

2.攻撃範囲の拡大

続いてハッカーは、ネットワーク内の攻撃範囲を拡大しようとします。情報やデータを把握した上で、なるべく多くの権限を得ようとします。

3.データの暗号化・持ち出し

さらにハッカーは、ランサムウェアを実行する材料を集めます。データを暗号化して読み取れないようにしたり、重要な機密データを持ち出します。

4.ランサムウェアの実行

最後に、ターゲットに要求を突きつけて、ランサムウェアを実行します。多くの場合、ターゲットの端末に身代金要求のメッセージを表示し、脅迫します。

ランサムウェアの被害事例

ランサムウェアによって、どのような被害が生じうるのでしょうか?輸送・石油大手A.P.モラー・マースクの事例をご紹介します。

A.P.モラー・マースクは、デンマークに拠点を置く世界最大の海運企業です。サプライチェーンの管理、海港の運営、石油掘削などの事業も手がけています。A.P.モラー・マースクは2017年6月27日、ランサムウェア攻撃を受けました。攻撃からわずか4時間の間に、130か国の事業拠点で運営停止に追い込まれました。

攻撃に使われたのはNotPetyaと呼ばれる、最も凶悪なランサムウェアの1つです。2017年には世界中の会社がNotPetyaの被害を受け、問題となりました。

A.P.モラー・マースクも、NotPetyaによる攻撃を受けた企業の1つです。しかし、同社は身代金を支払わず、迅速に新システムを再構築しました。最終的なコストは3億ポンド(約572億円)超に上りました。

他の例もあります。ノルウェーに拠点を置くアルミニウム製造大手ノルスク・ハイドロは、ランサムウェア「LockerGogo」に感染し、アルミニウム生産ラインを完全停止に追い込まれました。同社もまた、身代金を支払わず、ライン復旧のために4000万ドル(約60億円)を負担。スペインの食品大手モンデリーズも2017年にNotPetyaの攻撃を受け、1億ドルの損失を被りました。

ランサムウェアの被害を受けた企業や組織、法人の数は数え切れません。そしてこれらは、ランサムウェアの一部に過ぎないのです。

ランサムウェアに感染したらどうなる?

ランサムウェアに感染すると、以下のように様々な被害が発生します。

  • データの暗号化:ランサムウェアは、感染したコンピューター上のファイルやデータを勝手に暗号化します。ファイルは開けなくなり、持ち主はデータの所有者であるにもかかわらず、アクセス権を失います。文書・画像・データベースなど、あらゆる種類のファイルが対象になります。
  • 身代金の要求:攻撃者は、暗号化したファイルを元に戻す(復元する)代わりに、身代金を要求するケースが多々あります。こうした金銭の要求は、デスクトップや特定ファイルを開いたときに表示されます。
  • アクセスの制限:重要なファイルやシステムへのアクセスが制限され、大切な記録やデータにアクセスできなくなります。最悪の場合、企業や組織は業務停止に追い込まれます。
  • データ損失のリスク:身代金を支払っても、攻撃者が約束を守り、暗号化されたデータを復元するとは限りません。重要なデータを永久に失うリスクがあります。
  • セキュリティと信頼の損失:組織がランサムウェアに感染すると、顧客やパートナーの信頼を損なう可能性もあります。感染したという事実は「セキュリティ対策が不十分である」という評判を広めてしまうため、再び攻撃を受けるリスクが高くなります。
  • 金銭面の損失:身代金の支払い・復旧作業のコスト・生産性の低下・信頼性の損失によるビジネスの機会損失など、多方面で金銭的な損失が生じます。

ランサムウェアの種類と特徴

ランサムウェアには、さまざまなタイプの攻撃方法が存在します。サイバー攻撃の手法は日々進化しているので、常に警戒心を持つことが重要です。代表的なランサムウェアの種類と、その特徴は以下のとおりです。

スケアウェア

スケアウェアは、相手を怯えさせる(scare)ためのマルウェアです。スケアウェアは「コンピュータに何か問題がある」「ウイルスに感染している」「スパイウェアに侵入された」などとポップアップを表示します。

その後「問題を解決するためには身代金を支払う必要があり、支払えば問題は解決する」と言われます。ITサポートやテックサポート、ときにはマイクロソフトのサポートを装うこともあるので注意が必要です。

スケアウェアによる攻撃では、実際のところファイルに影響はありません。ポップアップを消して、ウイルス対策ソフトなどを使ってコンピュータをクリーンな状態にすれば、正常な状態に戻る場合がほとんどです。必要に応じて、専門家やサポートに依頼しましょう。

スクリーンロッカー

スクリーンロッカーは、その名のとおり「画面(スクリーン)をロックする攻撃」です。攻撃されたコンピュータには、全画面ウインドウでメッセージが表示され、閉じることも動かすこともできなくなります。画面には、次のようなメッセージが表示されます。

  • ランサムウェアに感染したので、身代金を支払ってください。
  • 警察があなたのコンピュータ上で違法ダウンロード・海賊版ソフトウェア・犯罪的なポルノなどを検出しました。罰金を支払って、コンピュータを正常な状態に復元してください。

マウスやキーもロックされる場合が多いので、一般的なユーザーは何もできなくなります。しかしスクリーンロッカーはロックされた画面を表示させているだけで、大半のケースで内部ファイルは無事です。落ち着いて対処することが大切です。

暗号化ランサムウェア

暗号化ランサムウェアは、文字どおりファイルを暗号化します。これが本来のランサムウェアです。暗号化ランサムウェアは、発動する数週間前からネットワーク内に潜んでいる場合もあります。できるだけ多くのコンピュータを感染させようとしているのです。

待機時間が長いと、ランサムウェアはバックアップデータに含まれるケースもあります、最終的に身代金を支払わずにシステムを再構築する場合も、データと一緒に暗号化ランサムウェアを復元してしまい、数週間後に再び攻撃されることも。

ランサムウェアは、情報を収集してサーバーに送り返します。仕組み自体はかなり単純で、指示を出すのはサーバー側(もしくは人間)です。ランサムウェアは情報を集めて報告し、サーバー上の自動化されたソフトウェアから新しい指示を受け取り、指示に従います。このサイクルが繰り返されるのです。

ランサムウェアの対策方法

ランサムウェアから身を守るための対策方法は、以下のとおりです。

  • ソフトウェアを最新バージョンに保つ:パソコンやスマートフォンのシステムやアプリを、常に最新バージョンに更新してください。攻撃者が利用し得る穴(脆弱性)を減らせます。
  • 管理者権限の使用を控える:管理者権限を、なるべく使わないようにしましょう。プログラムをインストールするときなど、必要なときだけに管理者権限を使うようにしてください。
  • セキュリティソフトを使う:ウイルス対策ソフトをインストールし、常に最新の状態に保ちましょう。ウイルスやマルウェアから身を守ることに繋がります。
  • 定期的にバックアップを取る:大切なデータは、外部ドライブやクラウドサービスなどに、定期的にバックアップしておきましょう。万が一感染しても、データを復旧できます。
  • 復旧計画を立てる:もしものときに備えて、攻撃を受けた場合のシステム復旧計画を立てておきましょう。
  • サイバーセキュリティの訓練を受ける:メールの添付ファイルや怪しいリンクを開かない、見知らぬUSBメモリーをパソコンに挿さないなど、基本的なセキュリティ対策を学びましょう。

これらの対策を実践することで、ランサムウェアからデバイスを守ることができます。

もし、ランサムウェアに感染してしまったら?

コンピュータがランサムウェアに感染してしまった場合の対処法を説明します。ただし、自分の判断で全て進めるのではなく、必要に応じてITサポートや専門家に助言を求めることが重要です。

  • 感染したデバイス・データを確認する:ランサムウェアによる感染が確認されたら、被害を受けたデバイスや、暗号化されたデータの所在を確認しましょう。
  • ランサムウェアの攻撃範囲を特定する:被害の範囲を確認します。管理者権限は無事か、データを外部に送信された可能性はないか、などを確認します。
  • 感染した端末をネットワークから遮断する:ランサムウェアに感染した端末を、ネットワークから隔離しましょう。全体を隔離するか、被害を受けた部分だけを隔離するかも検討します。
  • 被害を受けた範囲を調べ、適切な対応をとる:被害状況を調べ終わったら、必要な対策を取ります。状況によって対応は変わってくるので、被害を最小限に抑え、可能な限り迅速に復旧する方法を選ぶことが大切です。
  • 警察のサイバー犯罪窓口などに相談する:被害を警察に相談しましょう。ランサムウェアに限らず、サイバー犯罪の実態を明らかにし、被害を拡大させないためにも重要です。

ランサムウェアによる身代金要求に従うべきか?

ランサムウェアに感染してしまったとき、身代金を支払うべきかどうかは非常に難しい問題です。一般的には「払うべきではない」とされています。多くのサイバーセキュリティ専門機関などの情報でも、身代金を支払わないようにと勧めています。

なぜなら、身代金を支払うことが攻撃者にとっての報酬となり、さらにこれからも攻撃を続ける動機付けになるからです。身代金の支払いは「犯罪者との金銭的な取引」です。場合によっては、違法行為に加担したとみなされるかもしれません。

また、身代金を支払ったとしても、データが元に戻る保証はありません。身代金を支払ったにもかかわらず、データ復元までに長い時間がかかる場合もあります。約65%〜70%の割合でデータは正常に復元すると言われていますが、すべての攻撃者が約束を守るわけではありません。

身代金への対応方法は個々の状況によりますが、最も大切なのは感染しないための予防対策を講じることです。ウイルス対策ソフトの更新や定期的なバックアップなど、予防策をしっかりと行うことが、ランサムウェアから身を守る最善の方法です。

関連用語

Marshall Gunnell
IT & Cybersecurity Expert
Marshall Gunnell
IT・サイバーセキュリティ専門家

米ミシシッピ州出身のマーシャル・ガンネルは、10年以上の経験を持つITおよびサイバーセキュリティの専門家です。Techopediaに加えて、Business Insider、PCWorld、VGKAM…...