ランサムウェアの脅威の変遷と今後の予測
2017 年に入っても「WannaCry」による被害が世界中で発生するなど、引き続きランサムウェアは法人組織にとって深刻な脅威です。今回はこうしたランサムウェアの歴史を振り返るとともに、最新の脅威状況を踏まえ、今後予測される動向について解説します。
2016 年はランサムウェアが世界中で猛威を振るい、個人・法人を問わず多くのユーザがその脅威にさらされました。トレンドマイクロが 2016 年 8 月に国内法人ユーザを対象に実施した「企業におけるランサムウェア実態調査 2016 」の結果からも、約 4 人に 1 人が「自組織がランサムウェアの攻撃に遭ったことがある」と回答しており、深刻な実状が浮き彫りになっています。2017 年に入っても「WannaCry」による被害が世界中で発生するなど、引き続きランサムウェアは法人組織にとって深刻な脅威です。今回はこうしたランサムウェアの歴史を振り返るとともに、最新の脅威状況を踏まえ、今後予測される動向について解説します。
ランサムウェアの歴史を振り返る
昨年全世界で猛威を振るったランサムウェアですが、その歴史は古く、世界初のランサムウェア「AIDSTrojan」は 1989 年に出現しています(図1)。この当時はまだ現在のランサムウェアのようにインターネット経由で感染するものではなく、外部媒体等から感染し解除のために金銭を要求するものでした。
2013 年には「CryptoLocker」が登場し、ランサムウェアの流れに大きな変化をもたらしています。従来の暗号化型ランサムウェアは感染した端末上に暗号化鍵を保存しており、データの復号が可能なケースがありました。しかし、この「CryptoLocker」の登場以降、外部のコマンド&コントロール(C&C)サーバと通信して暗号化活動を行い、復号を困難にする手口が主流となってきます(図3)。その後、日本語に対応したランサムウェアが確認されるなど、その脅威が少しずつ国内にも拡大してきました。ネットワーク共有上のファイルを暗号化するランサムウェアが出現し、法人組織内で被害が深刻化するようになったことも特筆すべき変化です。
このように徐々に悪質化してきたランサムウェアは、2015 年 12 月に「vvv ウイルス」の登場によって国内でも話題となります。この「vvv ウイルス」は、「CrypTesla」と呼ばれるランサムウェアファミリの亜種でした。この時期からランサムウェアの国内での脅威は増加し始め、感染した端末のマスターブートレコードを暗号化する「PETYA」や暗号化したファイルをネット上に公開すると脅してくる「CHIMERA」など、様々な機能を持ったファミリが続々と出現するようになりました。
ランサムウェアはこうした過渡期を経て、凶悪化を続け、2016 年に世界中で大流行します。
2016 年はランサムウェアの急増期
2015年、ランサムウェアの黎明期から過渡期にかけて新たに出現したファミリの数は 29 種類でしたが、2016 年はその数が前年比で 752% の増加を見せ、247 種類に急増しました。また、国内では 2 月からランサムウェア「Locky」の脅威が深刻化し、複数の法人組織で被害が確認されました。2016 年に確認されたランサムウェアでは、データベース関連のファイルや Web サイト関連のファイルなど、法人組織が主に扱うようなデータを明示的に暗号化しようと狙っているものが確認されており、サイバー犯罪者が法人組織を標的としてきた傾向が見られました。
2017 年に入ってからランサムウェアの脅威は、急増期となった 2016 年と比較すればやや落ち着いているものの、1月から3月の間には58種類の新ファミリが登場するなど、脅威は高止まりの状態だと考えられます。
最新の脅威と今後予測される動向
2017 年 4 月に「CERBER」の亜種で、機械学習による検出を回避する機能を備えたランサムウェアが出現しています。その他、サンドボックスによる検出を回避したり、不正なサイトへのアクセスをブロックする機能を回避するといった機能を搭載したランサムウェアも確認されており、今後も様々なセキュリティソリューションを回避するより高度な機能を持つランサムウェアが出てくることが考えられます。
また、5 月にランサムウェア「WannaCry」の被害が世界中で発生し、国内でも複数の法人組織で感染被害が報道されました。「WannaCry」は SMB(ServerMassageBlock)の脆弱性を狙って攻撃を仕掛け、ワーム活動によって感染を拡大させる機能を持っており、すでに類似の模倣犯も確認されています。引き続き、こうした脆弱性を悪用しワーム活動を行うようなランサムウェアが登場する可能性があります。
今回の「WannaCry」では工場を操業停止に追い込むなど、通常のオフィス環境以外でも被害が出ています。昨年には米国市交通局がランサムウェアに感染し、駅の端末や券売機が使用できなくなる事態が発生しています。そうした事例をもとに、サイバー犯罪者は今後都市の交通システム、工場で使用される制御系システム、そして決済システムといった重要インフラを標的としてくることが推測されます。そうしたランサムウェアの脅威に対し、法人組織ではあらためてセキュリティ対策の状況を見直すことをお勧めします。
トレンドマイクロでは、ランサムウェアの脅威を振り返り今後を予測するとともに、法人組織が知っておくべきランサムウェアの対策についてまとめた解説書を公開しました。詳細については以下のダウンロードページを参照してください。
ランサムウェアの最新脅威から今後の動向予測までをまとめた解説書
ランサムウェア 過去、現在、そして未来:http://www.go-tm.jp/ransom-roundup