ランサムウェア

ランサムウェアとは、マルウェアの一種です。ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するメッセージ（ランサムノート）を表示します。なお、ランサムウェアという言葉はRansom （身代金）とSoftware （ソフトウェア）を組み合わせた造語です。 

動画（音声無し）：ランサムウェア「LockBit」がデータを暗号化する過程（検体を使用した感染デモ）。
②「内部活動」の過程で高い権限を得た後に暗号化を実行しているため、組織全体へランサムウェアが実行されてしまう。
Lockbitが初めて登場したのは2020年だが、本動画は2021年以降に登場したLockBit2.0の挙動を示している。
詳細はセキュリティブログにて：ランサムウェアスポットライト：LockBit
 

日本では2015年頃からランサムウェアの被害が発生しています。当時は、ランサムウェアをメールに添付し、不特定多数に対して送信する「ばらまき型」の手法がほとんどでした。 

その後、2019年後半から、海外では「Human-Operated」、日本では「標的型ランサムウェア攻撃」、「侵入型ランサムウェア攻撃」などとも呼ばれ、特に法人組織を攻撃対象とする攻撃手法が主流となりました。ランサムウェアを使うサイバー犯罪者は、事前に被害組織のネットワークに侵入、組織が持つ情報を窃取し、最終的に被害ネットワーク内にランサムウェアを拡散し、実行します。 

また、その上で、「身代金を支払わなければ、情報を暴露する」といった脅迫を行う手法も登場しました。攻撃者の狙いは、暗号化と情報暴露の「二重の脅迫」により被害組織を追い詰め、より多額の身代金を払わせることです。このような脅迫の手法は、「暴露型」または「二重脅迫型」と呼ばれます。さらに現在では、被害組織のウェブサーバなどに大量のパケットなどを送りつけて正常なサービス提供ができないよう妨害するDDoS攻撃の実施や、取引先などの関連組織に情報漏洩を通知するなどの脅迫を行う「多重脅迫」の手法も確認しています。

動画（音声無し）：ランサムウェア「AvosLocker」（2021年登場）がデータを暗号化する過程（検体を使用した感染デモ）。 
「暴露型」の脅迫。暗号化に加えて、窃取した情報を暴露すると脅迫している。

ランサムウェア攻撃は、主に「初期侵入」「内部活動」「情報持ち出し」「ランサムウェア実行」の4つの段階に分けて考えることができます。特に「内部活動」以降では、いわゆる「標的型攻撃」と同様の攻撃手法が使用されています。 

図：ランサムウェア攻撃の手口

①初期侵入

攻撃者は、情報窃取およびランサムウェアの感染という目標を達成するために、事前に内部ネットワークに侵入します。内部ネットワークに侵入する方法として、例えばネットワーク機器（VPNなど）の脆弱性を悪用したり、リモートデスクトッププロトコル（RDP）のパスワード管理の不備を利用したり、被害組織の従業員へフィッシングメールを送り、マルウェアに感染させたりするケースがあります。

②内部活動 

標的組織の内部ネットワークへの侵入に成功した攻撃者は、遠隔操作ツール（RAT、Remote Access Tool）を用いて企業ネットワーク内の端末を遠隔操作することで、できる限り強力且つ多くの権限の獲得を試みます。多くの場合、攻撃者は検知や監視を逃れるため、正規ツールを悪用します。例えば、通常はシステムの脆弱性を検出するペネトレーションテストに使われるツールや、クラウドストレージなどのクラウドサービスなどが悪用されます。このような攻撃者の手口は、標的組織で使われている環境（システムやツール）を悪用する攻撃、「環境寄生型（Living off the Land）」と呼ばれます。

③データ持ち出し

攻撃者は十分な権限を取得すると、情報暴露の脅迫を行うために必要となる機微な情報を求めて企業のネットワーク内を探索します。窃取した情報は一か所に集約し、攻撃者のサーバにアップロードします。

④ランサムウェア実行

データのアップロードが完了すると、最後に被害組織へランサムウェアを展開して実行します。攻撃者はランサムウェアを確実に実行するために、展開前にセキュリティ対策ソフトを停止させることがあります。その上で、グループポリシー機能などを使ってランサムウェアを組織内ネットワークに展開・実行します。ファイルを暗号化した後は、対象の端末に身代金要求画面を表示させることで脅迫を行います。 

動画（音声無し）：ランサムウェア「Jigsaw」（2016年登場）がデータを暗号化する過程（検体を使用した感染デモ）。
暗号化したデータを人質として身代金を要求する、典型的なランサムウェアの挙動を示している。

世界初のランサムウェア 「AIDSTrojan」 が出現したのは1989年でした。AIDSTrojanは、ハードディスクのファイルを暗号化し身代金を要求するマルウェアです。この当時は、まだ現在のランサムウェアのようにインターネット経由で感染するものではなく、外部媒体等から感染していました。

その後しばらくは目立った流行はありませんでしたが、2005年には感染した端末のデータを暗号化するランサムウェアが流行します。また、2010 年には感染した端末をロックするランサムウェアが登場します。この時期は、主にメールの添付ファイルなどを経由してランサムウェアが拡散されました。

2013年には「CryptoLocker」が登場し、ランサムウェアの流れに大きな変化をもたらしています。これ以前のランサムウェアは感染した端末上に暗号化鍵を保存しており、データの復号が可能なケースがありました。しかし、このCryptoLockerの登場以降、外部のコマンド&コントロール（C&C）サーバと通信して暗号化活動を行い、復号を困難にする手口が主流となってきます。その後、日本語に対応したランサムウェアが確認されるなど、その脅威が少しずつ国内にも拡大してきました。ランサムウェアに感染したPCのローカルファイルだけでなく、ネットワークで共有しているファイルを暗号化するランサムウェアが出現し、法人組織内で被害が深刻化するようになったことも特筆すべき変化です。

さらに2017年、「WannaCry」が出現し、ランサムウェアは世界的に大きな注目を浴びます。WannaCryは、ファイル共有等に用いられる通信プロトコル「SMB（サーバメッセージブロック）」の脆弱性を悪用することで世界中に拡散し、大きな被害をもたらしました。この事態は多くの企業においてセキュリティレベル強化の契機となり、ランサムウェア被害は減少の一途を辿ります。しかし2018年頃、標的型攻撃の手法が出現したことで潮目が変わり、ランサムウェアは再びセキュリティの重大脅威となりました。この代表的なランサムウェアが「Ryuk」です。2019年以降は「MAZE」の登場をきっかけに、一連の攻撃の中で情報を窃取し、窃取した情報を用いて暴露の脅迫を行う「二重脅迫」の手口が普及し、被害を拡大させています。

図：ランサムウェアの主な変遷

「Ryuk」、「MAZE」、「LockBit」など、ランサムウェアには様々な種類があります。これらはファミリーとも呼ばれます。基本的には、それぞれのファミリーに対して異なる攻撃者が背後に存在します。また、攻撃者（すなわち、ランサムウェアのファミリー）によって、攻撃対象の傾向や攻撃手口の詳細は異なります。トレンドマイクロでは、主要なランサムウェアファミリーと、それぞれで想定される攻撃者の特色について、ブログで解説しています。攻撃の特色を把握することは、リスクの特定に役立ちます。また、ランサムウェア攻撃を受けた際にファミリーが特定できる場合は、被害原因の特定などのためにご参照ください。

最近のランサムウェア攻撃においては、ランサムウェアを攻撃に使いたいと考える利用者（アフィリエイター）向けに、ランサムウェアを販売・レンタルするサービス「Ransomware as a Service（RaaS）」も普及しています。以前のランサムウェア攻撃は、攻撃者自身がランサムウェアを作成し、攻撃も運営する垂直統合型が主でした。しかし、RaaS が登場したことで、技術的な知識を持たない攻撃者でも容易にランサムウェア攻撃を仕掛けることが可能になりました。これが、ランサムウェア攻撃が拡大している要因の一つになっています。 

実際に、トレンドマイクロで検出台数が多いランサムウェアファミリーのほとんどは、RaaSによって提供されています。RaaSの詳細については、リサーチペーパー「広範な攻撃を可能にするサービスとしてのランサムウェア（RaaS）」をご覧ください。

図：ランサムウェアの直接運用（左）および RaaS を介した運用（右）の比較

2022年を通じ、国内法人組織に最も大きな被害を与えた脅威がランサムウェア攻撃でした。メール経由の「ばらまき」型から、ネットワーク侵入を前提とした「ランサムウェア攻撃」への変化が起こった 2019 年以降、国内における四半期毎のランサムウェア検出台数はここ数年、高止まりの状況となっています。2022年第4 四半期は 5,986件と過去最多を更新しました。

図：日本国内でのランサムウェア検出台数推移

実際にランサムウェアに感染した場合、次の3つの影響が懸念されます。 
一つ目は、必要なデータやＰＣが使えなくなることによる「業務、サービスの停止と機会損失」、二つ目は窃取された情報を暴露されることによる「情報漏洩」、三つ目は被害組織の関連会社や取引先といったサプライチェーンに対する影響が生じることによる「信頼喪失」です。

暗号化や端末ロックによる業務・サービス停止

ランサムウェアに感染すると、ランサムウェアが実行された端末のローカルドライブおよび接続されているネットワークドライブ（ファイルサーバなど）のファイルが暗号化されます。あるいは、感染端末がロックされ、通常の操作ができない状態になります。業務システムやオンラインシステムがランサムウェアの影響を受けると、通常通りのサービスを提供できなくなる可能性があります。
実際に、国内の医療機関においても、ランサムウェア攻撃により電子カルテシステムに障害が発生し、外来診療や一部手術の停止、また救急患者の受け入れなどを制限しなければいけないという被害が発生しました。このケースでは、全面的な復旧までに、約2か月を要しました。

情報漏えい

暴露による二重脅迫を意図したランサムウェア攻撃では、多くの場合、攻撃者は脅迫を行うため事前に標的組織がもつ情報を窃取します。脅迫を成立させるため、攻撃者は窃取した情報の項目や情報の一部を自身のWebサイト上に暴露し、交渉に持ち込みます。また交渉の成り行き次第では暴露内容が増え、漏えい被害が深刻化する場合があります。
実際に、国内のあるソフトウェア開発企業において、従業員の個人情報や業務計画などの機密情報が窃取され、攻撃者のウェブサイト上に公開されるという被害が発生しています。

サービス妨害・顧客や利害関係者からの信頼喪失

攻撃者によっては、暗号化・情報暴露に加えて、更なる攻撃を仕掛ける場合があります。
例えば、ランサムウェア「DarkSide」は、ファイルの暗号化、窃取した情報の暴露（情報漏えい）に加えて、DDoS攻撃を行い、被害組織の顧客やサプライチェーン関係者への脅迫を行いました。これは、さらなる業務・サービス停止の恐れがあることに加えて、顧客やサプライチェーン関係者からの信頼を失う可能性があります。

図：脅迫の種類および想定される被害