ランサムウェアの概要

ランサムウェアとは感染端末をロックする、端末内や共有ネットワーク上の重要なファイルを暗号化するなどして使用不可にさせ、その復旧と引き換えに身代金を要求する不正プログラムです。サイバー犯罪者はこの不正プログラムを利用し、攻撃対象を脅迫して直接金銭を入手することを試みます。

ランサムウェアによって暗号化されたファイルは簡単に復号することはできず、情報を復旧するにはバックアップを利用するしかありません。企業には身代金を支払うことでファイルを取り戻すという選択肢がありますが、これは行うべきではありません。なぜなら、身代金を支払ったとしてもファイルが戻る保証がないだけでなく、サイバー犯罪を助長し、今後も自組織が標的にされ続ける可能性があるためです。

【特徴】重要な情報を暗号化して身代金を要求する

ランサムウェアに感染すると、まずローカルストレージやネットワークストレージをスキャンして、暗号化できるファイルを探します。ランサムウェアは、一般的に企業や個人にとって重要とみなされるファイルをターゲットとします。この対象はバックアップファイルも例外ではありません。以下に、ランサムウェアがターゲットとするファイルタイプの例を示します。

  • Officeファイル:.xlsx、.docx、.pptxおよび旧バージョン
  • 画像ファイル:.jpeg、.png、.gif 
  • 図面ファイル:.dwg 
  • データファイル:.sqlと.ai
  • 動画ファイル:.avi、.m4a、.mp4
     

ランサムウェアの種類によってターゲットとなるファイルタイプは異なりますが、多くのランサムウェアで共通して標的となるファイルタイプも存在します。ほとんどのランサムウェアは、重要なビジネス情報が保存されていることが多いMicrosoft Officeファイルをターゲットとします。これは重要なファイルをターゲットとすることにより、身代金が支払われる可能性が高まるためです。

ランサムウェアはファイルを暗号化した後、標的企業に対してメッセージを表示します。攻撃者はファイルの暗号化を解除するための鍵と引き換えに身代金の支払いを要求します。この際、攻撃者は主に暗号資産(主にビットコイン)を要求します。この方法で支払いを受けると、サイバー犯罪者は捕まるリスクが低下するためです。また、攻撃者は身元を特定されないように、匿名ネットワークTORに接続しているサーバを利用します。身代金は数百ドルから数百万ドルまで様々です。感染するランサムウェアによっては、身代金をすぐに支払ないと要求金額を引き上げるものもあります。

図1:DARKSIDEが用いた身代金要求文書(ランサムノート)

【感染手口】フィッシングメールや不正サイトを利用する

ランサムウェアを感染させる手口は複数ありますが、その一例としてフィッシングメールがあります。ユーザがフィッシングメールの添付ファイルを開くか、メールに記載されたリンクをクリックすることが感染のきっかけとなります。その後、攻撃者が管理するサーバから不正プログラムがダウンロードされます。

ダウンロード後、ランサムウェアはネットワークドライブに潜伏するか、感染したコンピュータで直接実行されます。ランサムウェアが実行されると、利用可能なローカル/ネットワークストレージシステムでターゲットファイルの拡張子がスキャンされ、そのファイルが暗号化されます。従来のランサムウェアでは、シンプルな共通鍵暗号方式、あるいはクライアント側やサーバ側の公開鍵暗号方式が使用されていました。最近のランサムウェアは、この2つを組み合わせて攻撃の効果を高めています。詳しくは最下部の「【補足】ランサムウェアによる暗号化の手法」をご覧ください。

昨今の傾向】暴露型による二重脅迫が一般化

2020年に入りランサムウェアは、ばらまき型の攻撃により侵入後直ちに発病する単体のマルウェアではなく、組織から金銭を脅し取ろうと目論むサイバー犯罪者が利用するツールの1つとなっている傾向にあります。そのことを象徴する最も特徴的な攻撃手口の変化としては、「暴露型」のランサムウェア攻撃が挙げられます。サイバー犯罪者はまず、ランサムウェアによりファイルを復号するための身代金を要求します。さらに、被害組織の企業名を自身のウェブサイト上で公開し、「身代金を支払わなかった場合には窃取した情報を公開する」という脅迫を行います。この「二重の脅迫」とも呼ばれる手口によりサイバー犯罪者は、被害組織が身代金を払ってでも被害を回避しようとする動機を高めようとしています。
この「暴露型」手口の前提としては、ランサムウェアの発病前に被害組織のネットワーク内から情報窃取を行っておくことが必要です。つまり、サイバー犯罪者は事前にネットワークに侵入し、遠隔操作によって情報窃取を行った後にランサムウェアを発病させます。これらの活動の際には、ネットワークアカウントの認証情報窃取、ADサーバの侵害、セキュリティソフトの無効化など、これまで標的型攻撃で見られてきた内部活動と同様の巧妙な活動が見られています。また、ネットワークへの侵入手段としてもメール経由の侵入に加え、脆弱なRDPやVPNを経由した直接侵入の事例も目立っています。

【被害事例】世界中の組織で被害が続出

ランサムウェア攻撃は、世界中の組織で影響を及ぼしています。被害者がランサムウェアを封じ込めたとみなした後でさえ、継続的に問題が発生する場合もあります。セキュリティ対策製品は様々なランサムウェアを捕捉しますが、サイバー犯罪者はセキュリティ対策製品による検知を回避するために新しいタイプを開発し続けています。

たとえば、2018年頃に台頭したランサムウェアRyukは、Windowsの「システムの復元」機能を無効化します。これにより、ユーザはこのオペレーティングシステムの過去の復元ポイントから復旧することができなくなります。Ryukは大規模の企業をターゲットとしていたため、数十万ドルの身代金が要求されました。

CryptoLocker、WannaCry、Petyaはすべて異なる形式のランサムウェアですが、世界中でインフラの停止を引き起こし、銀行や政府機関にまで影響を及ぼしました。特に、WannaCryは、Windowsマシンをターゲットとし、米国国家安全保障局(NSA)によって開発されたエクスプロイトを利用して、侵入できるネットワークドライブをスキャンし、脆弱性のあるファイルを暗号化しました。

継続しているランサムウェアの脅威には、Gandcrab、SamSam、Zeppelin、REvilなどがあります。このような比較的新しいランサムウェアの亜種は、企業システムを破壊する機能を備えた危険な不正プログラムとして脅威を与え続けています。

【対策】初期侵入および内部活動を防ぐ

被害を防ぐための一般的な対策として、まずはランサムウェア攻撃のきっかけとして利用されるフィッシングメール対策や外部に公開されたサービスの脆弱性対策などが重要です。また、仮に侵入を許してしまった場合でも被害が発生する前にサイバー犯罪者の内部活動に気づき対処することも有効です。また、ランサムウェアの仕組みと企業に影響を及ぼす手口を把握することはランサムウェアに対する防御を改善するために役立ちます。

セキュリティソリューションを活用した対策では、URLフィルタリング機能やメールセキュリティ対策製品により初期侵入を防ぐことが有効です。また、仮に感染してしまった場合でも機械学習と挙動監視を備えた不正プログラム対策機能を有するエンドポイントセキュリティ製品でランサムウェアおよび攻撃に使われる各種ツールを検知できる場合があります。

また、組織の重要情報の消失を防ぐという観点ではこれまで通りバックアップの取得も重要です。しかしながら、ローカルドライブやネットワークドライブに保存されたバックアップファイルはランサムウェアの暗号の標的となる可能性があります。クラウドストレージはランサムウェアのネットワークスキャンの対象とならないことから、バックアップの保存先として適しています。ただし、ローカルドライブやサブフォルダとしてクラウドストレージをマッピングしている場合は例外です。

【補足】ランサムウェアによる暗号化の手法

ランサムウェアはここ数年で様々な進化を遂げており、ファイルを暗号化する手法も変化しています。ここでは、共通鍵暗号方式から現在主流となっているハイブリッド暗号方式までの暗号化の特徴や手順について紹介します。

共通鍵暗号方式による暗号化

最近のサイバー犯罪者が共通鍵暗号(暗号化と復号に同一の鍵を用いる暗号方式)だけを用いたランサムウェアを利用することはめったにありません。一般に、この鍵はローカルシステムに格納されます。したがって、専門家や研究者がその鍵を見つければ、身代金を支払わずにデータを復号することができます。サイバー犯罪者はこれを防ぐため、ハイブリッド暗号化が使用するケースが増えています。

公開鍵暗号方式による暗号化(クライアント側で鍵ペアを生成)

公開鍵暗号方式では、公開鍵でデータが暗号化され、公開鍵とは別の秘密鍵でデータが復号されます。一般的な公開鍵暗号化方式の1つには、HTTPSでも採用されているRSA暗号があります。公開鍵暗号方式を用いることで、暗号化する際に用いられた鍵を特定して復号される問題点を回避できます。しかしながらRSAをはじめとする公開鍵暗号方式は共通鍵暗号方式よりも暗号化・復号のスピードが遅いという問題点があります。
攻撃者は秘密鍵をサーバに送信する前に、すべてのファイルを暗号化する必要があります。ランサムウェアは暗号化を終了してから秘密鍵を攻撃者のサーバに送信し、ローカルストレージから削除します。この方式には、暗号化が完了する前にコンピュータがオフラインになってしまうリスクがあります。その場合、秘密鍵は攻撃者のサーバに転送されません。

公開鍵暗号方式による暗号化(サーバ側で鍵ペアを生成)

攻撃者のサーバ側で鍵ペアを作成し、コンピュータがオンラインになったときにファイルを暗号化すると、クライアント側で鍵ペアを生成した場合の問題点が解決されます。攻撃者のサーバで秘密鍵と公開鍵のペアが生成され、サーバの公開鍵を用いてファイルが暗号化されます。

仮にサイバー犯罪者が身代金の支払いと引き換えにファイルを復号する場合、攻撃者は復号用の秘密鍵を被害組織に転送します。攻撃者にとってのリスクは、秘密鍵の転送時に、同じランサムウェアによる他の被害者がこの鍵を傍受して入手する可能性があることです。身代金を支払った被害者や鍵を傍受した他の被害者は、被害を受けた他の企業とその鍵を共有してランサムウェアを無効にすることができる場合があります。

・ハイブリッド暗号方式による暗号化

サイバー犯罪者は、これらの暗号化手法によるランサムウェアには弱点があることに気づいたため、ハイブリッド暗号方式による暗号化を設計しました。ハイブリッド暗号方式による暗号化では、ソフトウェアによって共通鍵暗号と公開鍵暗号の2つの組み合わせが生成され、暗号化チェーンにより旧バージョンの問題が解決されます。暗号化チェーンの仕組みを以下に示します。

  1. 「共通鍵」によって被害者端末Aのファイルを暗号化します。
  2. 被害者端末A側で「鍵ペアA」を生成します。「Aの公開鍵」で「共通鍵」を暗号化します。
  3. 攻撃者サーバB側で「鍵ペアB」を生成します。「Bの公開鍵」で「Aの秘密鍵」を暗号化します。これを被害者端末から攻撃者サーバに送信します。
  4. 身代金が支払われると、「Bの秘密鍵」で「Aの秘密鍵」を復号して被害企業に送信します。これを使って被害者は「共通鍵」を復号し、共通鍵でファイルを復号できます。
     

ランサムウェアセキュリティトピック

関連レポート

関連記事