Check Point Software Technologiesは11月21日(米国時間)、「Comparative Study Results on Linux and Windows Ransomware Attacks, Exploring Notable Trends and Surge in Attacks on Linux Systems - Check Point Blog」において、LinuxとWindowsのランサムウェア攻撃を比較研究した調査結果を伝えた。この調査ではLinuxを直接標的とする、または、WindowsとLinuxの双方を無差別に攻撃できる12の有名なランサムウェアファミリーについて分析している。
ランサムウェアの歴史は1989年まで遡る。初めて特定されたランサムウェアはWindowsを標的とするものであった。Linux向けのランサムウェアの登場は、2015年の「Linux.Encoder.1」とされる。Windows向けのランサムウェアは時間をかけて成熟したが、その機能は近年までLinuxに移植されることはなかったとされている。
Check Pointによると、Linuxを標的とするランサムウェアがWindowsのランサムウェアと異なる点は実装の単純さだという。Linuxの多くのランサムウェアはコア部分に基本的な暗号処理のみを実装しており、それ以外を外部から取得するスクリプトや構成に大きく依存する構造となっている。このため、ランサムウェア本体はとらえどころがなく、検出が困難とされる。
また、Windowsは個人やワークステーションで広く普及しているが、Linuxはサーバとして普及している点も異なっている。このため、Linuxのランサムウェアは中規模または大規模組織向けに戦略的に調整されているという。WindowsとLinuxの暗号化技術の比較では、LinuxのランサムウェアではOpenSSLが好まれる傾向にあり、共通鍵暗号ではAESまたはChaCha20、公開鍵暗号ではRSAが利用されるとしている。
ランサムウェアの被害はWindowsだけではなく、Linuxにおいても年々増加する傾向にあるとされている。加えて新しいランサムウェアグループも確認され、その戦術、技術、手順(TTPs)もより高度化してきている。企業や組織のシステムおよびネットワークを保護するためにはより高度な防衛策が必要とされており、高度なエンドポイントセキュリティソリューションの導入が望まれている。