ランサムウェアとは?
ランサムウェアとは、システムやデータを暗号化し、復号のための身代金を要求する悪意のあるソフトウェアです。感染するとファイルが使えなくなって業務が停止し、経済的損失が発生する可能性があります。
「ランサム」とは英語で(ransom)、すなわち「身代金」という意味です。ランサムウェア(Ransomware)はRansomとSoftwareを合わせた造語です。
つまり、ランサムウェアはコンピュータに侵入し、データを暗号化したりアクセスを遮断したりして、その状態を解除するための「身代金」を要求するソフトウェア(マルウェア)を指します。
この記事では、ランサムウェアに対する理解を深めることを目的に、ランサムウェアとは何か、その仕組みや手口はどうなっているのか、実際にどのような被害が出ているのかについて解説します。
【参考】:内閣サイバーセキュリティセンター(NISC)
【参考】:ランサムウェア被害防止対策|警察庁Webサイト
なぜ今、ランサムウェアが問題になっているのか?
近年、ランサムウェア攻撃が急増しています。背景にはリモートワークの増加やサイバー攻撃の巧妙化があります。これらにより、主に企業が狙われ、身代金を要求されるという悪質な犯罪が増加しているのです。
社会や企業に与える影響
ランサムウェア攻撃により、業務停止やデータ漏洩、経済的損失が発生します。特に病院などの重要なインフラに対する攻撃は、患者の治療が遅れるなど深刻な影響を及ぼします。IPA(情報推進処理機構)の調査では、情報セキュリティにおける法人の被害の第1位はランサムウェアです。
【画像】:情報セキュリティ 10 大脅威 2022より
【参考】:情報セキュリティ10 大脅威 2022
ランサムウェアの仕組みと手口
ランサムウェアはどのような仕組みになっているのか、どのような手口を利用しているのかについて知っておきましょう。
ランサムウェアの基本的な仕組み
ランサムウェアの全体像を押さえておきましょう。ランサムウェアは攻撃者がメールや不正なWebサイトなどを利用して被害者にランサムウェアに感染させ、その被害者を踏み台にして感染を拡大させるのが一般的です。次の図はランサムウェアの感染経路を概念図にしたものです。
【画像】:ランサムウェアの感染経路
感染経路
ランサムウェアにはどのようにして感染するのでしょうか?感染経路としては、メールやWebサイト、USBメモリなどがあります。
■ フィッシングメール
迷惑メールに添付されたファイルやURLをクリックすることで感染します。
■ 不正なウェブサイト
改ざんされた不正なウェブサイトにアクセスすることで感染します。
■ USBメモリ
ランサムウェアに感染したUSBメモリなどを使用することで感染します。
侵入経路の内訳
警視庁の調べによると、令和5年におけるランサムウェアによる被害は197件発生していますが、VPN機器から侵入したものが63%、リモートデスクトップから侵入したものが18%を占めており、リモートワーク等で利用される機器から侵入したと考えられるものが約82%を占めていました。
【画像】:ランサムウェアの感染経路の内訳
【出典】:令和5年におけるサイバー空間をめぐる脅威の情勢等について-P26-|警視庁
【参考】:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警視庁
暗号化
ランサムウェアはファイルを暗号化し、復号キーを提供する代わりに身代金を要求します。復号が難しい理由は、強力な暗号化アルゴリズムを使用しているためです。
身代金の要求
身代金は通常、暗号通貨で要求されます。支払っても必ずしも復号される保証はなく、さらに別の要求が続く「ダブルエクストーション」も増えています。
ランサムウェアの種類と被害事例
ここでは、ランサムウェアの種類と、被害の実例について紹介します。ランサムウェア対策には、それらの種類や被害の事例を知っておくことが重要です。
【参考】:No More Ransom
ランサムウェアの主な種類
ランサムウェアには主に次の3種類がありますが、近年ではAI技術を用いて、ランサムウェアの攻撃手法はますます巧妙化しており、新たな種類や変種が頻繁に現れています。3種類のそれぞれの特徴、ランサムウェアの例、もたらされる被害について解説します。
【参考】:ランサムウエア対策特設サイト
■ ファイル暗号化型
ファイル暗号化型は、コンピュータ内のファイルを暗号化し、復号キーと引き換えに身代金を要求します。復号キーを持たない限り、元のファイルにアクセスできなくなります。このタイプのランサムウェアとしてはCryptoLocker、WannaCryなどが知られています。
主な被害としては、業務用データや個人データなど、あらゆるファイルが暗号化されるため、企業や個人の活動に大きな支障を来たす点が挙げられます。
■ ロッカー型
ロッカー型は、コンピュータ全体または特定のアプリケーションをロックし、操作を不能にします。復号キーと引き換えに身代金を要求します。このタイプのランサムウェアとしてはLockyなどが知られています。
ロッカー型に感染するとコンピュータが使用できなくなるため、業務が中断し、生産性が大きく低下します。
■ 暗号化とファイル削除型
暗号化とファイル削除型では、 ファイルを暗号化し、一定期間が経過すると暗号化されたファイルを削除する、より悪質な種類のランサムウェアで、Ryukなどが該当します。このタイプはファイルが削除されるため、復元が困難となり、被害が拡大する可能性があります。
ランサムウェアの被害事例
ランサムウェアによって実際にどのような被害が出ているのか、具体的な事例を見てみましょう。多額の身代金を支払った例、端末感染による事業への重大な影響を受けた例をそれぞれ紹介します。
■ 食肉業者の例
2021年5月に世界最大の食肉業者がランサムウェア攻撃を受け、同社のWebサイトを一時的にオフラインにし、生産停止を行いました。同社は身代金として、暗号通貨で1,100万米国ドル(約10数億円)を支払いました。
■ 6,000人の個人情報が流出した例
2021年4月にドイツにある化学薬品流通会社はランサムウェアの攻撃により、6,000人以上の個人情報が盗まれました。盗まれた情報は、個人の生年月日や医療データ、社会保障番号や運転免許証番号などでした。
【参考】:ランサムウェアとは?|ニュースになったランサムウェア攻撃|Microsoft Security
■ 18,000台の端末が感染した例
アルゼンチンで2020年7月に起きた事件です。同国最大級のISP(Internet Service Provider)がランサムウェアによる攻撃を受け、ドメイン管理者の権限を奪われ、同社の18,000台もの端末がランサムウェアに感染しました。
【参考】:事業継続を脅かす新たなランサムウェア攻撃についてP8|IPA
身代金はどのように要求される?
ランサムウェアに感染すると、攻撃者はさまざまな方法で身代金を請求してきます。一般的な請求方法は以下の通りで、攻撃者は被害者に対して不安を煽り、迅速に身代金を支払わせようとします。
しかし、支払いを行ってもデータが確実に復元される保証はなく、さらなる攻撃を助長する可能性があるため、まずは警察や専門機関に相談しましょう。
画面にメッセージ表示
コンピュータやファイルがロックされたり暗号化されたりした後、画面にポップアップメッセージやテキストファイルを表示して身代金の要求を通知します。このメッセージには、支払い方法や期限が記載されています。
電子メールで指示
攻撃者は被害者に直接電子メールを送信し、詳細な指示を提供することもあります。このメールには、身代金の支払いに必要な暗号通貨ウォレットのアドレスなどが含まれます。
ウェブサイトへの誘導
メッセージ内には、専用の支払いウェブサイトへのリンクが含まれていることがあります。被害者はこのウェブサイトにアクセスし、指示に従って支払いを行うことになります。
ダブルエクストーション(二重脅迫)
最近のランサムウェアでは、暗号化されたデータの復号化と引き換えに身代金を要求する以外に、データを公開しないようにするための二重の身代金を要求する場合もあります。具体的には、犯人が取得した機密情報や個人情報など、企業にとっては明かされたくない重要なデータが該当します。
【参考】:PA 情報セキュリティ10大脅威 2024を読み解く-サイバー脅威に求められる対策とは-
ランサムウェアについて正しい知識を持とう
ここまで、ランサムウェアについて仕組みや手口、種類、被害事例などについて解説しました。ランサムウェアによって、企業では大変大きな影響やダメージを受けることが分かりました。
ランサムウェアは、一旦感染するとネットワークを介して次々と広がっていきます。社員の1人が最初に感染し、そこから全社に広がることがあります。すなわち、ランサムウェアに感染することで、自分ばかりか企業やさまざまな人に悪影響を及ぼす恐れがあり、他人事では済まされません。
そのため、ランサムウェアについて誰もが正しい知識を持ち、万が一に備えておきましょう。