Overview
ランサムウェア(Ransomware)とは、感染したコンピュータのデータを暗号化し、復号と引き換えに身代金(Ransom)を要求するマルウェアの一種です。近年ではデータの暗号化に加え、窃取した情報の公開をちらつかせる二重脅迫(Double Extortion)が主流となり、被害額・件数ともに急増しています。
ランサムウェアの歴史は1989年の「AIDS Trojan」に遡りますが、大きな転機となったのは2017年に世界中で猛威を振るったWannaCryです。北朝鮮の関与が指摘されたこの攻撃は、150か国以上・23万台以上のコンピュータに感染し、医療機関や製造業などに甚大な被害をもたらしました。同年にはNotPetyaも登場し、ウクライナを中心に世界的な被害を引き起こしました。
現在ではランサムウェアはRaaS(Ransomware as a Service)として産業化が進み、技術力の低い攻撃者でもサブスクリプション型でランサムウェアツールを利用できる仕組みが確立されています。FBIのIC3レポートによると、ランサムウェアによる被害報告は年々増加しており、サイバーセキュリティにおける最大の脅威の一つとなっています。
Details
主な感染経路
- フィッシングメール:悪意のある添付ファイルやリンクを含むメールが最も一般的な感染経路。請求書、配送通知、採用応募などを装う手口が多い
- 脆弱性の悪用:VPN機器やRDP(リモートデスクトップ)の脆弱性を突いた侵入。パッチ未適用のシステムが標的になりやすい
- サプライチェーン攻撃:正規のソフトウェアアップデートやマネージドサービスプロバイダー(MSP)を経由した感染拡大
- ドライブバイダウンロード:改ざんされたWebサイトへのアクセスによる自動ダウンロード・実行
暗号化手法
現代のランサムウェアは高度な暗号化技術を使用しています。一般的にはAES(対称鍵暗号)でファイルを暗号化し、そのAES鍵をRSA(公開鍵暗号)で暗号化するハイブリッド暗号方式を採用しています。これにより、攻撃者の秘密鍵なしではファイルの復号は事実上不可能です。
一部のランサムウェアには暗号化の実装に欠陥があり、セキュリティ研究者がデクリプター(復号ツール)を開発できるケースもあります。Europol主導のNo More Ransomプロジェクトでは、無料の復号ツールが公開されています。
身代金支払いの是非
FBI、CISA、日本の警察庁など各国の法執行機関は身代金の支払いを推奨していません。理由として、支払いが攻撃者の活動資金となること、支払っても必ずしもデータが復元される保証がないこと、一度支払うと再攻撃のターゲットにされやすくなることが挙げられます。しかし、事業継続のために支払いを選択する組織も少なくないのが現実です。
RaaS エコシステム
RaaS(Ransomware as a Service)は、ランサムウェアの開発者(オペレーター)がツールとインフラを提供し、実際の攻撃を行うアフィリエイト(協力者)が利益を分配するビジネスモデルです。オペレーターはランサムウェアの開発・保守、交渉用チャットサイト、リークサイトなどを運営し、アフィリエイトは初期侵入と展開を担当します。身代金の分配比率はアフィリエイトが70〜80%、オペレーターが20〜30%が一般的です。
二重・三重脅迫
- 二重脅迫(Double Extortion):データの暗号化に加え、窃取したデータをリークサイトで公開すると脅迫する手法。2019年にMazeグループが始めた手口が主流化
- 三重脅迫(Triple Extortion):上記に加え、被害組織の顧客や取引先にも直接連絡して圧力をかける手法。DDoS攻撃を追加で仕掛けるケースも含む
主要なランサムウェアグループ
- LockBit:2019年から活動し、RaaSモデルで最大規模のランサムウェアグループ。2024年に国際法執行機関の合同作戦「Operation Cronos」により基盤が破壊された
- BlackCat(ALPHV):Rust言語で開発された高度なランサムウェアを使用。クロスプラットフォーム対応で、Windows・Linux・VMware ESXiを標的にする
- Clop:MOVEit脆弱性を悪用した大規模攻撃で知られる。ファイル転送サービスのゼロデイ脆弱性を繰り返し狙う傾向がある
Security Measures
- 01定期的なバックアップの実施:3-2-1ルール(3つのコピー、2種類のメディア、1つはオフサイト保管)に従ってバックアップを運用してください。バックアップはネットワークから隔離した環境に保管し、定期的にリストアテストを実施して復旧可能であることを確認しましょう。
- 02迅速なパッチ管理:OS、アプリケーション、VPN機器、ファイアウォールなどすべてのシステムに対してセキュリティパッチを迅速に適用してください。特にインターネットに公開されているシステム(VPN、RDP、メールサーバー)は優先的に対応が必要です。
- 03メールセキュリティの強化:フィッシングメール対策として、メールフィルタリング、添付ファイルのサンドボックス解析、URLの書き換えと検査を導入してください。従業員向けのフィッシング訓練も定期的に実施しましょう。
- 04EDR/XDRの導入:エンドポイントでの検知・対応(EDR)や拡張検知・対応(XDR)ソリューションを導入し、ランサムウェアの初期段階での検知と自動隔離を実現してください。振る舞い検知により、未知のランサムウェアにも対応できます。
- 05ネットワークセグメンテーション:ネットワークを論理的に分離し、ランサムウェアの横展開(ラテラルムーブメント)を防止してください。重要なシステムやバックアップサーバーは他のネットワークから隔離し、最小権限の原則に基づいたアクセス制御を実施しましょう。
- 06インシデント対応計画の策定:ランサムウェア感染時の対応手順を事前に策定し、定期的な訓練を実施してください。連絡体制、意思決定プロセス、復旧手順、法執行機関への通報手順、広報対応などを文書化し、関係者全員に周知しましょう。
Incidents
📋 WannaCry 世界的大規模感染(2017年)
2017年5月、ランサムウェア「WannaCry」が世界150か国以上で猛威を振るい、23万台以上のコンピュータが感染しました。WindowsのSMBプロトコルの脆弱性(MS17-010、通称EternalBlue)を悪用し、ネットワーク経由で自動拡散するワーム機能を持っていたことが被害拡大の要因です。
英国のNHS(国民保健サービス)では多数の病院がシステム停止に追い込まれ、手術のキャンセルや救急患者の受け入れ拒否が発生しました。日立製作所、日産自動車など日本企業も被害を受けました。米国政府は北朝鮮を攻撃の実行者と名指ししました。この事件はパッチ管理の重要性とランサムウェアの破壊力を世界に知らしめました。
📋 Colonial Pipeline 攻撃(2021年)
2021年5月、米国最大の石油パイプライン運営会社Colonial Pipelineが、ランサムウェアグループ「DarkSide」による攻撃を受けました。同社はパイプラインの運用を停止せざるを得なくなり、米国東海岸の燃料供給に深刻な影響が生じました。ガソリンスタンドでの燃料不足やパニック買いが発生し、社会インフラへのサイバー攻撃の脅威が現実のものとなりました。
同社は約440万ドル(約4.8億円)の身代金をビットコインで支払いました。後にFBIが身代金の大部分を回収することに成功しましたが、この事件は重要インフラのサイバーセキュリティ強化を求める大統領令の発令につながりました。
📋 大阪急性期・総合医療センター ランサムウェア被害(2022年)
2022年10月、大阪急性期・総合医療センター(旧大阪府立急性期・総合医療センター)がランサムウェア攻撃を受け、電子カルテシステムを含む院内の基幹システムが暗号化されました。給食委託業者のVPN機器の脆弱性が侵入経路となり、サプライチェーン経由の攻撃であったことが判明しています。
攻撃によりおよそ2か月間にわたって通常診療が制限され、緊急性の低い手術の延期や外来診療の制限が続きました。完全復旧までに約2か月を要し、復旧費用は数億円に上りました。この事件は医療機関を狙ったサプライチェーン攻撃の典型例として、日本国内のサイバーセキュリティ対策の見直しを迫るきっかけとなりました。