ランサムウェアとは?

ランサムウェアとは「身代金(ランサム=Ransom)を要求するマルウェア(Malware)」を指し、「身代金要求型不正プログラム」とも呼ばれます。

では、ランサムウェアは何を人質にして身代金を要求するのでしょうか?それは、PCの中の「データ」です。データを誘拐して、「返してほしければ、身代金(ランサム)を支払え」と脅してくるのです。とはいえ、データを物理的にPCの中から引っこ抜いて誘拐するわけにはいきません。実際には、PCに侵入したランサムウェアは、PC内のファイルを片っ端から暗号化して、ユーザーが読み出せなくしてしまいます。そして、それを復号して元通りの形にしてほしければ、ビットコインで身代金(ランサム)を払えと脅迫してくるわけです。

つまり、感染したコンピュータを強制的にロックしたりの中にあるファイルを暗号化して、制限の解除することの引き換えにビットコインで身代金を要求する不正プログラムをランサムウェアと呼んでいます。

初期のランサムウェアは、一般のユーザーを攻撃の標的にし身代金を稼いでいました。しかし、2015年頃からは企業や公的機関をターゲットにした事例が増え、2017年に世界中で猛威を奮い多くの企業や公的機関を攻撃したランサムウェア「WannaCry」がニュースが広く報じられ、多くの人が知るところとなりました。その後も様々な新種、亜種のランサムウェアが登場し、民間企業や公共機関のPCやサーバーがランサムウェアに感染し、深刻な被害となるケースがあとをたちません。

ランサムウェアの変遷
ランサムウェアの変遷

ページコンテンツ

引き続き脅威が継続する「ランサムウェア」

サイバーリーズンは2018年1月に、2017年のサイバーセキュリティ動向の振り返りと、2018年の予測を記したレポート「THE YEAR OF THE DEFFENDER ~2018年のサイバーセキュリティに関する5つの予測~」を公開しました。この中では、2018年に深刻化するであろう幾つかのセキュリティ脅威について論じていますが、そのレポートの中で特に警鐘を鳴らしているのが「ランサムウェア」の脅威です。

また、独立行政法人のIPAが毎年発表している『情報セキュリティ10大脅威 2020』によると、ランサムウェアの脅威は組織部門で5位(2019では3位)に位置し、不特定多数に対して行うランサムウェア攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近いランサムウェア攻撃にも警戒を促しています。

「手軽に稼げる手立て」であるランサムウェア

前述のレポートでは、このランサムウェアが世界中で猛威を奮った2017年の被害状況を振り返るとともに、引き続き2018年もその脅威が継続するだろうと予測していました。近年のランサムウェアは、自身のコードを変更してシグネチャベースのアンチウイルス製品のチェックをすり抜ける機能を備えています。また「ドライブ・バイ・ダウンロード」や、前回ご紹介した「サプライチェーン攻撃」といった、新たな感染経路を辿って感染するケースも増えており、あの手この手を使って既存のセキュリティ対策をくぐり抜けてきます。

また攻撃者の立場から見ると、ランサムウェアは他の手口と比べ「手軽に稼げる手立て」ととらえられているふしがあります。近年の標的型攻撃は手口が巧妙化・高度化し、中にはいったん侵入を果たした後も長期間に渡り内部に潜伏し、攻撃ターゲットの動向を注意深く観察してから巧妙なソーシャルエンジニアリングを仕掛けてくるものもあります。

大胆でシンプルなランサムウェアの手口

しかし、ランサムウェアの手口は、こうした高度な攻撃と比べると”粗雑”と言っていいほど大胆でシンプルです。ユーザーの端末に侵入するやいなや、あっという間にファイルを暗号化して身代金を要求するメッセージを表示します。長期間に渡る潜伏活動も、情報収集活動も必要ありません。そのため、侵入したマルウェアのふるまいを基に脅威を検知するタイプのセキュリティ製品でも、そのようなランサムウェアの挙動をなかなか検知できないのが実情です。

誰もが簡単にランサムウェア攻撃を仕掛けられるようになった

このように近年、ランサムウェアの被害が拡大の一途をたどっています。前述したレポートを掲載した2018年前半にはいったん被害が大幅に減少したかに見えたものの、その後再び増加に転じ、2019年12月には身代金の平均支払金額が8万ドルを超えたとの報告もあります。

その背景には、ランサムウェアを簡単に作成できる「RaaS(Ransomware-as-a-Service)」サービスがダークウェブにおいて普及したことで、誰もがランサムウェア攻撃が仕掛けられるようになったという事情があります。今や攻撃者は自身でランサムウェアを開発する必要はなく、SaaS型のクラウドサービスとしてランサムウェア攻撃を請け負うRaaSを利用することで、たとえ専門知識がなくても簡単に攻撃を実行できるようになりました。

また攻撃の量だけではなく、その“質”も最近ではかなり変化してきました。前述したように、かつてのランサムウェアの動作は極めて単調で、基本的にはただ「データを暗号化して身代金を要求する」だけでした。中には極めて巧妙な振る舞いをするランサムウェアもありましたが、その一方でとても粗雑な作りのものが多かったことも事実です。ただしそのようなランサムウェアであっても、大量のターゲットに無差別にばらまくことで確かな効果を上げることができました。

しかし最近のランサムウェア攻撃の多くは、ただ単にデータを暗号化して身代金を要求するだけでなく、データそのものやユーザーのID/パスワード情報を盗んで、それらをダークウェブで売却することで利益を上げるようになりました。このような複合型の攻撃を仕掛けることによって、より確実に利益を上げられるようにしているのが近年のランサムウェア攻撃の特徴だと言えます。

ランサムウェア対策として、バックアップや身代金支払いが常に有効とは限らない

ランサムウェア対策として、一般的には「データバックアップを取ること」が推奨されています。暗号化されてしまったデータを自分たちの手で復旧するための唯一確実な手段が、データのバックアップ/リストアです。従って、バックアップを日ごろから確実に行っておくことはランサムウェア対策の基本中の基本です。

しかしだからと言って、「ランサムウェアに感染しても、バックアップさえ行っていれば安心」というわけにはいきません。バックアップは複数ある防御策のうちの「最後の砦」に過ぎず、その手前で幾重にも防御の網を張り巡らせておくことで初めて効果的な対策が可能になります。もし万が一の際にバックアップデータがリストアできなかったり、そもそもバックアップが正常に取れていなかったら、あっという間に万事休すです。

そもそもバックアップが正常に取れていたとしても、直近のデータはかなり高い確率で失われてしまいますし、データを復旧する間のシステム停止は避けられません。しかも近年の高度なランサムウェア攻撃は、一定期間攻撃対象のネットワーク内に潜伏して環境を偵察・分析し、攻撃時にはバックアップデータまで暗号化してしまうこともあります。そのため、バックアップを過信することは禁物です。

中には、「最悪の場合、身代金を支払えばいい」と考えている方も少なくないかもしれません。しかし言うまでもなく、身代金を支払ったとしてもデータが元に戻る保証はなく、実際のところ元に戻らなかったケースも多発しています。そもそも、データが暗号化されてしまった時点でシステムは使い物にならなくなってしまいますから、「身代金を払うべきかどうか」「データを復旧できるかどうか」と迷っている間も、ビジネス上の被害はどんどんふくらんでいきます。こうしたダウンタイムは一般的には2週間以上に及ぶと言われているため、その間のビジネス停止がどれほどの損失をもたらすか、想像に難くないでしょう。

ランサムウェア攻撃による被害を未然に防ぐランサムウェア対策とは

ではランサムウェア対策として、一体どのような対策を行っておくべきなのでしょうか。バックアップをきちんと取り、それが正常にリストアできるかどうかを定期的にテストすることは、依然としてランサムウェア対策の基本です。その際には、バックアップデータが暗号化されてしまうリスクを考慮して、データコピー×3、ストレージメディア×2、オフサイトコピー×1のいわゆる「3-2-1ルール」に則ってセキュアなバックアップ管理を心掛けることをお勧めします。

またランサムウェア攻撃の最初の一手として使われる手段は、今も昔もフィッシングメールが主流です。従って、「不審なメールは開かない」「怪しいURLリンクはクリックしない」といったフィッシングメール対策を、今一度組織内で周知させることも重要です。

こうした日頃からの備えを徹底させた上で、アンチウイルスや次世代アンチウイルス、PowerShellを悪用したファイルレス攻撃への対策、ランサムウェア検知機能といった複数のエンドポイント防御を組み込んだ最先端のエンドポイントセキュリティ製品をランサムウェア対策として導入すれば、その効果をより発揮することができるでしょう。

ランサムウェア対策として、ランサムウェア検知に特化した機能を備えるサイバーリーズン製品

ちなみに、サイバーリーズンが提供するセキュリティソリューション「Cybereason EDR」およびNGAV(次世代アンチウイルス)機能を搭載した「Cybereason Complete Endpoint Protection」は、このやっかいなランサムウェアの脅威からユーザーを守るためのランサムウェア対策機能を備えています。

両製品とも、エンドポイント(端末)上におけるマルウェアの不審なふるまいや挙動を検知するEDR(Endpoint Detedtion and Responce)の機能を備えますが、その一環としてランサムウェアを検知するランサムウェア対策機能も提供しているのです。

先ほど述べたように、ランサムウェアは一般的なマルウェアと違い、感染してから被害が顕在化するまでの期間が短いため、通常のふるまい検知技術では「検知したときには既に手遅れ」になる可能性が高いといえます。そこでサイバーリーズンの製品では、手遅れになる前に活動を検知できるよう、ランサムウェア特有の挙動パターンをいち早く検知できる専用の仕組みを備えています。具体的には、ランサムウェアがコンピューターやネットワークドライブの暗号化を始めると、複数の検知技術を組み合わせて即座にそれを検知し、強制的に暗号化処理を停止します。

Cybereasonのランサムウェア被害を防⽌するランサムウェア対策機能

共有ドライブ上のファイルに対してもランサムウェア対策

またサイバーリーズンの製品は、コンピューターのローカルドライブ上のファイルだけでなく、ネットワーク上の共有ドライブに置かれたファイルに対してもランサムウェア対策を適用できます。一般的に、企業内のファイルサーバー上に置かれたファイルは重要度が高いため、共有ドライブ上のファイルをランサムウェアの脅威から守れるか否かは、企業にとっては極めて重要な関心事だといえます。

さらには、近年被害が拡大している「ファイルレス」のランサムウェアの挙動も、効果的に検知できるようになっています。ファイルレスとは、PowerShellやJavaScriptのような、OSやブラウザが備える正規のスクリプトツールを使い、あたかも正規の挙動を装った攻撃を仕掛ける手法です。一般的なふるまい検知型のセキュリティ製品では検知しにくいこうした攻撃も、弊社の製品なら検知することができます。

このほかにも「Cybereason EDR」および「Cybereason Complete Endpoint Protection」には、ランサムウェア対策に役立つ数多くの機能が備わっています。製品ページにさらに詳しい情報が載っていますので、興味をお持ちの方はぜひご参照ください。

最新型のランサムウェアに関するサイバーリーズンの調査レポート

■Ryukランサムウェア(EmotetとTrickBotを利用)

サイバーリーズンのNocturnusチームは、マルチステージ攻撃によってRyukランサムウェアをひそかに配信するキャンペーンの調査を行いました。

これは、EmotetによるTrickBotの配信から、TrickBotの情報窃取機能、水平移動、Ryukランサムウェアのダウンローダーとしての使用、そして最終的にRyukのランサムウェア機能にまで及びました。

Ryukランサムウェアを使用すると、攻撃者はマシンとデータを暗号化して被害者に返すことができるので、ダウンタイム、復旧コスト、世評へのダメージにより被害者に多大な費用が生じる可能性があります。

【教訓】Ryukランサムウェアの影響を受けた多くの企業は、ランサムウェアだけでなく、認証情報を収集してネットワーク上にとどまるマルウェア攻撃も受けました。これは、ランサムウェア攻撃が組織に可能な限り大きな損害を与えるように進化していることの証左といえます。

▼調査レポート全文を読む
https://www.cybereason.co.jp/blog/cyberattack/3613/

■GandCrab ランサムウェア

サイバーリーズンのNocturnusチームは、日本を拠点とする国際企業にGandCrabランサムウェアを配信するキャンペーンの分析を行いました。

GandCrabランサムウェアは脅威ランドスケープにおける最も一般的なランサムウェアの1つであり、絶えず進化を続けて検出を回避するための配信方法を完成させました。

Bitdefenderの推定によると全世界のランサムウェア感染の40%はGandCrabに起因しており、GandCrabランサムウェアがどれほど効果的であるかを示しています。作者は、ひそかにすばやく、新しい配信メカニズムなどの改変によって、GandCrabランサムウェアを繰り返し更新することで知られています。

【教訓】引退するその時まで、GandCrabランサムウェアは多くのバリエーションを生み、進化を続けています。このランサムウェアを確実に防御する唯一の方法は、署名だけでなく、動作を識別して相関性を認識できるセキュリティツールの使用です。ご使用の環境でこれを検出できるかどうかのテストをご希望の場合は、プロセスをご案内させていただきます。

▼調査レポート全文を読む
https://www.cybereason.co.jp/blog/security/3562/

■Sodinokibiランサムウェア

サイバーリーズンのNocturnusチームは、ウイルス対策などによる検出を防ぐために多くの対策を講じている極めて回避的なランサムウェアであるSodinokibiの分析を行いました。

Sodinokibiランサムウェアの作者は以前、最近になって引退するまで多くの被害を生んだGandCrabランサムウェアの同じ作者と関係がありました。

Sodinokibiランサムウェアが最初に出現したときは、サーバーやその他の重要資産の脆弱性を悪用していました。時間が経つにつれ、フィッシングやエクスプロイトキットなど、他の感染経路も利用するようになりました。

Sodinokibiランサムウェアが、信頼できるアンチウイルスベンダーに悪意のあるペイロードを挿入する目的で、韓国のセキュリティベンダーであるAhnlabが作成したアンチウイルスを意図的に検索した例がいくつかありました。

【教訓】Sodinokibiは、難読化されたPowerShellコマンドをはじめとする一連のトリックを使用して既存の防御を回避するランサムウェアの1つです。これは、エンドポイントに包括的な予防・検出が必要であることを示しています。

▼調査レポート全文を読む
https://www.cybereason.co.jp/blog/cyberattack/3883/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」