ランサムウェアとは| IBM

ランサムウェアとは

ランサムウェアはは、被害者のデータやデバイス・ホステージをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになる、あるいはさらにロックを続けると脅すマルウェアです。

IBM Security X-Force Threat Intelligence Index 2023によると、2022年には、ランサムウェア攻撃はサイバー攻撃全体の17％を占めました。

初期のランサムウェア攻撃は、影響を受けたデータへのアクセスや感染したデバイスを再び使用できるようにするために必要な暗号化キーを渡す代わりに身代金の支払いを要求するだけのシンプルなものでした。定期的または継続的にデータのバックアップを作成することで、組織はこの種のランサムウェア攻撃による被害を制限し、多くの場合、身代金要求の支払いを回避できました。

しかし近年、ランサムウェア攻撃は二重恐喝攻撃や三重恐喝攻撃を含むように進化しており、データのバックアップを厳密に維持する被害者にとっても、最初の身代金要求に応じた被害者にとっても、リスクが大幅に高まりました。二重恐喝攻撃では、被害者のデータが盗まれ、オンラインに漏洩されるという脅威が加わります。さらに、三重恐喝攻撃では、盗まれたデータを悪用して被害者の顧客やビジネス・パートナーを攻撃する恐れがあります。

2023年のX-Force Threat Intelligence Indexによると、サイバーセキュリティー・インシデント全体に占めるランサムウェアの割合は、2021年から2022年にかけて4％減少しました。これはおそらく、組織側がランサムウェア攻撃の検出と防止策に成功したためと考えられます。しかし、この傾向は、攻撃にかかる平均時間が2カ月から4日未満へと94％も大幅に短縮されたことで影を潜め、組織が潜在的な攻撃を検知して対処する時間はほとんどなくなりました。

ランサムウェアの被害者や交渉者は、身代金の支払額を明らかにしたがりません。しかし、ランサムウェア対策決定版ガイドによると、身代金要求額は100万ないし、1000万米ドルという金額に膨れ上がっているといいます。また、身代金の支払いは、ランサムウェア感染による被害総額の一部にすぎません。IBMの「 2022年データ侵害のコストに関する調査」レポートによると、ランサムウェア攻撃によるデータ侵害の平均コストは513万米ドルでした。また、ランサムウェア攻撃による被害総額は、2023年には全体で推定300億ドルに上ると予想されています（ibm.com外部へのリンク）。

IBMのランサムウェア対策ガイド

IBMのランサムウェアに関する決定版ガイドで、サイバー犯罪の最新動向を常に把握しましょう。

関連コンテンツ

データ侵害コスト・レポートに登録する

ランサムウェアの種類

ランサムウェアは大きく分けて2タイプあります。最も一般的なタイプは、暗号化ランサムウェアまたはクリプト・ランサムウェアと呼ばれるもので、攻撃者は被害者のデータを暗号化してアクセスできなくし、その上で、復号化キーを渡す代わりに身代金の支払いを要求します。

非暗号化ランサムウェアまたは画面ロック・ランサムウェアと呼ばれる、より一般的ではない形式のランサムウェアは、通常、オペレーティング・システムへのアクセスをブロックすることにより、被害者のデバイス全体にアクセスできなくします。デバイスは正常に起動せず、代わりに、身代金を要求する画面を表示します。

これら2つのタイプは、さらに次のサブカテゴリーに分類できます。

リークウェア／ドキシウェアは、機密データを盗み、または抽出し、これを公開すると脅すランサムウェアです。初期のリークウェアやドキシウェアは暗号化せずにデータをそのまま盗むことがよくありましたが、今日の亜種では、暗号化も行われるケースが増えています。
モバイル・ランサムウェアには、モバイル・デバイスに影響を与えるすべてのランサムウェアが含まれます。悪意のあるアプリやドライブバイ・ダウンロードを通じて配信されるモバイル・ランサムウェアは、多くのモバイル・デバイスに標準装備されている自動クラウド・データ・バックアップにより暗号化攻撃を簡単に跳ね返されるため、通常は非暗号化ランサムウェアです。
ワイパー／破壊的ランサムウェアは、身代金が支払われなかった場合にデータを破壊すると脅しますが、身代金が支払われた場合でもランサムウェアによりデータが破壊される場合があります。この後者のタイプのワイパーは、一般的なサイバー犯罪者ではなく、国家機関やハクティビストが背後にあると疑われることがよくあります。
スケアウェアはその名のとおり、ユーザーを脅して身代金を支払わせようとするランサムウェアです。スケアウェアは、法執行機関を装って被害者による違反を伝え、罰金の支払いを要求する可能性があります。または、正規のウイルス感染警告を装って、被害者にウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアの購入を促す可能性があります。スケアウェアがランサムウェアとして仕掛けられる場合があり、そのケースでは、データを暗号化したり、デバイスにアクセスできないようにしたりします。それ以外の場合には、それはランサムウェアを仕掛けるための経路として使用され、何も暗号化しませんが、被害者にランサムウェアをダウンロードさせます。

2023年度ランサムウェア対策決定版ガイドに登録

ランサムウェアがシステムやデバイスを感染させる仕組み

ランサムウェア攻撃は、ネットワークまたはデバイスを感染させるために、複数の方法または経路を使用します。最もよく使用されているランサムウェア感染経路には次のようなものがあります。

フィッシング・メールやその他のソーシャル・エンジニアリング攻撃： フィッシングメールは、ユーザーを操作して、悪意のある添付ファイル（ランサムウェアが仕込まれているにもかかわらず、無害な.pdf、Microsoft Word、文書、またはその他のファイルを装っている）をダウンロードさせ、実行させます。またはユーザーのWebブラウザーを介してランサムウェアを転送する悪意のあるWebサイトにアクセスさせます。IBMのCyber Resilient Organization Study 2021によると、調査対象組織はランサムウェア攻撃の45％がフィッシングやその他のソーシャル・エンジニアリングによるもので、ランサムウェアの攻撃経路の中で最も一般的なものでした。
オペレーティング・システムとソフトウェアの脆弱性：サイバー犯罪者は多くの場合、既存の脆弱性を悪用して、デバイスやネットワークに悪意のあるコードを仕込みます。ゼロデイ脆弱性とは、セキュリティー・コミュニティにまだ知られていない脆弱性、または特定されてはいるもののパッチがまだ適用されていない脆弱性のことで、特別な脅威をもたらします。一部のランサムウェア・ギャングは、攻撃を計画するために他のハッカーからゼロデイ欠陥に関する情報を購入します。以下で説明する2017年のWannaCry攻撃の事例では、ハッカーはパッチが適用された脆弱性を攻撃経路として効果的に悪用しました。

認証情報の盗難：サイバー犯罪者は、アクセス権限のあるユーザーの認証情報を盗んだり、ダークウェブで購入したり、ブルートフォース攻撃を用いて解読したりする可能性があります。その後、これらの認証情報を使用してネットワークまたはコンピューターにログインし、ランサムウェアを直接仕込む可能性があります。ユーザーがコンピューターにリモートでアクセスできるようにするためにMicrosoft社が開発した独自のプロトコルであるリモート・デスクトップ・プロトコル（RDP）は、認証情報の盗難の標的としてランサムウェア攻撃者により、頻繁に悪用されています。
その他のマルウェア：ハッカーは、別の攻撃のために開発されたマルウェアを使用して、デバイスにランサムウェアを送り込むことがよくあります。例えば、トロイの木馬は、もともと銀行の認証情報を盗むように設計されていましたが、2021年には、ランサムウェア「Conti」の亜種を拡散するためにも使用されました。
ドライブバイ・ダウンロード：ハッカーはWebサイトを経由して、ユーザーの知らないうちにランサムウェアをデバイスに仕込むことがあります。エクスプロイト・キットは、侵害されたWebサイトから訪問者のブラウザーをスキャンし、デバイスにランサムウェアを仕込むために悪用できるWebアプリケーション上の脆弱性を特定します。マルバタイジング（ハッカーによって侵害された正規のデジタル広告）は、ユーザーが広告をクリックしない場合でも、ランサムウェアをデバイスに仕込む可能性があります。

サイバー犯罪者は、これらの経路を悪用するために必ずしも独自のランサムウェアを開発する必要がありません。一部のランサムウェア開発者は、ランサムウェア・アズ・ア・サービス（RaaS）としてマルウェアのコードをサイバー犯罪者に販売します。サイバー犯罪者、つまり「アフィリエイト」はコードを使用して攻撃を実行し、身代金の支払いを開発者と折半します。これは相互に有益な関係です。アフィリエイトは独自でマルウェアを開発することなく恐喝から利益を得ることができ、開発者はサイバー攻撃を新たに仕掛けることなく利益を増やすことができるからです。

ランサムウェア流通者は、デジタル・マーケットプレイスを通じてランサムウェアを販売したり、オンライン・フォーラムや同様の手段を通じて直接アフィリエイトを募集したりします。大規模なランサムウェア・グループは、アフィリエイトを惹きつけるために多額の資金を投じてきました。

ランサムウェア攻撃の流れ

ランサムウェア攻撃は通常、以下の流れで進みます。

ステージ1：初回侵入

ランサムウェア攻撃の最も一般的な侵入経路は引き続き、フィッシングと脆弱性の悪用です。

ステージ2：ポストエクスプロイト

初回侵入経路によっては、対話型アクセスを確立する前に、このステージ2で、仲介リモート・アクセス型ツール（RAT）またはマルウェアが使用される場合があります。

ステージ3：理解と展開

この攻撃のステージ3では、攻撃者は現在侵入できるローカル・システムやドメインを把握し、他のシステムとドメインへの侵入経路を獲得することに重点が置かれます（横移動）と呼ばれます。

ステージ4：データ収集と抽出

ここで、ランサムウェアを使用する攻撃者は、通常、自分用のコピーをダウンロードまたはエクスポートすることにより、貴重なデータを特定し、それを抽出（窃取）することに焦点を切り替えます。攻撃者はアクセスできるあらゆるデータを窃取する可能性がありますが、通常は二重恐喝に使用できる貴重なデータ（ログイン認証情報、顧客の個人情報、知的財産）に特に焦点を当てます。

ステージ5：デプロイと脅迫メールの送信

クリプト・ランサムウェアはファイルの識別と暗号化を開始します。一部のクリプト・ランサムウェアは、システムの復元機能を無効化するか、被害者のコンピューターやネットワーク上のバックアップを削除または暗号化し、復号キーを得るための支払い圧力を高めます。暗号化を行わないランサムウェアは、デバイスの画面をロックしたり、デバイスにポップアップ画面を大量に表示させたりして、被害者がデバイスを使用できないようにします。

ファイルが暗号化されるか、またはデバイスが無効化されると、多くの場合、コンピューターのデスクトップに保管された.txtファイルや、ポップアップ通知を表示することで、ランサムウェアは被害者に感染を伝えます。脅迫メールには、復号キーまたは標準操作の復元と引き換えに、通常は暗号通貨または同様の追跡不可能な方法で身代金を支払う方法に関する指示が記載されています。

注目すべきランサムウェアの亜種

2020年以来、サイバーセキュリティーの研究者は、130種を超える個別のアクティブなランサムウェア・ファミリーまたは亜種を特定しています。これらは、独自のコード署名と機能を持つ独自のランサムウェア株です。

長年にわたって出回った多くのランサムウェアの亜種の中でも、破壊力、ランサムウェア開発への影響力、または今日に至っても持続している脅威の観点から、特に注目すべき亜種について説明します。

CryptoLocker

2013年9月に初めて登場したCryptoLockerは、今日のランサムウェア時代の先駆けであったと広く認識されいます。ボットネット（ハイジャックされたコンピューターのネットワーク）を使用して拡散されたCryptoLockerは、ユーザーのファイルを解読不可能に暗号化した最初のランサムウェア・ファミリーの1つでした。2014年に国際法執行機関により対策が取られるまで、推定300万米ドルの被害を出しました。CryptoLockerの成功は多数の模倣犯罪者を生み出し、WannaCry、Ryuk、Petyaなどの亜種への道を開きました。

WannaCry

初めて注目を集めたクリプトワームで、ネットワーク上の他のデバイスに自己拡散できるランサムウェアWannaCryは150か国の20万台以上のコンピューターを攻撃しました。影響を受けたコンピューターが脆弱だったのは、管理者がEternalBlue Microsoft Windowsの脆弱性に対するパッチの適用を怠ったためでした。WannaCry・ランサムウェアは、機密データの暗号化に加えて、7日以内に支払いがなければファイルを消去すると脅迫しました。WannaCryは現在でも史上最大規模のランサムウェア攻撃の1つであり、その被害総額は40億米ドルに上ると推定されています。

PetyaおよびNotPetya

他のクリプト・ランサムウェアとは異なり、Petyaは個々のファイルではなくファイル・システム・テーブルを暗号化し、感染させたコンピューターにWindowsを起動できなくさせます。大幅に改良されたNotPetyaは、2017年に、主にウクライナに対する大規模なサイバー攻撃を実行するために使用されました。NotPetyaは、身代金が支払われた後でもシステムのロックを解除できないワイパーでした。

Ryuk

2018年に初めて確認されたRyukは、特定の高額ターゲットに対する「ビッグゲーム・ハンティング」ランサムウェアを広め、身代金要求額は平均で100万ドルを超えるものでした。Ryukはバックアップ・ファイルとシステム復元機能を見つけて、これらを無効化します。クリプトワームを備えた新しい株が2021年に発見されています。

DarkSide

ロシアから活動しているとみられるグループが仕掛けるDarkSideは、2021年5月7日に米国の石油パイプライン「コロニアル」を攻撃したランサムウェアの亜種であり、米国の重要なインフラに対して行われた史上最悪のサイバー攻撃と考えられています。この攻撃により、米国東海岸の燃料の45％を供給するパイプラインは一時的に閉鎖されました。DarkSideを仕掛けるグループは、直接攻撃を開始するだけではなく、RaaSにより、「アフィリエイト」にランサムウェアのライセンスを販売しています。

Locky

Lockyは、独特の感染経路を持つ暗号化ランサムウェアです。正規の請求書を装ったEメールの添付ファイル（Microsoft Word ファイル）マクロを仕込んでいます。ユーザーがMicrosoft Word文書をダウンロードして開くと、悪意のあるマクロがランサムウェア・ペイロードをユーザーのデバイスに密かにダウンロードします。

REvil/Sodinokibi

REvilはSodinまたはSodinokibiとしても知られ、ランサムウェア攻撃を拡大するRaaSの普及に貢献しました。REvilはビッグゲーム・ハンティングや二重恐喝攻撃で使用されることで知られており、2021年に起きたJBS USA社とKaseya Limited社に対する重大な攻撃でも使用されました。JBS社では米国の牛肉加工業務全体が中断され、Kaseya社ではソフトウェア顧客1,000社以上が大幅なダウンタイムの影響を受け、1,100万米ドルもの身代金を支払いました。ロシア連邦保安局は、2022年初めにREvilを解体し、そのメンバー数名を起訴したと報告しました。

身代金の支払い

2022年まで、ほとんどのランサムウェア被害者は攻撃者の身代金要求に応じていました。例えば、IBMのCyber Resilient Organization Study 2021によると、調査実施前2年以内にランサムウェア攻撃を経験した調査対象組織の61％が身代金を支払ったと回答しています。

しかし、最近のレポートでは2022年に変化があったことが示唆されています。サイバー恐喝インシデント対応企業であるCoveware社が発表した調査結果によると、2022年にランサムウェア被害者のうち身代金を支払ったわずか41％でした（2021年には51％、2020年には70％）（ibm.com外部へのリンク）。また、ブロックチェーン・データ・プラットフォームのプロバイダーであるChainanalysis社は、ランサムウェア攻撃者が2022年に被害者から脅し取った金額は、2021年と比較して40％近くも減少したと報告しています（ibm.com外部へのリンク）。専門家は、この喜ばしい数字の潜在的な要因として、サイバー犯罪対策の強化（データのバックアップを含む）や、脅威の防止および検知テクノロジーへの投資額の増加を挙げています。

法執行機関の指導

米国連邦法執行機関は、ランサムウェア被害者が身代金要求を支払うことを一切推奨していません。サイバー脅威を調査するために20の米国連邦機関で構成された国家サイバー捜査統合タスクフォース（NCIJTF）は次のように述べています。

「FBIは犯罪者に身代金を支払うことを推奨していません。身代金を支払うと、敵がより多くの組織を標的にしたり、他の犯罪者にランサムウェア攻撃を仕掛けるよう促したり、違法行為に資金提供したりするようつけあがらせる可能性があります。また、身代金を支払ったとしても、被害者のファイルが回復されるという保証はありません。」

法執行機関は、ランサムウェアの被害者に対し、身代金を支払う前にFBIのインターネット犯罪通報センター（IC3）などの適切な法的機関に攻撃を報告することを推奨しています。ランサムウェア攻撃の被害者の中には、身代金が支払われたかどうかに関係なく、ランサムウェア感染を報告することが法的に義務付けられている場合があります。例えば、HIPAAでは通常、医療機関はランサムウェア攻撃を含むデータ侵害があった場合には、保健福祉省への報告が義務付けられています。

また、特定の状況下では、身代金の支払いは違法となる場合があります。米国財務省外国資産管理局（OFAC）が発表した2020年勧告によると、ロシアや北朝鮮、イランなど米国の経済制裁下にある国からの攻撃者に身代金を支払うことは、OFAC規制への違反とみなされ、違反者は民事罰、罰金、または刑事責任を問われる可能性があります。

ランサムウェアからの保護と対策

CISA、NCIJFT、米国秘密情報局などの連邦機関は、ランサムウェアの脅威から身を守るために、組織に次のような予防措置を講じることを推奨しています。

機密データやシステムイメージのバックアップを、なるべくならハードドライブやネットワークから切り離せるその他のデバイスに維持します。
パッチを定期的に適用する ことは、ソフトウェアやオペレーティング・システムの脆弱性を悪用するランサムウェア攻撃を阻止するのに役立ちます。
マルウェア対策とウイルス対策ソフトウェア、ファイアウォール、ネットワーク監視ツールを更新し、また、セキュリティオーケストレーション、自動化、レスポンス（SOAR）、エンドポイントの検知と対応（EDR）、セキュリティー情報およびイベント管理（SIEM）、拡張検出と対応（XDR ）などのエンタープライズ・サイバーセキュリティー・ソリューションを使用すると、セキュリティー・チームはランサムウェアをリアルタイムで検知して対応することができます。
従業員を対象としたサイバーセキュリティー対策トレーニング は、ユーザーがフィッシングやソーシャル・エンジニアリング、およびランサムウェア感染につながる可能性のあるその他の攻撃を認識し、回避するのに役立ちます。
多要素認証、ゼロトラスト・アーキテクチャー、ネットワーク・セグメンテーション、および同様の対策を含むアクセス・コントロール・ポリシーを実装すると、ランサムウェアが特に機密データに到達するのを防ぎ、クリプトワームがネットワーク上の他のデバイスに拡散するのを防ぐことができます。

No More Ransom（ibm.com外部へのリンク）などのプロジェクトを通じて、いくつかのランサムウェアの亜種に対する復号化ツールが公開されていますが、アクティブなランサムウェア感染からの復旧には、多くの場合、多面的なアプローチが求められます。米国国立標準技術研究所（NIST）のインシデント・レスポンス・ライフサイクルに倣ったランサムウェア・インシデント・レスポンス・プランの例については、IBM Securityのランサムウェア対策決定版ガイドをご覧ください。

ランサムウェアの歴史概要

1989年：AIDSTrojanまたは「PCサイボーグ攻撃」として知られる、史上初めて文書化されたランサムウェア攻撃は、フロッピーディスクを介してコンピューターを感染させていました。このランサムウェアは、被害者のコンピューター上のファイル・ディレクトリを隠し、再び表示できるようにするために189米ドルを要求しました。しかし、ファイル自体ではなくファイル名を暗号化したため、ユーザーは身代金を支払わずとも、簡単に被害を回復することができました。

1996年：コンピューター科学者のAdam L. Young氏とMoti Yung氏は、AIDSTrojanウイルスの欠陥を分析する中で、より高度なパブリックキー暗号を使用して機密データを人質に取る可能性のある、マルウェアの形態が将来誕生する可能性があると警告していました。

2005年：2000年代初頭までランサムウェア攻撃は下火でしたが、ロシアと東ヨーロッパを中心に感染が増加し始めました。非対称暗号化を使用した最初の亜種が登場しました。新しいランサムウェアがより効果的に金銭を脅し取れるようになるにつれ、より多くのサイバー犯罪者がランサムウェアを世界中に拡散し始めました。

2009年：暗号通貨、特にビットコインの導入により、サイバー犯罪者は追跡不可能な身代金の支払いを受け取る手段ができ、ランサムウェア攻撃が一気に増えました。

2013年：新時代のランサムウェアはCryptoLockerにより幕が開け、暗号通貨での支払いを要求する高度に洗練された暗号化ベースのランサムウェア攻撃が頻発するようになりました。

2015年：Toxランサムウェアの亜種により、サービスとしてのランサムウェア（RaaS）という形でランサムウェアが犯罪者間で取引されるようになりました。

2017年：史上初の自己複製クリプトワームである「WannaCry」が登場しました。

2018年：Ryukはビックゲーム・ハンティング・ランサムウェアを普及させました。

2019年：二重恐喝、三重恐喝ランサムウェア攻撃が増加し始めました。2019年以降、IBM Security X-Forceインシデント対応チームが対応したほぼすべてのランサムウェア・インシデントには、二重恐喝が関係していました。

2022年：サイバー犯罪者がターゲットのオンライン対話に侵入するスレッド・ハイジャックが、ランサムウェアの主流として台頭しました。