要点
ランサムウェアは、被害者の端末上のファイルを暗号化またはロックし、通常は暗号通貨で支払いを要求することでアクセスを復元するタイプのマルウェアである。
ランサムウェアは一般に、フィッシングメール、エクスプロイトキット、そして悪意のある広告(マルバタイジング)を通じて拡散する。
最新のランサムウェアは多くの場合、二重恐喝の手口を使う。攻撃者はファイルを暗号化するだけでなく、身代金が支払われない限り盗んだデータを公開すると脅す。
身を守るには、定期的なバックアップを維持し、ソフトウェアを最新に保ち、リンクやメールの添付ファイルに注意することが重要です。
はじめに
ランサムウェアは、金銭が支払われるまでコンピューターシステム、またはそのデータへのアクセスを妨げることを目的とした種類の悪意のあるソフトウェアです。これは、世界中で個人、病院、企業、政府機関に影響を与える、最も破壊力の大きいサイバー犯罪の形態の一つとなっています。
隠れていることを目的とする他の種類のマルウェアと違い、ランサムウェアは自ら存在を明らかにします。ファイルを暗号化した後、通常は復号鍵と引き換えに、暗号通貨での支払い要求を表示します。攻撃者が支払いを履行する保証はありません。
最初に文書化されたランサムウェアは1989年に登場しました。それ以降、攻撃はより洗練され、より標的型になり、より金銭的に深刻な被害をもたらすようになってきました。ランサムウェアの仕組みを理解することは、それに対する備えの第一歩です。
ランサムウェアはどのように機能しますか?
最新のランサムウェアの多くは、暗号化によって被害者をファイルから締め出します。ランサムウェアが端末上で実行されると、暗号化鍵を生成し、それを使ってシステム上のファイルをめちゃくちゃにし(スクランブルし)、その後被害者の端末で元の鍵を破棄します。攻撃者は復号鍵の唯一のコピーを保持しています。
初期のランサムウェアは研究者が時に解読できるような単純な暗号化を使っていました。今日のランサムウェアは通常、ハイブリッド暗号化(非対称アルゴリズムと対称アルゴリズムの組み合わせ)を用います。これにより、攻撃者の鍵なしでは独立した復号は事実上不可能になります。
一部のランサムウェアは、個別のファイルではなくハードドライブ全体を標的にして、被害者のOSへのアクセスを完全にできなくすることもあります。さらに、暗号化の前にデータを持ち出して流出させ、身代金を支払わなければそれを公開すると脅すことで、もう一段階の圧力を加えるものもあります。この手法を二重恐喝と呼びます。
ランサムウェアはどのように拡散しますか?
フィッシングメール
フィッシングは、ランサムウェアを届ける手段として最も一般的なものの一つです。攻撃者は、銀行、配送業者、社内の人事システムなど、正規の送信元のように見えるメールを送ります。これらのメールには、悪意のある添付ファイルやリンクが含まれており、開くとランサムウェアのダウンロードが引き起こされます。ネットワーク内では、1台の感染端末だけで組織全体を侵害できる場合があります。
エクスプロイトキット
エクスプロイトキットは、ソフトウェアやOSの脆弱性を特定し、それらを悪用するために設計された悪意のあるコードのパッケージである。攻撃者は侵害されたWebサイトを通じてそれらを配布する。脆弱な端末がこれらのサイトを訪れると、ユーザーの操作なしに、エクスプロイトキットがランサムウェアをこっそり(静かに)インストールできる。
マルバタイジング
マルバタイジングとは、オンライン広告の中に悪意のあるコードを埋め込むことを指す。正規のWebサイトであっても、広告ネットワークが侵害されていると、ユーザーに知られないままマルバタイジングを表示してしまうことがある。ユーザーは何かをクリックしなくても、その広告の表示されているページを読み込むだけで感染する可能性がある。
ソーシャルエンジニアリング
メール以外にも、攻撃者は電話、偽のテクニカルサポートのメッセージ、または不正なソフトウェア更新を使って、ユーザー自身にランサムウェアをインストールさせようとする場合がある。これらの手口は、技術的な脆弱性の悪用というより、操作やソーシャルエンジニアリングに依存している。
ランサムウェアと暗号通貨
ランサムウェア攻撃者はほぼ例外なく、暗号通貨での支払いを要求する。取引は取り消しが難しく、また(コインによっては)従来の銀行送金よりも追跡が難しいからである。ビットコインが最も多く求められる通貨であり続けているが、一部の集団は、運用の一部においてプライバシー重視のコインやステーブルコインへ移行している。
たとえ被害者が支払ったとしても、動作する復号鍵が受け取れる保証はない。法執行機関は一般に身代金の支払いに反対している。支払いはさらなる攻撃の資金になり、必ずしもデータが復旧する結果につながらないからだ。
注目すべきランサムウェアの例
WannaCry(2017)
WannaCryは4日間で150か国にまたがり30万台以上のコンピューターに感染し、EternalBlueとして知られるWindowsの脆弱性を悪用した。旧バージョンのWindowsを動かしているコンピューターを標的にしており、キルスイッチの発見によって一部阻止されたとされる。この攻撃は推定で40億ドル相当の損害を引き起こし、世界中の病院、通信会社、物流企業に影響を与えた。
Bad Rabbit(2017)
Bad Rabbitは主にロシアとウクライナに広がり、侵害されたWebサイト上で偽のAdobe Flashインストーラーを装っていた。被害者による手動でのインストールを必要とし、感染当時は約0.05 BTCを要求していた。
GandCrab(2018)
GandCrabはランサムウェア・サービス(RaaS)として機能した最初期のランサムウェア作戦の一つであり、犯罪の関係者(アフィリエイト)が身代金の取り分と引き換えにそれを展開できるようにしていた。運営側が2019年に引退を発表するまでに50万件以上の被害をもたらした。その後、復号ツールが無料で提供された。
LockBit(2019-2024)
LockBitは、重要インフラや大企業に対する数百件規模の攻撃を引き起こした、最も増殖性の高いランサムウェア集団の一つとなった。2024年2月、国際的な法執行機関が連携して大規模な作戦を実施し、LockBitのインフラを押収するとともに複数のアフィリエイトを逮捕したが、その後も集団側は再開を試みた。
ランサムウェアから身を守る方法
ファイルを定期的に外部またはオフラインの場所へバックアップする。攻撃を受けた際の最も信頼できる復旧手段である。一般的なセキュリティの原則や、自分のアカウントと電子機器を守るためのヒントを把握しておこう。
OSとすべてのソフトウェアを常に最新の状態に保つ。ランサムウェアは、古いソフトウェアにある既知の脆弱性を悪用することが多い。
メールの添付ファイルやリンクには注意する。不意のものを開く前に送信者を確認し、送り主不明のメッセージにあるリンクはクリックしないようにする。
怪しいWebサイトは避け、信頼できない出所からソフトウェアをダウンロードしないこと。メール添付の .exe、.vbs、.scr のようなファイル拡張子はリスクが高い。
攻撃者がユーザーをだましてマルウェアをインストールさせるために用いる、一般的な暗号通貨の詐欺やソーシャルエンジニアリング手口に注意する。
感染した場合は、サイバーセキュリティの専門家に相談するか、支払いを検討する前にNoMoreRansom.orgのような無料の復号ツールのリソースを確認する。
よくある質問(FAQ)
ランサムウェアとは何ですか?
ランサムウェアは、被害者の端末上のファイルを暗号化またはロックするタイプのマルウェアである。その後攻撃者は、復旧のためのアクセスを取り戻す代わりに、通常は暗号通貨で身代金を要求する。たとえ支払いが行われたとしても、攻撃者が動作する復号鍵を提供する保証はない。
ランサムウェアはどのようにしてあなたのコンピューターに入るのですか?
ランサムウェアは最も一般的には、悪意のある添付ファイルやリンクを含むフィッシングメールによって届く。ソフトウェアの脆弱性を狙うエクスプロイトキット、侵害されたWebサイト上の悪意ある広告、そしてユーザーにマルウェアを手動でインストールさせることを目的とした偽のソフトウェア更新などもある。
ランサムウェアの身代金を支払うべきですか?
法執行機関は一般に支払いに反対している。支払いはさらなる犯罪活動の資金になり、データが必ず復旧するわけではない。身代金を支払わないための最も信頼できる代替手段は、定期的なバックアップの維持である。支払いを検討する被害者は、いくつかの法域で制裁対象グループへの支払いを制限している場合があるため、まず法執行機関に相談すべきだ。
なぜランサムウェア攻撃者は暗号通貨を使うのですか?
暗号通貨の取引は取り消しが難しく、また一部のコインでは従来の銀行振込より追跡がより困難である。そのため攻撃者は、すぐに身元が特定されることなく支払いを受け取りやすくなる。要求される通貨として最も多いのはビットコインだが、いくつかの集団はプライバシー重視のコインや追加手順で資金を混ぜる方法を用いることもある。
ランサムウェアにおける二重恐喝とは何ですか?
二重恐喝とは、攻撃者が被害者のファイルを暗号化すると同時に、暗号化の前に機密データのコピーを持ち出す(流出させる)という手口である。被害者が支払いを拒否すると、攻撃者は盗んだデータを公開すると脅す。この手法は、ファイルにアクセスできなくなることに加えて、もう一段階の圧力をかける点が特徴である。
最後に:ひとこと
ランサムウェアは、単純なロッカー(封鎖)型プログラムから、毎年数十億ドル規模の価値がある洗練された犯罪産業へと進化してきた。法執行機関による摘発が増え、近年は被害者の支払拒否も増えているにもかかわらず、ランサムウェアは個人や組織にとって依然として大きな脅威である。最も効果的な防御策は、引き続き定期的なバックアップ、ソフトウェア衛生(安全な運用)、そして攻撃者が初期侵入を得るために用いるソーシャルエンジニアリング手口への警戒である。
さらに読む
フィッシングとは何ですか?
ソーシャルエンジニアリングとは何ですか?
一般的なセキュリティ原則
ビットコインのよくある詐欺8選と、それを避ける方法
モバイル端末でよくある詐欺
免責事項:本コンテンツは、一般的な情報および教育目的のために、"現状のまま"提供されています。いかなる種類の表明や保証もありません。これは、財務、法律、またはその他の専門的助言として解釈されるべきではなく、特定の製品やサービスの購入を推奨する意図もありません。適切な専門家アドバイザーにご自身で相談してください。第三者が寄稿した場合、そこに記載されている見解は当該第三者のものです。Binance Academyの見解を必ずしも反映するものではありません。デジタル資産の価格は変動し得ます。投資した金額が減ることも増えることもあり、投資金額の全額が戻らない場合があります。投資判断の責任はすべてご自身にあります。また、Binance Academyは発生し得る損失について一切の責任を負いません。詳細は、利用規約、リスクに関する警告、ならびにBinance Academyの利用規約をご覧ください。
