近年ランサムウェアによる企業へのサイバー攻撃が増加傾向にあります。とはいえ、企業担当者のなかには「ランサムウェアとはそもそもどういったもので、どのような手口があるのか」と、ランサムウェアの初歩的な内容から理解できていない方も多いのではないでしょうか。
今回は、代表的なランサムウェアの種類や近年の攻撃動向、感染しないための対策について解説します。
ランサムウェアの概要から、今押さえておきたい攻撃の特徴まで理解できる内容となっています。ランサムウェアの初歩的知識をインプットしたい方は、ぜひ最後までご覧ください。
ランサムウェアとは
ランサムウェアとは、感染したファイルを暗号化し読み込めなくした後に、解除するための身代金を要求するマルウェアです。
代表的なランサムウェアは13種類ある
ここでは代表的なランサムウェア13種類を説明します。
CryptoLocker
「CryptoLocker」はコンピュータ内のファイル暗号化に加え、コンピュータ自体へのアクセスもブロックするランサムウェアです。2013年に被害が確認されました。主な感染経路はメールであり、オンラインバンクの認証情報を窃取する目的を持っています。
Petya
「Petya」はファイルだけでなくシステム自体も暗号化し、コンピュータが起動できなくするランサムウェアです。2016年から被害が拡大し、企業システム自体のセキュリティ対策を実現するきっかけとなりました。
WannaCry
「WannaCry」はビットコインで身代金を要求することが特徴的なランサムウェアです。2017年に被害が確認されてから世界で猛威を振るい、セキュリティ意識について問われる事例となりました。また被害額は合計で40億ドル以上に及んだといわれています。
LockBit
「LockBit」は、主に企業や政府機関を中心に被害が確認されたランサムウェアです。サイバー犯罪者からの手動による指示がなくても、自動的に拡散する性質を持っています。
Conti
2020年に被害が確認されたランサムウェアで有名なのは「Conti」です。WindowsのすべてのOSのバージョンを攻撃対象にしています。ファイルの暗号化だけでなく、Contiの管理するWebサイトで、ファイルの一部が公開され、身代金を支払わないと全て公開すると脅迫します。
Qlocker
「Qlocker」は、2021年に被害が確認されたランサムウェアで、QNAP社製のNASの脆弱性を攻撃します。QNAP社のNASは世界中で700万人以上に使用されているオンラインストレージで、それを標的としたランサムウェアです。ファイルを暗号化するだけでなく、ストレージ内にあるバックアップも消去します。
Locky
2016年に被害が確認された「Locky」は、偽装された電子メールに添付されたファイルから感染するランサムウェアです。暗号化被害に遭ったファイルは160種類以上にまで及び、デザイナーやプログラマー、エンジニアなどがよく使用するファイルが攻撃されました。
Bad Rabbit
「Bad Rabbit」は2017年に被害が確認されたランサムウェアで、Adobe Flashのインストーラーを偽装しました。Webページからファイルをダウンロードさせ、実行させる手口です。
Ryuk
2018年に被害が確認された「Ryuk」は、ファイルの暗号化だけでなく、Windowsの「システムの復元」も無効化にするランサムウェアです。外部にバックアップを取っていないと復元できない手口です。
Troldesh
「Troldesh」は、2015年に初めて被害が確認されスパムメールのリンクや、添付ファイルから感染を広げました。メールでのやりとりで身代金を減額できるかのようにふるまう悪質なランサムウェアです。
Jigsaw
2016年に被害が確認され始めた「Jigsaw」には、ホラー映画の『Saw』に出てくる人形の画像が使用されており、感染者に与える恐怖を増加させます。また、1時間ごとに少しずつファイルが削除される特徴があります。
GoldenEye
「GoldenEye」は、2017年に被害が確認され、個別のファイルではなくハードディスク全体を暗号化するランサムウェアです。チェルノブイリ原子力発電所も含め、インフラ企業や銀行が標的になりました。
GandCrab
「GandCrab」は2018年に被害が確認されました。「成人向けコンテンツの視聴履歴を公開する」と脅してくるランサムウェアです。
直近のランサムウェア攻撃の特徴6種類
近年は「多重脅迫型」や「サプライチェーン攻撃」のように、自社だけでなく関連企業やステークホルダーなど第三者にまで感染被害が及ぶランサムウェア攻撃が主流となりつつあります。
また従来の「バラマキ型」ランサムウェア攻撃から、「標的型」と呼ばれる特定のシステムや企業を標的にする方法も増加傾向にあります。
ここでは前述した内容を踏まえて、直近のランサムウェアの動向とそれぞれの特徴について紹介します。
多重脅迫型
多重脅迫型は、破壊型と暴露型を融合させたランサムウェアの手口です。データの暗号化および破壊をしつつ、重要なデータの公開をほのめかし脅迫します。前述した「Conti」が、多重脅迫型の代表的な例として挙げられます。
標的型
標的型は無差別・ばらまき型で感染を広げるのではなく、特定の企業を標的にすることで、効率的に身代金を手に入れようとする手口です。身代金を支払った企業があると、同じような企業が狙われます。
RaaS
RaaS(Ransomware-as-a-Service)は、サイバー犯罪者向けに、ランサムウェアの仕組みを提供しているサービスです。RaaSによりランサムウェアを実装する手間が軽減される分、より多くのサイバー犯罪者がランサムウェアを気軽に扱えるようになりました。
破壊型
破壊型のランサムウェアは、ファイルやシステムにダメージを与えることを目的としています。「Ryuk」のようにファイルの単一のバックアップだけでは回復不可能な状態になり、企業の操業が停止する恐れがあります。
暴露型
暴露型のランサムウェアは、盗んだ企業情報を公開すると脅迫するランサムウェアです。実際にWebサイトにデータの一部を公開して、期限までに身代金を支払うように要求します。
サプライチェーン攻撃
サプライチェーン攻撃は、大企業への攻撃をするのではなく、その子会社や関連会社への攻撃をすることで、大企業を間接的に攻撃しようとするランサムウェアです。ランサムウェア攻撃によりサプライチェーンの下流企業の操業が停止すれば、上流企業も影響を受けます。大規模な被害を計画し、その分高額な身代金を要求します。
ランサムウェアに備えた7つの対策
手口が進化しているランサムウェアですが、基本となる対策は大きく変わっていません。ランサムウェアに感染しないために、以下の対策に取り組みましょう。
- 定期的に複数の外部ストレージへバックアップをする
- OS、ソフトウェアを常に最新のバージョンにしておく
- OSのバックアップ機能を設定する
- 仕事に関係のないサイトへのアクセス制限をかける
- 見覚えのない電子メールは開封しない
- 安易にリンクをクリックしたり、不審なメールの添付ファイルを開かない
- 出所の分からないUSBメモリを使用しない
特にあらゆる手法のランサムウェア攻撃に対策するためには、修正プログラムやウイルス対策ソフトの更新が重要といえます。
なお詳しい対策方法については、下記記事をご覧ください。
参照ランサムウェア対策方法を徹底解説!被害に遭わないように今知っておくべきこと
よくある質問
ここでは、ランサムウェアに関する2つのよくある質問について紹介します。また事例に基づいて、どのようなランサムウェアが存在するのかを確認しましょう。もし自身の業界がランサムウェアに狙われやすい場合は、近年発生した事例と、有効な対策方法を前もって知っておくべきです。
Q1.多重脅迫型ランサムウェアの企業事例を教えて下さい。
A.サイバー犯罪者が多重脅迫型ランサムウェアで攻撃を行うのは、病院や金融機関など、センシティブな個人情報を管理している企業が多いです。これまでに狙われたデータの具体例には医療記録や診断内容、患者の医療保険データや、銀行の融資先のデータなど、第三者に公開するべきでない情報が挙げられます。日本では2021年に、徳島県の医療機関がサイバー攻撃の被害にあいました。
Q2.未知のランサムウェアが出てきた場合に有効な対策方法を教えて下さい
A.未知のランサムウェア攻撃に対しては、以下の基本的なランサムウェア対策を徹底しましょう。
- 修正プログラムの更新を欠かさず行う
- ウイルス対策ソフトの更新を行う
- 定期的なバックアップ
そのほか、業務に関係のないサイトへアクセスしない、内容が分からないファイルを実行しないなども重要です。
まとめ
ランサムウェアは、以前までの迷惑メールや偽Webサイト経由での「不特定多数を狙った攻撃」から、特定のシステムや企業など「標的を絞る攻撃」へと大きく変化を見せています。
今後も多種多様なランサムウェアの登場が予想されるため、既存のランサムウェアへの理解に加え、基本的な対策への取り組みが、ランサムウェア対策を強化するうえで重要です。