ランサムウェアの特徴と近年の動きについて

ランサムウェアは攻撃者がその対象に対して身代金(ransom)を要求するのが特徴のマルウェアの一種です。

種類によって違いますが、システムを使用不能にする、またはハードディスクやファイルなどを暗号化した上で、システムを元通りにする、または復号化することと引き換えに身代金を要求するというのが特徴です。

また窃取した個人情報や機密情報をネット上に公開すると脅迫することもあります。

このようなマルウェアはもともとロシアからの活動が有名でしたが、近年は世界各地に被害地域が広がっています。

 

初期の頃は個人に対する攻撃が多く、警察や企業などを称するものからシステムが違法な活動に使用されていたとか、アダルト動画などの違法なコンテンツが見つかったなどの警告を画面上に表示してシステムを使用できなくした上で、元に戻したければ金銭を支払うように要求するものでした。

金額も数万円程度とさほど高額ではなく、もとに戻してくれるならと支払ってしまう被害者も多くいました。

ただこのような手法自体が金になると分かると、2015年頃からだんだんと個人から企業にターゲットが変わっていきました。

それに伴い被害額も非常に大きくなり、民間企業だけでなく公的機関までも攻撃対象となることで、国家的な脅威といえるほどの状態になってきています。

また、日本の組織の半数以上がランサムウェアの攻撃を受けたとされる調査結果もあるなど、企業規模の大小に関係なく、その被害範囲も非常に広がっていて注意が必要です。

 

ランサムウェアはその名前にもなったランサム(身代金)を要求されることが特徴ですが、企業が攻撃対象となることで、金銭だけでなく個人情報や機密データをオンライン上に公開するという、企業の情報や信頼も被害になりえます。

 

攻撃方法

ランサムウェアの攻撃方法については主に以下の2種類です。

暗号化

　RSA暗号が一般的だが、鍵の桁数を高くすることで解除が実質的に極めて困難ものにして自力での解除を諦め、元に戻すために身代金を払わざるを得ない状態にするのが目的です。また、暗号化の対象は一般的にファイル単位が多いですが、ランサムウェアの種類によってはハードディスク単位で暗号化するものもあります。

　また、Windowsのシステムの復元オプションを無効化したり、ネットワークドライブも暗号化することで、ネットワークドライブ内に保存していたバックアップファイルなども使用できなくするものもあります。

 

画面ロック(システム制限)

コンピュータをロックして操作できなくし、再び使えるようにするために身代金を要求するものです。ハードディスクのマスターブートレコードやパーティションテーブルなどを改ざんすることでコンピュータをロックします。

 

感染経路

一般的なネットワークサービスの脆弱性や添付ファイル付き偽装メールだけでなく、適切なセキュリティ対策を行っていなかったWebサイトが改ざんされ、ユーザーが訪問するだけで感染したり、ソフトウェアのインストールを装った画面のボタンをクリックすることで感染させるなどの経路もあります。

また、比較的マルウェアの被害が少ないとされるMacOSですが、2013にはOS Xに特化したランサムウェアも出てくるなど、絶対的に安全なOSもないといえます。

 

対処法

感染後の効果的な解決法は残念ながらありません。

特に暗号化された場合、その鍵の解読には現実的でないほど時間がかかります。

また、一度摂取された情報はお金を払っても戻ってくるとは限らず、機密情報や個人情報が公開されることで会社の社会的信用の失墜は免れません。

少なくともOSやセキュリティ機器・ソフトウェアには最新のセキュリティアップデートを施すこと、ネットワークと切り離したストレージに定期的にバックアップを保存すること、感染を即時検知しロールバックできる機能をもったEDRなどの導入によって、業務に対する影響を最小限に抑えることが重要といえます。

 

被害の大きかった過去のランサムウェア

「WannaCry」

2017年に、世界150カ国、約230,000台のPC、世界全体での被害総額40億ドルともいわれる深刻な被害を受けたランサムウェアです。

このランサムウェアの技術的特徴はWindowsの脆弱性を悪用している点で、アメリカ国家安全保障局で開発されたといわれています。特に大きな被害を受けたのが、イギリスのNHSトラストという公的医療制度を担う団体への攻撃でイギリス全体の約3分の1の団体が被害を受け、その被害総額は9,200万ポンドともいわれています。またここまで被害が拡大した原因として、古いシステムに十分なセキュリティ対策がなされていないまま使用されていたことも指摘されています。

 

「GoldenEye」

2017年に世界的な被害となった「GoldenEye」は、その被害の大きさから「WannaCry」の再来ともいわれます。「GoldenEye」による攻撃は、ロシアの石油関連メジャーや銀行など2,000件以上が標的となりました。チェルノブイリ原子力発電所も標的となり、、放射線レベルの監視用に使用されていたWindowsマシンがロックされ、放射線レベルの監視を手動に切り替えざるをえない事態まで発生しました。

 

最近の海外での主な被害事例

ユニバーサル・ヘルス・サービス

(2020年9月、アメリカ)

「Ryuk」と見られるランサムウェアに感染。全米のUHS施設内のコンピュータと電話システムが停止し、復旧するまでの数日間医療業務に多大な影響を受けた。

 

アメリカキャノンUSA

(2020年8月、アメリカ)

一部のプライベートデータベースなどが攻撃を受け、合計10TB相当のデータが盗まれた。

 

Colonial

(2021年5月、アメリカ石油、パイプライン大手)

1週間近く操業停止に追い込まれた上、5億円以上の身代金を支払うことに。

 

最近の国内の主な被害事例

ホンダ自動車

(2020年7月)

国内外の9工場が一時的に操業停止、社内システムも影響を受けた。ホンダは今回の攻撃で3回目。2回目はWannaCry、今回はEkans。URLをチェックし、ホンダ内部のネットワークでしか動作しないようにカスタマイズされていた。

 

株式会社カプコン

(2021年4月)

最初はEMOTETまたはICDEDIDから始まり、身代金＋機密情報公開の二重脅迫をおこなう「Ragnar Locker」に感染。

販売レポート、財務情報、個人情報が漏洩した可能性があり、さらに約11億5,000万円の身代金を要求されたものの拒否した。

 

宇陀市立病院

(2020年5月)

「GandCrab」に感染し、1,133人分の患者データが暗号化されアクセス不能になった。診療部門システムのサーバやクライアント端末、ウイルス対策サーバ、看護部門サーバ端末などが感染したことで、電子カルテが一時使用不能になった。

 

富士フイルム

(2021年6月)

「Qbot」による攻撃で始まり、ランサムウェアペイロードが仕掛けられたと見られる。調査復旧のため、一部のネットワークを遮断し外部との通信を停止した。

 

東芝テック子会社

(2021年6月)

欧州法人の3社がランサムウェア攻撃を受けた。うち1社で個人情報の漏洩は確認できなかったものの、何らかの情報の漏洩を確認。

 

ダイワハウス子会社

(2021年6月)

会員情報管理用のサーバが感染。個人情報など150544件が暗号化された。うち約35,000人分のクレジットカード情報や従業員の情報も暗号化された。

 

ニップン

(2021年7月)

販売管理及び財務管理用の基幹システムやグループネットワーク内で運用しているシステムなど多くのサーバや端末が同時多発的に暗号化され、社内の約9割のシステムに被害が及び、決算提出に遅れが生じた。

 

経済産業省や総務省からも度々注意喚起が出されていますが、今年に入ってからも、トヨタ子会社の小島プレス工業やデンソーでの被害が代表的ですが、東京コンピュータサービス、日本歯科大学附属病院、ブリジストン米国法人、GMBなど被害が後を立ちません。

厳重なセキュリティ対策を施しているはずの大企業や病院、公共機関などの被害も出ています。被害を最小限に抑えられるように、自社のセキュリティ対策を再点検しましょう。