ランサムウェアとは?
ランサムウェアとは「身代金(ランサム=Ransom)を要求するマルウェア(Malware)」を指し、「身代金要求型不正プログラム」とも呼ばれます。
では、ランサムウェアは何を人質にして身代金を要求するのでしょうか?それは、PCの中の「データ」です。データを誘拐して、「返してほしければ、身代金(ランサム)を支払え」と脅してくるのです。とはいえ、データを物理的にPCの中から引っこ抜いて誘拐するわけにはいきません。実際には、PCに侵入したランサムウェアは、PC内のファイルを片っ端から暗号化して、ユーザーが読み出せなくしてしまいます。そして、それを復号して元通りの形にしてほしければ、ビットコインで身代金(ランサム)を払えと脅迫してくるわけです。
つまり、感染したコンピュータを強制的にロックしたりの中にあるファイルを暗号化して、制限の解除することの引き換えにビットコインで身代金を要求する不正プログラムをランサムウェアと呼んでいます。
初期のランサムウェアは、一般のユーザーを攻撃の標的にし身代金を稼いでいました。しかし、2015年頃からは企業や公的機関をターゲットにした事例が増え、2017年に世界中で猛威を奮い多くの企業や公的機関を攻撃したランサムウェア「WannaCry」がニュースが広く報じられ、多くの人が知るところとなりました。その後も様々な新種、亜種のランサムウェアが登場し、民間企業や公共機関のPCやサーバーがランサムウェアに感染し、深刻な被害となるケースがあとをたちません。
ランサムウェアの変遷
引き続き脅威が継続する「ランサムウェア」
サイバーリーズン社は2018年1月に、2017年のサイバーセキュリティ動向の振り返りと、2018年の予測を記したレポート「THE YEAR OF THE DEFFENDER ~2018年のサイバーセキュリティに関する5つの予測~」を公開しました。この中では、2018年に深刻化するであろう幾つかのセキュリティ脅威について論じていますが、そのレポートの中で特に警鐘を鳴らしているのが「ランサムウェア」の脅威です。
また、独立行政法人のIPAが毎年発表している『情報セキュリティ10大脅威 2020』によると、ランサムウェアの脅威は組織部門で5位(2019では3位)に位置し、不特定多数に対して行うランサムウェア攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近いランサムウェア攻撃にも警戒を促しています。
「手軽に稼げる手立て」であるランサムウェア
前述のレポートでは、このランサムウェアが世界中で猛威を奮った2017年の被害状況を振り返るとともに、引き続き2018年もその脅威が継続するだろうと予測していました。近年のランサムウェアは、自身のコードを変更してシグネチャベースのアンチウイルス製品のチェックをすり抜ける機能を備えています。また「ドライブ・バイ・ダウンロード」なぢ新たな感染経路を辿って感染するケースも増えており、あの手この手を使って既存のセキュリティ対策をくぐり抜けてきます。
また攻撃者の立場から見ると、ランサムウェアは他の手口と比べ「手軽に稼げる手立て」ととらえられているふしがあります。近年の標的型攻撃は手口が巧妙化・高度化し、中にはいったん侵入を果たした後も長期間に渡り内部に潜伏し、攻撃ターゲットの動向を注意深く観察してから巧妙なソーシャルエンジニアリングを仕掛けてくるものもあります。
大胆でシンプルなランサムウェアの手口
しかし、ランサムウェアの手口は、こうした高度な攻撃と比べると”粗雑”と言っていいほど大胆でシンプルです。ユーザーの端末に侵入するやいなや、あっという間にファイルを暗号化して身代金を要求するメッセージを表示します。長期間に渡る潜伏活動も、情報収集活動も必要ありません。そのため、侵入したマルウェアのふるまいを基に脅威を検知するタイプのセキュリティ製品でも、そのようなランサムウェアの挙動をなかなか検知できないのが実情です。
誰もが簡単にランサムウェア攻撃を仕掛けられるようになった
このように近年、ランサムウェアの被害が拡大の一途をたどっています。前述したレポートを掲載した2018年前半にはいったん被害が大幅に減少したかに見えたものの、その後再び増加に転じ、2019年12月には身代金の平均支払金額が8万ドルを超えたとの報告もあります。
その背景には、ランサムウェアを簡単に作成できる「RaaS(Ransomware-as-a-Service)」サービスがダークウェブにおいて普及したことで、誰もがランサムウェア攻撃が仕掛けられるようになったという事情があります。今や攻撃者は自身でランサムウェアを開発する必要はなく、SaaS型のクラウドサービスとしてランサムウェア攻撃を請け負うRaaSを利用することで、たとえ専門知識がなくても簡単に攻撃を実行できるようになりました。
また攻撃の量だけではなく、その“質”も最近ではかなり変化してきました。前述したように、かつてのランサムウェアの動作は極めて単調で、基本的にはただ「データを暗号化して身代金を要求する」だけでした。中には極めて巧妙な振る舞いをするランサムウェアもありましたが、その一方でとても粗雑な作りのものが多かったことも事実です。ただしそのようなランサムウェアであっても、大量のターゲットに無差別にばらまくことで確かな効果を上げることができました。
しかし最近のランサムウェア攻撃の多くは、ただ単にデータを暗号化して身代金を要求するだけでなく、データそのものやユーザーのID/パスワード情報を盗んで、それらをダークウェブで売却することで利益を上げるようになりました。このような複合型の攻撃を仕掛けることによって、より確実に利益を上げられるようにしているのが近年のランサムウェア攻撃の特徴だと言えます。
ランサムウェア対策として、バックアップや身代金支払いが常に有効とは限らない
ランサムウェア対策として、一般的には「データバックアップを取ること」が推奨されています。暗号化されてしまったデータを自分たちの手で復旧するための唯一確実な手段が、データのバックアップ/リストアです。従って、バックアップを日ごろから確実に行っておくことはランサムウェア対策の基本中の基本です。
しかしだからと言って、「ランサムウェアに感染しても、バックアップさえ行っていれば安心」というわけにはいきません。バックアップは複数ある防御策のうちの「最後の砦」に過ぎず、その手前で幾重にも防御の網を張り巡らせておくことで初めて効果的な対策が可能になります。もし万が一の際にバックアップデータがリストアできなかったり、そもそもバックアップが正常に取れていなかったら、あっという間に万事休すです。
そもそもバックアップが正常に取れていたとしても、直近のデータはかなり高い確率で失われてしまいますし、データを復旧する間のシステム停止は避けられません。しかも近年の高度なランサムウェア攻撃は、一定期間攻撃対象のネットワーク内に潜伏して環境を偵察・分析し、攻撃時にはバックアップデータまで暗号化してしまうこともあります。そのため、バックアップを過信することは禁物です。
中には、「最悪の場合、身代金を支払えばいい」と考えている方も少なくないかもしれません。しかし言うまでもなく、身代金を支払ったとしてもデータが元に戻る保証はなく、実際のところ元に戻らなかったケースも多発しています。そもそも、データが暗号化されてしまった時点でシステムは使い物にならなくなってしまいますから、「身代金を払うべきかどうか」「データを復旧できるかどうか」と迷っている間も、ビジネス上の被害はどんどんふくらんでいきます。こうしたダウンタイムは一般的には2週間以上に及ぶと言われているため、その間のビジネス停止がどれほどの損失をもたらすか、想像に難くないでしょう。
ランサムウェア攻撃による被害を未然に防ぐランサムウェア対策とは
ではランサムウェア対策として、一体どのような対策を行っておくべきなのでしょうか。バックアップをきちんと取り、それが正常にリストアできるかどうかを定期的にテストすることは、依然としてランサムウェア対策の基本です。その際には、バックアップデータが暗号化されてしまうリスクを考慮して、データコピー×3、ストレージメディア×2、オフサイトコピー×1のいわゆる「3-2-1ルール」に則ってセキュアなバックアップ管理を心掛けることをお勧めします。
またランサムウェア攻撃の最初の一手として使われる手段は、今も昔もフィッシングメールが主流です。従って、「不審なメールは開かない」「怪しいURLリンクはクリックしない」といったフィッシングメール対策を、今一度組織内で周知させることも重要です。
こうした日頃からの備えを徹底させた上で、アンチウイルスや次世代アンチウイルス、PowerShellを悪用したファイルレス攻撃への対策、ランサムウェア検知機能といった複数のエンドポイント防御を組み込んだ最先端のエンドポイントセキュリティ製品をランサムウェア対策として導入すれば、その効果をより発揮することができるでしょう。