DIME MAGAZINE
マルウェア「ランサムウェア」の脅威と対策
ランサムウェアとは、身代金という意味を持つ英単語の「Ransom(ランサム)」と、コンピュータウイルス等を含むコンピュータに何らかの処理を行うプログラムなどを指す「Software(ソフトウェア)」を組み合わせた造語です。
感染させた端末内のデータを暗号化などによって、利用できない状態にした上で、そのデータを利用できる状態に戻すことと引き換えに身代金(金銭)を要求するマルウェアの名称です。
ランサムウェアを使った最初のサイバー犯罪は、1989年(平成元年)に発生した「AIDS Trojan」というトロイの木馬型マルウェアによるもので、当時「暗号化ウイルス恐喝」と呼ばれていました。
以後30年以上にわたり、ランサムウェアと呼ばれるマルウェアは様々な手段・方法を使って姿を変えながら、世界各地で大規模な犯行に使用されています。
今回は、警視庁のサイバーセキュリティ対策本部が発表した「ランサムウェアによる犯罪の傾向」について紹介しましょう。
ランサムウェアによる犯罪の傾向
警察庁により公表されている企業・団体等におけるランサムウェア被害の件数は、年々増加しており、昨年(令和3年)下半期は、一昨年(令和2年)下半期と比べて約4倍になっています。
被害状況を件数別にみると、企業規模を問わず、犯行手口は二重恐喝が82件(85パーセント)であることが分かります。
また、感染経路は、テレワーク等の勤務に必要な機器として、社外から社内の端末にアクセスする際に、通信の内容を覗き見られることを防ぐために設置された「VPN機器」や、社外からアクセスする際に利用する「リモートデスクトップ」機能のある機器・システムの脆弱性、強度の弱いパスワード等の利用です。
ランサムウェアによる犯罪の特徴
まず、ランサムウェアによる犯行の特徴として、「RaaS(ラーズ、Ransom as a Service)」と呼ばれるビジネスモデルが使われていることです。
これは、ソフトウェアを利用する期間に応じて、料金を支払うことで使うことができるパッケージの「SaaS(サーズ、Software as a Service)」のランサムウェア版です。
具体的には、「メールなどを使って端末に侵入」、「端末や端末が繋がっているネットワーク内に保存されているファイルの暗号化」、「暗号化したデータを使えるように復号するための身代金を要求」といったランサムウェア攻撃に必要なものをパッケージ化し、利用期間に応じた料金を支払うことで利用できるサービスのことです。
RaaSの提供者に利用料を支払えば、マルウェアや不正アクセスに関する知識や技術が未熟な者でも、簡単にランサムウェアを使うことが可能となり、犯罪者からすればとても便利な商品が用意されているという状況になっています。
次に、「二重恐喝」を仕掛けてくるということです。「二重恐喝」は、2019年末ころから見られるようになった比較的新しい手口です。
それ以前の「データの暗号化し、金銭を要求する」という手口では、ランサムウェアによる被害を受けた企業が、暗号化されたデータと別にバックアップデータを保管していた場合、犯罪者は復号に要する身代金の支払いを受けられなくなります。
そこで犯罪者が考え出したのが、企業が保有する機密データや個人情報データを事前に盗み出し、暗号化したデータを復号のための身代金を要求するのに加え、支払われない場合には盗んだデータを公開するという脅迫行為を行う手口です。
二重恐喝は、金銭の支払いを要求するだけでなく、企業の保有データを盗むことから、そのRaaSには、ランサムウェアというメインの「データ暗号化マルウェア」の他に「情報窃取型マルウェア」等も同封されており、複合的に犯行が実行でき、金銭を得るための犯行用具まで整った犯罪になっていると言えます。
ランサムウェアの感染経路
犯罪者が企業にランサムウェアを感染させるために使用している経路の一つとして、ハードウェアやソフトウェアの脆弱性を悪用したものがあります。
脆弱性を悪用して端末内に侵入し、ランサムウェアに感染させ、身代金を要求したサイバー犯罪に「WannaCry(ワナクライ)」があります。
「WannaCry」は、2017年に日本を含む世界150か国で流行り、23万台ものWindows端末に感染したと言われるランサムウェアです。
「WannaCry」と同様の手法である脆弱性を悪用した犯罪は、今後も新たな脆弱性が発見・公表されれば、犯罪者がそれを悪用してきますので、脆弱な部分の修正・補完をしないまま放置すると、サイバー犯罪の被害に遭うリスクが高まります。
この他、脆弱性を悪用した攻撃としては、インターネット上に公開されているWebサイトの改ざんによる乗っ取りや、犯罪者が本物に類似した偽のWebサイトを立ち上げて、そのサイトを閲覧した者にランサムウェアを感染させるという方法が確認されています。
自社でWebサイトを作成・公開している場合、自社サイトを安全に維持するための対策をとらなければなりません。
また、Webサイトの開設、ホームページの作成をする事業者の方は、委託者と感染被害後にトラブルにならないようにするために、サポートを含めてより確実な対策をする必要があります。
その他の感染経路として、フィッシングメールやスパムメール・なりすましメール等を感染対象者や不特定多数に送りつけるというものがあります。
犯罪者は、金銭の入手を目的として、従業員がメールと一緒に送信されたファイルや、メール本文に表示されたURLを安易にクリックすることを期待して、メールを送信します。
そのメールは、取引先の名前を使ったり、興味を引きそうな時事的な内容が使われたりするので、現在のサイバー犯罪に使われるメールの特徴を知らなければ、被害に遭ってしまう確率が高くなることをすべての従業員に周知しなければなりません。
過去には、メールに書かれた日本語の使い方がおかしい、中国語の漢字が使われているなど、犯罪者によるメールか否かを見抜くことができましたが、現在では誤字脱字は見られるものの、正しい日本語が使われたものも多くあり、さらなる注意が必要となります。
引用協力/警視庁 サイバーセキュリティ対策本部
最新号
