メインコンテンツにスキップする

ランサムウェアの攻撃方法と種類、暗号化トロイの木馬との違いを解説

ランサムウェア

ランサムウェアとは

ランサムウェアは、サイバー犯罪者が使用するマルウェア(悪意のあるソフトウェア)の一種です。コンピュータやネットワークがランサムウェアに感染すると、ランサムウェアはシステムへのアクセスを遮断し、システムのデータを暗号化します。サイバー犯罪者は、データを解放する代わりに、被害者に身代金を要求します。ランサムウェアの感染から身を守るには、注意深い監視とセキュリティソフトウェアの利用を推奨します。マルウェア攻撃の被害者には、感染後に身代金を支払うか、マルウェアの駆除を試みるか、デバイスを再起動するかの3つの選択肢があります。恐喝的なトロイの木馬が頻繁に使用する攻撃ベクトルには、リモートデスクトッププロトコルフィッシングメールソフトウェアの脆弱性があります。そのため、ランサムウェアの攻撃は、個人企業の両方をターゲットにする可能性があります。

ランサムウェアの識別-基本的な区別が必須

特に、2つのタイプのランサムウェアがよく知られています。

  • Lockerランサムウェア。このタイプのマルウェアは、コンピュータの基本的な機能をブロックします。たとえば、マウスやキーボードが部分的に使用できなくなり、その間のデスクトップへのアクセスが拒否されたりします。その代わりに、身代金の支払要求をするウィンドウとのやり取りは継続します。これ以外のコンピュータ操作は、出来なくなります。しかし、いいニュースもあります。通常、ロッカー型のマルウェアは重要なファイルをターゲットにすることはありません。一般的には、ユーザーを閉め出したいだけです。したがって、ユーザーのデータが完全に破壊されることはまずありません。
  • Cryptoランサムウェア(暗号化ランサムウェア)。Cryptoランサムウェアの目的は、ドキュメント、写真、ビデオなどの重要なデータ暗号化することであり、コンピュータの基本的な機能を妨害することではありません。ユーザーはファイルを見ることはできてもアクセスすることができないため、パニックが広がります。Cryptoランサムウェアの開発者は、身代金の要求に、次のようなカウントダウンを加えることがよくあります。「期限までに身代金を支払わなければ、あなたのファイルはすべて削除されます」。また、クラウドや外部物理ストレージデバイスへのバックアップの必要性を知らないユーザーが多いため、Cryptoランサムウェアは壊滅的な影響を与える可能性があります。その結果、ファイルを取り戻すためだけに身代金を支払う多数の被害者がいます。

Locky、Petyaなどのランサムウェア

ランサムウェアとは何か、それには2つの主なタイプがあることがわかりました。次に、ランサムウェアがもたらすリスクを理解するのに役立つ、いくつかの有名な例を紹介します。

Locky

Lockyは、組織化されたハッカーグループによって2016年に初めて攻撃に使用されたランサムウェアです。Lockyは160種類以上のファイルを暗号化し、感染した添付ファイル付きの偽メールによって拡散されました。ユーザーは、この電子メールの手口に騙され、自分のコンピュータにランサムウェアをインストールしてしまったのです。この拡散方法はフィッシングと呼ばれ、いわゆるソーシャルエンジニアリングの一種です。Lockyランサムウェアは、デザイナー、開発者、エンジニア、テスターがよく使用するファイルタイプを標的としています。

WannaCry

WannaCryは、2017年に150カ国以上に拡散したランサムウェア攻撃でした。これは、NSAが作成したWindowsのセキュリティ脆弱性を悪用するように設計されており、ハッカー集団ShadowBrokersが漏洩させたランサムウェアでした。WannaCryは、世界中で23万台のコンピュータに影響を与えました。この攻撃は、英国の全NHS(国民保健サービス)病院の3分の1を襲い、推定被害額は9,200万ポンドに達しました。ユーザーはロックアウトされ、ビットコインによる身代金が要求されました。この攻撃では、ハッカーがすでにパッチが存在していたオペレーティングシステムの脆弱性を悪用したため、古いシステムの問題が露呈しました。WannaCryによる全世界での金銭的被害は約40億ドルでした。

BadRabbit

BadRabbitは、2017年に発生したランサムウェア攻撃で、いわゆるドライブバイ攻撃によって拡散しました。この攻撃は、安全性の低いウェブサイトを利用して実行されました。ドライブバイランサムウェア攻撃では、ユーザーは、実在するウェブサイトがハッカーによって侵害されていることに気づかず、そのサイトを閲覧します。ほとんどのドライブバイ攻撃では、侵害されているページを開くだけで、攻撃が実行されてしまいます。しかし、この場合は、偽装されたマルウェアを含むインストーラを実行したことで感染につながりました。これは、マルウェアドロッパーと呼ばれています。BadRabbitは、ユーザーに偽のAdobeFlashのインストールを実行するよう要求し、コンピュータをマルウェアに感染させました。

Ryuk

Ryukは2018年8月に拡散した暗号化トロイの木馬であり、Windowsのオペレーティングシステムのリカバリ機能を無効にしました。これによって、外部バックアップなしでは暗号化されたデータの復元が不可能になりました。Ryukはネットワークのハードディスクも暗号化しました。この影響は甚大で、標的となった米国の組織の多くは要求された身代金を支払いました。被害総額は64万ドル以上と推定されています。

Shade/Troldesh

ShadeまたはTroldeshと言われるランサムウェア攻撃は2015年に発生し、感染したリンクや添付ファイルを含むスパムメールによって拡散されました。興味深いことに、Troldeshの攻撃者は電子メールで被害者と直接的に連絡を取り合っていました。攻撃者と「良好な関係」を築いた被害者は、身代金の割引を受けました。しかし、このようなことは一般的ではなく、例外です。

Jigsaw

Jigsawは、2016年に始まったランサムウェア攻撃です。ホラー映画である「ソウ」シリーズで良く知られた指人形の画像を利用したことから、その名前が使われました。Jigsawランサムウェアは、身代金が支払われないまま時間が経過するごとに、さらに多くのファイルを削除しました。このホラー映画の画像が使用されたことで、ユーザーの間ではさらにストレスが生じました。

CryptoLocker

CryptoLockerは、2007年に初めて発見され、電子メールに添付された感染ファイルから拡散したランサムウェアです。このランサムウェアは、感染したコンピュータ内の重要なデータを探し出し、それを暗号化しました。推定50万台のコンピュータが影響を受けました。最終的に、捜査機関とセキュリティ企業は、ハイジャックされた家庭用コンピュータの世界的なネットワークの掌握に成功しました。これによって、犯罪者に気づかれることなく、捜査機関や企業はネットワーク上で送信されるデータの傍受ができました。最終的には、オンラインポータルが開設され、被害者は自分のデータを解除するためのキーを入手できるようになりました。こうして、犯罪者に身代金を支払うことなくデータを解放することができました。

Petya

Petya(ExPetrと混同しないでください)は、2016年に発生し、2017年にGoldenEyeとして復活したランサムウェア攻撃です。この悪質なランサムウェアは、特定のファイルを暗号化するのではなく、被害者のハードディスク全体を暗号化しました。この攻撃は、マスターファイルテーブル(MFT:Master File Table)を暗号化することで行われ、ハードディスク上のファイルへのアクセスが不可能になりました。Petyaランサムウェアは、感染したDropboxリンクを含む偽のアプリケーションを介して企業の人事部門に拡散しました。

Petyaのもう1つの亜種はPetya2.0で、Petyaとはいくつかの重要な点が異なります。攻撃の実行方法という点では、どちらもデバイスにとって致命的です。

GoldenEye

PetyaのGoldenEyeとしての復活は、2017年に世界的なランサムウェア感染をもたらしました。WannaCryの「極めて質の悪い親戚」として知られるGoldenEyeは、ロシアの著名な石油生産企業や複数の銀行を含む2,000以上の標的を襲いました。恐るべきことですが、GoldenEyeは、チェルノブイリ原子力発電所の職員をWindowsコンピュータからロックアウトさせ、職員に発電所の放射線レベルを目視で確認させるという事態を引き起こしました。

GandCrab

GandCrabは、被害者のポルノの習慣を公開すると脅迫する不愉快なランサムウェアです。被害者のウェブカメラをハッキングしたと主張し、身代金を要求しました。身代金が支払われなければ、被害者の恥ずかしい映像がネット上に公開されるというものでした。2018年に初登場した後、GandCrabランサムウェアは様々なバージョンで発展を続けました。「NoMoreRansom」という取り組みの一環として、セキュリティプロバイダーと警察は、被害者がGandCrabから機密データを回復できるよう、ランサムウェア復号化ツールを開発しました。

B0r0nt0k

B0r0nt0kは、WindowsおよびLinuxベースのサーバーに、特に焦点を当てた暗号ランサムウェアです。この有害なランサムウェアはLinuxサーバーのファイルを暗号化し、「.rontok」というファイル拡張子を付けます。このマルウェアは、ファイルに脅威を与えるだけでなく、起動時の設定を変更したり、機能やアプリケーションを無効にしたり、レジストリエントリやファイル、プログラムを追加したりします。

DharmaBrrrランサムウェア

新しいDharmaランサムウェアであるBrrrは、ハッカーによってマニュアルでインストールされ、ハッカーはインターネットに接続されたデスクトップサービスに侵入します。ハッカーがそのランサムウェアを起動すると、すぐに見つけたファイルの暗号化が始まります。暗号化されたデータには「.id-[id].[email].brrr」というファイル拡張子が与えられます。

FAIRRANSOMWAREランサムウェア

FAIRRANSOMWAREはデータの暗号化を目的としたランサムウェアです。強力なアルゴリズムを使用し、被害者のプライベートな文書やファイルがすべて暗号化されます。このマルウェアで暗号化されたファイルには「.FAIRRANSOMWARE」というファイル拡張子が付けられます。

MADOランサムウェア

MADOランサムウェアも暗号化ランサムウェアの一種です。このランサムウェアによって暗号化されたデータには「.mado」という拡張子が付けられ、開けなくなります。

ランサムウェア攻撃

すでに述べたように、ランサムウェアはあらゆる生活圏でその標的を見つけます。通常、要求される身代金は100ドルから200ドルの間です。しかし、一部の企業向け攻撃では、それ以上の金額が要求されることもあります。特に、ブロックされたデータが攻撃を受けている企業にとって大きな金銭的損失をもたらすことを攻撃者が知っている場合はなおさらです。そのため、サイバー犯罪者はこのような手口で莫大な金額を稼ぎます。以下の2つの例では、サイバー攻撃の被害者にとっては、どんなランサムウェアに攻撃されたのかよりも、被害がどのように悪質であったかの方が重要です。

WordPressランサムウェア

WordPressランサムウェアは、その名の通りWordPressのウェブサイトのファイルを標的とします。被害者は、ランサムウェアによくある手口で身代金を請求されます。WordPressサイトの需要が高いほど、このランサムウェアを使用したサイバー犯罪者の攻撃を受ける可能性が高くなります。

Wolverine事件

WolverineSolutionsGroup(ヘルスケアサプライヤー)は、2018年9月にランサムウェア攻撃の被害に遭いました。このマルウェアは同社の多量のファイルを暗号化し、多くの従業員がファイルを開くことができなくなりました。幸い、犯罪科学の専門家が10月3日にデータを復号化し、ファイルを復元できました。しかし、この攻撃で多くの患者データが漏洩しました。氏名、住所、医療データ、その他の個人情報がサイバー犯罪者の手に渡った可能性があります。

Ransomware as a Service

RansomwareasaServiceは、技術力の低いサイバー犯罪者にランサムウェア攻撃を行う機会を提供します。このマルウェアは売買されているため、ソフトウェアのプログラマーにとってはリスクが低く、高い利益を得ることができます。

まとめ

ランサムウェア攻撃は、多種多様な形態やサイズ、見た目をしています。攻撃ベクトルは、使用されるランサムウェアのタイプにとって重要な要素です。攻撃のサイズや範囲を推定するためには、何が危険にさらされるか、どのようなデータが削除または公開される可能性があるのかを常に考慮する必要があります。ランサムウェアのタイプにかかわらず、事前にデータをバックアップし、セキュリティソフトを適切に使用することで、攻撃の強度を大幅に低下させられます

関連記事

関連製品

ランサムウェアの攻撃方法と種類、暗号化トロイの木馬との違いを解説

Bad RabbitやCryptoLocker、GandCrab、その他多くのランサムウェアを識別し、区別する方法をご紹介します。
Kaspersky logo