ランサムウェアとは?感染経路と事例と対策そして対処方法を知っておく

今回はランサムウェアについての超詳しいお話です。被害事例や対策、感染した場合の対処方法などをご紹介します

あなたは、ランサムウェアという名前を聞いて今このページを見ているのでしょう。

ランサムウェアという名前で大騒ぎしていることを不思議に思ったことはありませんか?

オフィスで聞いたことがある人もいれば、ニュースで読んだことがある人もいるでしょう。

もしかしたら、すでにあなたのコンピュータの画面にランサムウェアの感染を警告するポップアップが表示されているかもしれません。

ここでは、ランサムウェアの様々な形態、感染経路、発生源、標的となる人物、そしてランサムウェアから身を守るための対策についてご紹介します。

ランサムウェアとは?

目次

ランサムウェア(またはランサムマルウェアと呼ばれることもあります)は、ユーザーのシステムや個人ファイルへのアクセスを阻止し、アクセスを取り戻すために身代金の支払いを要求するマルウェアの一種です。

ランサムウェアの初期の亜種は1980年代後半に開発されたと言われています。当時は現金を送金したり、銀行振込をさせたりしていました。

今日では、ランサムウェアの作者は、暗号通貨やクレジットカードで支払いを要求しています。

ランサムウェアの感染経路とは?

ランサムウェアがコンピュータに感染する方法はいくつかあります。

スパムメール

今日最も一般的な方法の1つは、マルウェアを配信するために使用される悪意のあるスパムメールを介したものです。

電子メールには、PDFやWord文書などの添付ファイルが含まれていたり、悪意のあるウェブサイトへのリンクが含まれている場合もあります。

スパムメールは、ソーシャルエンジニアリングを利用して、信頼できる機関や友人からのものであるかのように見せかけて、人々を騙して添付ファイルを開かせたり、リンクをクリックさせたりします。

サイバー犯罪者は、FBIを装ってユーザーを脅し、ファイルのロックを解除するために大金を支払わせるなど、他の種類のランサムウェア攻撃にもソーシャルエンジニアリングを利用しています。

大手企業やECサイトを装うメールも数多く発見されています。

マルバータイジング

もう1つの一般的な感染方法は、マルバータイジングです。

マルバータイジングとは悪質な広告のことです。

マルバータイジングはオンライン広告を利用して、ユーザーの操作をほとんど必要とせずにマルウェアを配布することです。

ウェブを閲覧している間、たとえ合法的なサイトであっても、ユーザーは広告をクリックすることなく犯罪者のサーバーに誘導されることがあります。

これらのサーバーは、被害者のコンピュータとその場所に関する詳細をカタログ化し、配信に最適なマルウェアを選択します。

多くの場合、そのマルウェアはランサムウェアです。

マルウェアは、多くの場合、感染したiframe、または目に見えないウェブページの要素を利用して動作します。

iframe はエクスプロイトのランディングページにリダイレクトされ、悪意のあるコードがエクスプロイトキットを介してランディングページからシステムを攻撃します。

これらはすべてユーザーの知らないところで行われるため、ドライブバイダウンロードと呼ばれることが多い手法です。

ランサムウェアの種類

ランサムウェアと一言で言っても、いくつか種類があります。

ランサムウェアには主に3つのタイプがあり、深刻度は軽度のものからかなり危険なものまで様々です。

スケアウェア(Scareware)

スケアウェアは、ユーザーを脅して恐怖心をあおり、金銭や個人情報を奪うことを目的としたマルウェアですが、実際のところはそれほど怖いものではありません。

このスケアウェアには、不正なセキュリティソフトや技術サポート詐欺も含まれています。

画面上に「マルウェアが発見されたので、それを駆除する唯一の方法は料金を支払うことだと主張するポップアップメッセージ」が表示されることがあるかもしれません。

もし何もしなければ、ポップアップメッセージが表示され続けるのでびっくりすると思いますが、あなたのファイルは基本的には安全です。

当たり前ですが、ちゃんとしたセキュリティソフトは、このような方法で顧客に営業をかけたり、金銭を要求することはありません。

自分が使っているセキュリティ・ソフトウェアからのメッセージのように見える場合でも、感染を除去するためにお金を払う必要はありません。

スクリーンロッカー

スクリーンロッカーとは、スクリーンの全画面に閉じられないウインドウを表示させることでパソコンを使えない状態にし、正常に使える状態に戻すことを条件に金銭を要求するマルウェアです。

ロックスクリーン・ランサムウェアがあなたのコンピュータに侵入した場合、あなたのコンピュータは完全に凍結されることを意味しています。

コンピュータを起動すると、フルサイズのウィンドウが表示され、多くの場合、違法行為がコンピュータで検出されたので罰金を支払わなければならないという公式ぶったメッセージが表示されています。アメリカの場合だとFBIや米国司法省のシールが添付されています。

しかし、FBIがあなたをコンピュータから追い出したり、違法行為に対する支払いを要求したりすることはありません。

当然ですが、海賊行為や児童ポルノ、その他のサイバー犯罪の疑いがある場合は、適切な法的手段を用いて捜査が行われます。

ランサムウェアによる暗号化

これは本当に厄介です。

暗号化タイプはあなたのファイルを暗号化してしまい、使えない状態にして復号化するための支払いを要求してきます。

この種のランサムウェアが非常に危険な理由は、サイバー犯罪者がファイルを手に入れてしまうと、セキュリティソフトやシステムの復元ができなくなってしまうからです。

あなたが身代金を支払わない限り、ほとんどの場合、ファイルは消えてしまいます。

また、身代金を支払ったとしても、残念ながらサイバー犯罪者からファイルを取り戻せる保証はありません。

ランサムウェアの歴史

最初のランサムウェアは、1980年代後半に作成されました。

PC Cyborgは、90回の再起動後にC:ディレクトリ内のすべてのファイルを暗号化し、ユーザーにライセンスの更新を要求します。

ただし、使用されていた暗号は、簡単に復号化することが可能だったので、コンピュータに精通している人にはほとんど脅威ではありませんでした。

その後10年以上にわたって数種類のランサムウェアが登場しましたが、真のランサムウェアの脅威が登場したのは2004年、GpCodeが弱いRSA暗号化を使用して個人のファイルを身代金のために保管するようになってからでした。

2007年、WinLockはファイルを暗号化する代わりに、人々をデスクトップから締め出す新しいタイプのランサムウェアの台頭を予告しました。

WinLockは被害者の画面を乗っ取り、ポルノ画像を表示しました。そして、それらを削除するために、SMSを介して支払いを要求しました。

2012年にランサムファミリー「Reveton」が開発されたことで、新たな形のランサムウェア「法執行機関向けランサムウェア」が登場しました。

被害者はデスクトップからロックアウトされ、画面にはFBIやインターポールなどの法執行機関の認証情報が記載された公式ページが表示されます。

そして、ランサムウェアは、ユーザーがコンピュータのハッキングや違法ファイルのダウンロード、児童ポルノに関与しているなどの犯罪を犯したと主張します。

ほとんどの法執行機関のランサムウェアファミリーは、UKashやPaySafeCardなどのプリペイドカードを使って100ドルから3,000ドルの罰金を支払うことを要求していました。

平均的なユーザーはこれをどう解釈すればいいのかわからず、自分たちが本当に法執行機関の捜査を受けていると信じていました。

このソーシャルエンジニアリングの戦術は、現在では「暗黙の罪」と呼ばれていますが、ユーザーは自分の無実を疑わせ、誇りに思っていない活動で呼び出されるのではなく、身代金を支払ってすべてを消し去るようにしています。

2013年、CryptoLockerは暗号化されたランサムウェアを世界に再紹介しましたが、今回はより危険なものでした。

CryptoLockerは軍用の暗号化を使用し、ファイルのロックを解除するために必要なキーをリモートサーバーに保存していました。

このため、ユーザーが身代金を支払わずにデータを取り戻すことは事実上不可能でした。

この種の暗号化ランサムウェアは、サイバー犯罪者がお金を稼ぐための信じられないほど効果的なツールであることが証明されているため、現在でも使用されています。

2017年5月のWannaCryや2017年6月のPetyaなど、大規模なランサムウェアのアウトブレイクでは、暗号化ランサムウェアを使用して世界中のユーザーや企業を陥れることができました。

2018年後半には、Ryukはアメリカのニュース出版物やノースカロライナ州のオンズロー上下水道局への攻撃でランサムウェアシーンに炸裂しました。

興味深いことに、標的となったシステムは最初に Emotet や TrickBot に感染していましたが、これは情報を盗むトロイの木馬で、現在では Ryuk のような他の形態のマルウェアを配信するために使用されています。

Malwarebytes LabsのディレクターであるAdam Kujawa氏は、EmotetとTrickBotが高価値のターゲットを見つけるために使用されていると推測しています。

システムが感染し、ランサムウェアの格好の標的としてフラグが立てられると、Emotet/TrickBotはシステムにRyukを再感染させるのです。

最近のニュースでは、Sodinokibiランサムウェア(GandCrabの疑惑のオフシュート)の背後にある犯罪者が、マネージドサービスプロバイダ(MSP)を利用して感染を広め始めました。

2019年8月には、全国の何百もの歯科医院が患者記録にアクセスできなくなっていることがわかりました。

攻撃者は、侵害されたMSP(この場合はカルテソフト会社)を利用して、カルテ管理ソフトを使用している最大400件の歯科医院を直接感染させました。

Mac OSのランサムウェア

パソコンのウイルスというとWindows OSがターゲットにされることが多いですが、ランサムウェアについてはMac OSもターゲットにされています。

Mac向けのランサムウェアが、KeRangerです。

ランサムウェアに手を出さないMacのマルウェア作者が、2016年にMac OS向けの初のランサムウェアを作りました。

KeRangerと呼ばれるこのランサムウェアは、Transmissionと呼ばれるアプリに感染し、起動するとファイルが暗号化されるまでの3日間、バックグラウンドで静かに実行されたままの悪質なファイルをコピーしました。

しかし、Appleの内蔵マルウェア対策プログラムXProtectは、ランサムウェアが発見された直後に、ユーザーシステムへの感染をブロックするアップデートをリリースしました。

とはいえ、Macのランサムウェアは実際に存在することの証明がされました。

スマホ、モバイル向けランサムウェア

ランサムウェアがスマホなどのモバイルデバイス上で大規模に見られるようになったのは、2014年に悪名高いCryptoLockerや他の類似のファミリーが全盛期を迎えてからのことでした。

モバイルランサムウェアは通常、ある種の違法行為のためにデバイスがロックされたというメッセージを表示します。

メッセージには、料金を支払った後に携帯電話のロックが解除されると記載されていることがほとんどです。

モバイルランサムウェアは悪意のあるアプリを介して配信されることが多く、モバイルデバイスへのアクセスを取り戻すためには、携帯電話をセーフモードで起動し、感染したアプリを削除する必要があります。

ランサムウェアの作者は誰をターゲットにしているのか?

ランサムウェアが登場したとき、当初の被害者は個人でした。

しかし、サイバー犯罪者がランサムウェアを企業に展開したことで、ランサムウェアの潜在能力をフルに発揮するようになりました。

ランサムウェアは企業に対して非常に成功し、生産性を停止させ、データと収益の損失をもたらしたため、ランサムウェアの作者は攻撃のほとんどを企業に向けました。

2016年末までに、世界の企業の検出件数の12.3%がランサムウェアであったのに対し、消費者の検出件数の1.8%にすぎませんでした。

そして2017年には、中小企業の35%がランサムウェアを経験していました。

中小企業向けランサムウェアレポート

地域的には、ランサムウェアの攻撃は英国、米国、カナダがそれぞれ標的とされた上位3カ国にランクインしています。

他の脅威行為者と同様に、ランサムウェアの作者はお金を追いかけてくるので、PCの普及率が高く、相対的に裕福な地域を探しています。

ということから、アジアや南米の新興市場でも、経済成長が加速しているため、ランサムウェアが増加していると予想されます。

ランサムウェアに感染してしまった場合の対処法

ランサムウェアに感染した場合、絶対に身代金を支払ってはいけません。

身代金を払わないことは、サイバー犯罪者があなた、もしくは他の誰かに対して追加攻撃を仕掛けることを促すだけという意見もあります。

しかし、無料の復号化ツールを使えば、暗号化されたファイルを取り戻すことができるかもしれないのです。

多くの場合、ランサムウェアは高度で洗練された暗号化アルゴリズムを利用しているため、すべてのランサムウェアファミリーが復号器を作成しているわけではありません。

また、たとえ復号器があったとしても、それがマルウェアの正しいバージョンに対応しているかどうかは必ずしも明確ではありません。

間違った復号化スクリプトを使用してファイルをさらに暗号化することは避けたいものです。

そのため、身代金のメッセージ自体に注意を払うか、何かを試す前にセキュリティ/ITの専門家にアドバイスを求める必要があります。

ランサムウェア感染に対処するための他の方法としては、改善策として知られているセキュリティ製品をダウンロードし、スキャンを実行して脅威を除去する方法があります。

残念ながらファイルは取り戻せないかもしれませんが、感染はクリーンアップされます。

ランサムウェア感染に強いセキュリティソフトとしては、ウイルスバスタークラウドなどが有名です。

screenlocking ランサムウェアの場合は、システムを完全に復元する必要があるかもしれません。

それがうまくいかない場合は、起動可能なCDやUSBドライブからスキャンを実行してみてください。

暗号化ランサムウェアの感染を阻止したい場合は、特に注意が必要です。

システムの動作が一見何の理由もなく遅くなっているように見える場合は、システムをシャットダウンしてインターネットから切断してください。

再度起動してもマルウェアが活動している場合、コマンド・コントロール・サーバーからの指示を送受信することができなくなります。

つまり、鍵や支払いを引き出す方法がなければ、マルウェアはアイドル状態のままになる可能性があります。

その時点で、セキュリティ製品をダウンロードしてインストールし、フルスキャンを実行してください。

ランサムウェアの感染から守るには?

セキュリティの専門家は、ランサムウェアから身を守る最善の方法は、そもそもランサムウェアが発生しないようにすることだと同意しています。

何とも難しい話です。

専門家の話はこうです。

ランサムウェア感染に対処する方法はありますが、それらはせいぜい不完全な解決策であり、多くの場合、平均的なコンピュータユーザーよりもはるかに多くの技術的なスキルを必要とします。

そこでここでは、ランサムウェアの攻撃による被害を避けるために、人々が行うことをお勧めします。

1、セキュリティソフトを導入する

ランサムウェア対策の第一歩は、ランサムウェアのような高度なマルウェア攻撃を阻止するために設計されたリアルタイムの保護機能を備えた、優れたサイバーセキュリティプログラムに投資することです。

また、脆弱なプログラムを脅威から保護する機能(エクスプロイト対策技術)と、ランサムウェアがファイルを人質に取るのをブロックする機能(ランサムウェア対策コンポーネント)の両方を備えていることにも注目してください。

例えば、Malwarebytes for Windowsのプレミアム版を使用していたお客様は、2017年の主要なランサムウェア攻撃のすべてから保護されていました。

2、定期的にデータの安全なバックアップをする

次に、定期的にデータの安全なバックアップを作成することです。

おすすめは、高度な暗号化と多要素認証を含むクラウドストレージを利用することです。

または、USBや外付けハードドライブを購入して、新しいファイルや更新されたファイルを保存することもできます。

その後、システムとソフトウェアが更新されていることを確認してください。

WannaCryランサムウェアの発生は、マイクロソフトのソフトウェアの脆弱性を利用したものでした。

同社は2017年3月にセキュリティの抜け穴に対するパッチをリリースしていましたが、多くの人が更新プログラムをインストールしていなかったため、攻撃にさらされたままになっていました。

日々の生活の中で使用されるソフトウェアやアプリケーションのリストが増え続ける中で、更新プログラムのリストを常に把握しておくのは大変なことです。

そのため、自動更新を有効にするように設定を変更することをお勧めします。

3、常に最新の情報を入手する

最後に、常に最新情報を入手しましょう。

コンピュータがランサムウェアに感染する最も一般的な方法の1つは、ソーシャルエンジニアリングによるものです。

マルスパムや不審なウェブサイト、その他の詐欺を検出する方法について、自分自身(および事業主であれば従業員)を教育するようにしてください。

そして何よりも常識を働かせましょう。

怪しいと思われる場合は、おそらくその可能性があります。

ランサムウェアは私のビジネスにどのような影響を与えますか?

  • GandCrab
  • SamSam
  • WannaCry
  • NotPetya

など、さまざまな種類のランサムウェアがビジネスに大きな影響を与えています。

実際、ランサムウェアによるビジネスへの攻撃は、以下のようになっています。

ランサムウェアはビジネスにどのような影響を与えますか?

GandCrab、SamSam、WannaCry、NotPetya…これらはすべて異なるタイプのランサムウェアであり、ビジネスに大きな打撃を与えています。

実際、サイバー犯罪者が消費者に焦点を当てた攻撃からは離れたので、企業へのランサムウェア攻撃は2018年下半期に88%増加しました。

サイバー犯罪者は、大きなビジネスが大きな利益につながることを認識しており、病院、政府機関、商業機関を標的にしています。

データ侵害の平均的なコストは、修復、罰則、ランサムウェアの支払いを含めると、386万ドルにもなります。

最近のランサムウェア事例の大半は、GandCrabであることが確認されています。

2018年1月に初めて検出されたGandCrabは、脅威の作者がランサムウェアを防御しにくくし、暗号化を強化しているため、すでにいくつかのバージョンを経ています。

GandCrabはすでに約3億ドルの支払い済み身代金をどこかで巻き上げていると推定されており、個々の身代金は600ドルから70万ドルに設定されています。

2018年3月に起きた別の注目すべき攻撃では、SamSamランサムウェアがアトランタ市のいくつかの重要なサービス(歳入徴収や警察の記録システムなど)を破壊し、アトランタ市を機能不全に陥れました。

SamSam攻撃はアトランタ市の修復に260万ドルの費用を要しました。

ランサムウェア攻撃の頻発とそれに伴う莫大なコストを考えると、今こそランサムウェアからビジネスを守るために賢くなるべき時です。

このトピックについては以前にも詳しく説明しましたが、ここではマルウェアからビジネスを守る方法について簡単に説明します。

マルウェアからビジネスを守る方法

データをバックアップしましょう

バックアップがあれば、ランサムウェア攻撃を修復するには、感染したシステムを消去して再イメージ化するのと同じくらい簡単です。

ランサムウェアの中にはネットワーク共有を探すように設計されているものもあるため、バックアップをスキャンして感染していないことを確認するとよいでしょう。

そのため、データのバックアップは、高度な暗号化と多要素認証を備えた安全なクラウドサーバーに保存しておくとよいでしょう。

ソフトウェアのパッチとアップデートを行いましょう

ランサムウェアは、システムやネットワークに不正にアクセスするためにエクスプロイトキットを利用することがよくあります(例:GandCrab)。

ネットワーク上のソフトウェアが最新の状態であれば、エクスプロイトベースのランサムウェア攻撃で被害を受けることはありません。

また、旧式のソフトウェアや時代遅れのソフトウェアを使用している場合は、ソフトウェアメーカーがセキュリティアップデートを実施していないため、ランサムウェアの危険性があります。

捨てられたソフトウェアを処分し、メーカーがサポートしているソフトウェアと交換しましょう。

システム利用ユーザーにスパムと強力なパスワードの作成について教育しましょう

Emotetの背後にある巧妙なサイバー犯罪者は、かつての銀行のトロイの木馬をランサムウェアの配送手段として利用しています。

Emotetは、マルスパムを利用してエンドユーザーを感染させ、ネットワーク上に足場を築きます。

ネットワークに入ると、Emotetはワームのような行動をとり、一般的なパスワードのリストを使ってシステムからシステムへと拡散します。

マルスパムを発見する方法を学び、多要素認証を導入することで、エンドユーザはサイバー犯罪者の一歩先を行くことができます。

サイバーセキュリティ技術に投資しましょう

例えば、Malwarebytes Endpoint Detection and Response は、ネットワーク全体にわたって 1 つの便利なエージェントを介して検出、応答、および修復機能を提供します。

すでにランサムウェアの被害に遭っている場合はどうすればよいのでしょうか?

まずは復号化装置があるかどうかを確認してください

まれにお金を払わなくてもデータを解読できるケースもありますが、ランサムウェアの脅威はファイルを解読するのを難しくすることを目的に常に進化しているので、期待しないようにしましょう。

身代金は支払わない

私たちは以前から身代金を支払わないことを提唱してきました。

サイバー犯罪者には罪の意識がなく、あなたのファイルを取り戻せる保証はありません。

さらに、身代金を支払うことで、サイバー犯罪者にランサムウェア攻撃が有効であることを示していることになります。

 

参考サイト:www.malwarebytes.com/ransomware/

コメント