二重脅迫型・暴露型も!新型ランサムウェアとは?特徴から対策まで解説

感染端末内のデータを勝手に暗号化し、暗号化を解除するためとして身代金を要求するマルウェアが、「ランサムウェア(Ransomware)」。ランサムウェア自体は、以前から存在していた脅威ですが、昨今では“二重脅迫型”や“暴露型”など、新型のランサムウェアに姿を変え、組織や企業を脅かしています。
本記事では、様々な新型ランサムウェアを整理した上で、対策方法を解説します。

ランサムウェアのキホン

ランサムウェア(Ransomware)は、マルウェアの一種です。
感染するとPCやデバイス内に保存しているデータが勝手に暗号化されてアクセスできなくなったり、PCやデバイスが操作不能に陥ったりします。暗号化を解除するために、身代金を要求することから、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた「ランサムウェア(Ransomware)」と命名されました。

ランサムウェアに感染すると・・

最初の感染が確認されてからわずか数日で、世界150か国以上で30万台を越えるPCに被害を及ぼしたランサムウェアが「WannaCry」。”史上最大のランサムウェア攻撃”とも呼ばれています。
「WannaCry」の場合、感染すると、感染PC内のファイルが次々に暗号化されていきます。そして、次のようにビットコインで身代金を支払うよう要求する画面が表示されます。

「3日以内に支払わないと、身代金は倍になる」
「7日以内に支払わないと、データは永久に取り戻せなくなる」
身代金の要求画面では、このように感染被害者を焦らせて、身代金を支払うよう追い詰めます。

ランサムウェアはサイバー犯罪史上最凶の脅威に

2021年8月にESETが公開したホワイトペーパー「RANSOMWARE:A look at the criminal art of malicious code, pressure, and manipulation」でも注意喚起しているように、イーセットジャパンは、ランサムウェアはサイバー犯罪史上最凶の脅威と見ています。

  • FBIによると、2013年から2019年までの間において、ランサムウェア「Ryuk」が巻き上げた身代金は1億4400万ドルに上る。
  • 2021年には、ランサムウェア「Phoenix Locker」に対し、米保険企業CNA Financialが4000万ドルの身代金を支払い(1社が支払った身代金金額としては過去最高額とされる)。
  • ブロックチェーン分析の「Chainanalysis」による見積りによると、2020年度中の身代金支払い合計額は3億5000万ドル。

このように、一度ランサムウェアの攻撃を受けてしまうと、その被害は甚大です。 日本国内においても同様で、IPAが公開した「情報セキュリティ10大脅威 2021」でも、社会的に影響が大きい脅威の第1位として、「組織を狙うランサムウェアによる被害」を選出。注意喚起を促しています。

組織を狙う脅威TOP3
1位ランサムウェアによる被害
2位標的型攻撃による機密情報の窃取
3位テレワーク等のニューノーマルな働き方を狙った攻撃

暴露型から二重脅迫型まで多様化するランサムウェア

ランサムウェアが急増した背景には、ランサムウェアの多様化があるようです。
サイバー犯罪者から見れば、ランサムウェア攻撃はビジネス形態の一つ。手を変え品を変え、新たな被害者から金銭を巻き上げるために努力を続けています。
従来のランサムウェアと比較し、多様化した新型ランサムウェアはどのように異なるのでしょうか。 新型のランサムウェアについて、その名前の意味や攻撃手法を説明します。

人手によるランサムウェア攻撃

従来型のランサムウェアは、不特定多数に対して攻撃する”バラマキ型”でした。
一方、「人手によるランサムウェア攻撃(human-operated ransomware attacks)」では、標的型攻撃と同様の手法により、不特定多数ではなく、攻撃したい企業・組織のネットワークだけを狙い撃ちします。
攻撃対象とするネットワークに侵入する段階で、攻撃者が介在して様々な手法を駆使することから、”人手による”ランサムウェア攻撃と命名されています。

二重脅迫型ランサムウェア

新型のランサムウェア攻撃における一連の流れは、次の5つのステップに分けて考えることができます。

  1. ネットワークへの侵入
  2. ネットワーク内の侵害範囲拡大
  3. データの窃取(二重脅迫型の場合)
  4. データの暗号化・システム停止
  5. 窃取したデータの公開(二重脅迫型の場合)

従来型のランサムウェアでは、「データを取り戻したくば、身代金を払え」と1回脅迫するという手口を用いていました。
二重脅迫型ランサムウェアの場合は、「データを取り戻したくば、身代金を払え」と1回脅迫した後、さらに「身代金の支払いを拒むようなら、暗号化したデータを公開する」と2回目の脅迫を行います。
データを公開するためには、サイバー犯罪者が予めそのデータを摂取しておく必要があるため、データを暗号化する前段階で「データの摂取」を行います。

オークションサイトを立ち上げ盗んだデータを売る

2回目の脅迫にも応じなかった場合、攻撃者は窃取したデータを公開してしまいます。二重脅迫型ランサムウェア「Sodinokibi(別名 REvil)」の例では、攻撃者が、盗んだデータを販売するためのオークションサイトを立ち上げていました。

「カナダの穀物生産・加工を行う企業Aに関する重要情報を販売。会計監査に関連するドキュメントやアカウント情報に加え、多数の重要情報を含むファイル。競合他社には有益」
「スタート価格50,000ドルから」
などと紹介し、オークション形式で購入者を募っている

暴露型ランサムウェア

新型ランサムウェアに関連する用語として「暴露型ランサムウェア」も誕生しています。
暴露型ランサムウェアは、二重脅迫型ランサムウェアと同義で、身代金の支払いを求める1回目の脅迫の後、「支払いに応じなければ窃取した情報を暴露サイトに公開する」などと2回目の脅迫を行う手口を用いるランサムウェアです。
暴露型も二重脅迫型も、攻撃者の目的は、確実かつ、より高額な金銭を得るために、企業・組織が身代金を支払わざるを得ないような状況を作り上げることです。

ランサムウェア アズ ア サービス(Ransomware as a Service)

ESETのホワイトペーパー「RANSOMWARE:A look at the criminal art of malicious code, pressure, and manipulation」でも指摘しているとおり、ランサムウェアによる攻撃が拡大している要因の一つに、サービスとしてのランサムウェア「RaaS(Ransomware as a Service)」の台頭が挙げられます。
RaaSとは、ランサムウェア攻撃を支援するクラウドサービスです。ランサムウェア攻撃に関する豊富な知識を有するサイバー犯罪者が、攻撃ツールとしてRaaSを販売しています。
すなわち、RaaSを利用すれば、“誰でも・手軽に・知識がなくても・手間なく“ランサムウェア攻撃を仕掛けられるのです。 RaaSの台頭により、ランサムウェア攻撃の敷居がますます下がっています。

新型ランサムウェアへの対策方法

企業・組織のネットワークへの侵入、侵害範囲の拡大、サーバ等への感染、情報窃取というのが新型ランサムウェアによる攻撃の流れです。これは標的型サイバー攻撃の手口と同様であるため、従来型ランサムウェアに対する対策に加え、標的型サイバー攻撃と同様、広範囲に及ぶ対策を行う必要があります。

新型ランサムウェア対策の流れ

情報処理推進機構(IPA)が発行した「事業継続を脅かす新たなランサムウェア攻撃について」では、新型ランサムウェアへの有効な対策として、次のような対策を指南しています。

  1. 対策全般
    実際の対策を進めるためには、経営者のリーダーシップと組織力が必要です。新型ランサムウェア対策において経営層が知っておくべきことについては、後述します。
  2. 企業・組織のネットワークへの侵入対策
    新型ランサムウェアの攻撃は、攻撃者が企業・組織内のネットワークへ侵入することから始まるため、侵入を防ぐための対策を講じます。 例えば、企業ネットワーク内の対策として、攻撃者が侵害範囲を拡大する試みを検知・防御する、統合ログ管理・内部ネットワーク監視・エンドポイント監視といった製品の導入が挙げられます。
  3. データやシステムのバックアップ
    定期的に重要なファイルのバックアップを取得します。ランサムウェアは感染端末のみではなく、感染端末からアクセスできる別の端末やクラウド上のデータにも影響を及ぼすため、バックアップに使用する装置を複数用意して、バックアップ中に感染するリスクに備えることも大切です。
  4. 情報窃取とリークへの対策
    二重脅迫型(暴露型)ランサムウェアによる情報窃取と情報リークに備え、情報が窃取されても被害を最小限に留める対策、「IRM(Information Rights Management)」などの情報漏えい対策を行います。また、重要なデータやシステムをセグメント化しておくことも有効です。
  5. 事業継続計画(BCP)・対応方針の策定
    新型ランサムウェアによる脅威を想定して、事業継続計画(BCP)を策定すべきです。 万が一、攻撃を受けてしまった場合に備え、事前にインシデント対応の大方針を決めておく必要があります。
  6. インシデント対応
    新型ランサムウェアによる攻撃を受けた場合の対応はケースバイケースですが、事前に決定しておいたインシデント対応の大方針に基づいて、対応計画を策定します。基本的には、影響範囲の特定、対応優先度の決定・計画、封じ込め、根絶と復旧という手順を着実に実行します。

経営層が知っておくべきこと

「新型ランサムウェア対策の流れ」の「1. 対策全般」にあるとおり、新型ランサムウェア対策においては、経営者が強いリーダーシップを発揮することが重要です。
そのため、経済産業省が、経営層に向けたガイドライン「サイバーセキュリティ経営ガイドライン」を公開しています。 「サイバーセキュリティ経営ガイドライン」の中で定められているのが、次の「サイバーセキュリティ経営の重要10項目」です。この10項目では、経営層の的確な指示のもと、企業内で確実に実施する必要がある事項について説明しています。

指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
指示6 サイバーセキュリティ対策におけるPDCAサイクルの実施
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

新型ランサムウェアのように、明日にでも自社を襲ってくる可能性がある迫った脅威に対しての指示が、「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」です。 指示5では、防御・検知・分析などの保護対策の実施を指示しており、対策例の一部として次のように言及されています。

- 従業員に対して、防御の基本となるソフトウェア更新の徹底、マルウェア対策ソフト の導入などによるマルウェア感染リスクの低減策等を実施させる。さらに定期的な 対応状況の確認等を行う。

マルウェア対策ソフトの代表的な存在が、エンドポイントを保護するソリューションです。 ESETでは、エンドポイントでの保護を中心に、アンチウィルス機能、クラウドサンドボックス機能、管理コンソールなどを統合化した、ESET PROTECTソリューションパッケージを提供しております。

ESET PROTECTソリューションのラインナップ

セキュリティマネジメントオンプレもしくはクラウドでリモート管理可能

エンドポイント保護進化した多層防護で、コンピューター、スマホ、仮想マシンも強力に保護

ファイルサーバーセキュリティ外部サーバーに送信されるデータもリアルタイムで保護

フルディスク暗号化システムディスク、デバイスの全体もしくは一部を強固に暗号化

クラウドサンドボックス怪しい検体を隔離されたクラウドサンドボックスの環境で確認。ゼロデイ脅威も積極的に防御

メールセキュリティメールボックスに受信前に、サーバーレベルですべてのスパムやマルウェアをブロック

クラウドアプリケーション保護Microsoft365クラウドメールとストレージを進化した予防的機能で保護

オススメ

ESET PROTECTソリューションに備わる、ランサムウェアシールド(保護)機能は、ランサムウェアが共通の方法で複数のエンドポイントやファイルを修正しようとするアプリケーションとプロセスの動作を監視し、それらに悪意があると見なされた場合に自動でブロックします。
https://help.eset.com/esmc_admin/71/ja-JP/ransomware_shield.html

国際イニシアチブ「No More Ransom」

過去最凶の脅威となったランサムウェアに対し、日本国内だけではなく、世界中で様々な取り組みが行われています。
オランダ警察の全国ハイテク犯罪ユニット、Europol(ユーロポール)の欧州サイバー犯罪センター、および主要なサイバーセキュリティ組織間の国際イニシアチブ「No More Ransom」もそのひとつです。
「No More Ransom」のサイトでは、ESETを含む多数のパートナー企業が復号ツールを無償提供しています。