ランサムウェアの由来

ランサムウェア(Ransomware)は、ransomとsoftwareから作られた造語です。ransomとは、捕らわれた人を解放するために使用される身代金のことです。ランサムウェアは、コンピュータシステムに被害をもたらす悪意を持ったソフトウェアの中でも、侵入したシステムのユーザのデータを勝手に暗号化して、それを人質として解除するための身代金を要求するとても恐ろしいマルウェアです。

最初に猛威を振るったランサムウェアは、2005~2006年にロシアで発見され、ロシアの犯罪組織によってロシアおよび近隣諸国が狙われました。 たとえば、「TROJ_CRYZIP.A.」というマルウェアが2006年に発見されましたが、これはダウンロードするとある特定のファイルタイプのデータをZipで暗号化してしまいオリジナルを削除してしまいます。それを回復させるためには、E-Gold accountで300ドルを要求するというものでした。E-Goldというのは、1996年に創られたデジタル通貨ですが、 その後マネーロンダリング等に使用されたため2009年には取引停止となりました。

また、それ以前の1989年には、AIDS Trojan(PC Cyborg)というランサムウェアが作成され約20,000枚の感染したディスケットが、世界保健機構の国際的なエイズ会議出席者に配布されました。それはハードディスクドライブのファイル名を暗号化することによりファイルを隠し、特定ソフトウェアのライセンスの有効期限が切れていると主張し、189ドルの支払いをユーザへ要求するものでした。但し、対称鍵暗号(Symmetric key encryption scheme)を使用していたため、解析しやすく誰が作成者かを突き止めることができました。犯罪者のジョセフ・ポップは、裁判では、身代金をAIDS研究のために使用することを宣言しました。

ランサムウェアは、大きく分けてシステムをロックをするタイプと、ファイルを暗号化して身代金を要求するタイプに分かれます。以前は、猥褻画像を表示したたまま スクリーンロックして脅迫してくるケースなどが多かったのですが、ファイルの暗号化をすることでかなり強度な暗号化を採用し始めたため解除が困難になってきたことで暗号化が主流になってきました。ただ、スマートフォン向けのランサムウェアはシステムをロックするタイプがまだまだ多いようです。

(参照資料)
Ransomware: Extortion via the Internet By Michael Kassner | in IT Security
A History of Ransomware: Where It Started & Where It’s GoingBy MakeUseOf

企業に猛威を振るうランサムウェア

従来ランサムウェアといえば、ばらまき型の攻撃であり、その多くが海外での個人へ向けた事象という認識が強く、企業ではむしろ標的型攻撃に対する対応の方が重要視されていました。しかしながら、2014年に支払い要求を日本語表示するランサムウェアが現れ、2015年以降驚異的に企業への攻撃が増えています。
以前は、個人をターゲットにたとえば「Reveton」のように海外の警察や政府機関を勝手に名乗って、Windowsパソコンにロック画面を表示して使用不能な状態にするようなランサムウェアが流行っていましたが、 ファイルの暗号化が主流になってからは、個人だけではなく企業へも無作為にランサムウェアがばらまかれるようになりました。従来、セキュリティの厳しい企業へはランサムウェアによる攻撃で身代金の要求は難しいと思われていましたが、デジタル署名の機能がついて来たり、AES-256やRSA-4096で暗号化するようなランサムウェアが現れては企業のセキュリティシステムでも 防ぎきれなくなってきました。
事実、トレンドマイクロ法人サポートセンターへの法人客からのランサムウェア被害報告が2015年には、650件と、2014年の40件から対前年比で約16倍増加しているとのことです。また、IPA(独立行政法人情報処理推進機構 )も、IPAの安心相談窓口にランサムウェアに関する相談が急増しているとのことで、ランサムウェア感染について注意喚起を行っています。
典型的な形のランサムウェアはトロイの木馬として増殖します。標的型攻撃の手法と同じく、メールの添付ファイルや、Webサイトからのダウンロードファイルとして企業や組織に入り込みます。トロイの木馬というのは、名前の由来が、ギリシア神話のトロイア戦争において、トロイアを陥落させるために作られた中に人が隠れることができた木馬から来ており、巧妙に相手を陥れる罠を指すようになったため命名された悪名高いマルウェアです。
標的型攻撃でもトロイの木馬は有名ですが、ランサムウェアは、比較的容易に現金を取得することが可能なため、ばらまき型メール等で無作為に大量に攻撃を仕掛けて来ているので、どの企業も対象となる可能性があります。そして、最近では病院や大学など特定の企業や組織を狙ったまさに標的攻撃型のランサムウェアが増えてきております。トロイの木馬は、感染後に攻撃者が自由に感染したコンピュータにアクセスするためのバックドアを作るケースがほとんどです。たとえば、「CryptoLocker」では、2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、ローカルまたはネットワークストレージドライブにあるデータを暗号化し、 公開鍵がコンピュータに保存されたとき、秘密鍵はバック度ドアを利用してC&Cサーバに保存されます。秘密鍵が攻撃者側のサーバにあるため、侵されたコンピュータを修復することはきわめて難しいといわれています。

ランサムウェアの対応策は?

一般的にランサムウェアの被害に合わないようにするためには、下記の対応が必要だといわれております。

  • OSおよびアプリケーションのセキュリティパッチを最新にする
  • アンチウイルスソフトのパターンファイルを最新にする
  • データのバックアップを外付けハードディスクなどに保管し、通常時は接続しない
まず、セキュリティソフトの定義ファイルを、常に最新の状態にアップデートしておくことはとても重要です。エクスプロイトキットによって拡散される暗号化型ランサムウェアも複数確認されています。 エクスプロイトキットとは、セキュリティの脆弱性を攻撃するためのプログラムを指すエクスプロイトコードをパッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのことです。これを利用して、ランサムウェアは、スピアフィッシングのような形態で攻撃してくることが増えてきています。エクスプロイトコードは、悪意のあるプログラムやスクリプトの中に含まれるデータや実行可能コードを指し、ソフトウェアの脆弱性を狙います。脆弱性を無くすためにもOSやセキュリティソフトを最新の状態にアップデートすることが必要なのですが、それでも各メーカーが脆弱性を発見し、修正パッチ等を作成するまでにもどうしても時間がかかってしまうため、そのいわゆるゼロディ脆弱性を狙った攻撃についても対策が必要になります。
ゼロディ攻撃に対応するために、たとえばFFRI yaraiなどのマルウェア対策のセキュリティツールは、振る舞い検知などに機能により未知のマルウェアに関しても対応が可能です。
とはいえ、未知の脅威については、どのようなマルウェアが今後発生するのかすべてを予測できないため、万が一ランサムウェアに侵入された場合に備え、バックアップを取得することが大切です。このバックアップですが、最近ではハードディスクが安く大容量で入手可能になってきたため、ディスク上にバックアップを取っているケースが多いのですが、たとえ外部のディスク装置であっても、ランサムウェアはネットワークで読み書きできるファイルについては暗号化してしまいます。
よって、せっかくWindows環境のVSSなどで自動的にスナップショットを取得して何世代もバックアップをしていたとしても、ランサムウェアに乗っ取られたPCからアクセスできてしまうバックアップファイルは暗号化される危険があります。さらに恐ろしいのは、自身が管理していないファイルサーバのデータであっても、感染したPCがアクセスできるデータについては暗号化されてしまう可能性があるということです。こちらについてもバックアップ運用について注意が必要です。
そのバックアップ方法ですが、バックアップしたデータはオフラインにしておくか、ディスク上にバックアップする場合は、使用しているIDからばアクセスできないように設定して、別のユーザのIDでバックアップをする必要があります。
つまり、ランサムウェアへの対応策は、セキュリティソフトに依存するばかりではなく、データ保護の視点での対策が重要となります。

終わりのないランサムウェアの脅威

ランサムウェアが、これほど巧妙かつ高度で多彩な機能を持ってとてつもない脅威に育ってしまった背景には、ランサムウェアに攻撃された人で実際にお金を払ってしまう人がいるという現実があるからです。つまり、データを暗号化し、それをもとに脅迫してお金を入手できた悪の攻撃者は、膨大な開発資金を手に入れることができ、AESなどの高性能な暗号化、バックドア、エクスプロイトキットなど高度な機能を備えた恐ろしいランサムウェアを生産しております。
ランサムウェアにお金を払うのは、どの組織も抵抗があります。テロリストに屈したくないのは当然です。通常ランサムウェアで暗号化されたとしても、1つPCが突然壊れたと思えば十分対処できるでベルだと考えがちです。しかしながら、病院や大学、企業など実際に身代金を払う組織が多くなってきた理由は、ランサムウェアが単なるばらまき型のマルウェアではなく、スピアフィッシングなどの標的型攻撃に代わり、ターゲットが個人から、企業などの大きな組織に変わってきたからです。攻撃者達も、ランサムウェアで得た資金をもとに、個人の数万円レベルから企業の数百万円以上へと、どんどん高額の身代金が取れる方へと狙いを移してきているのです。
Encryptor RaaS(Ransomware-as-a-Service)のように、ランサムウェアがWebサービスとしてネット上で簡単に入手できるため悪のビジネスモデルとして拡散し、さらにビットコインのような仮想通貨で身代金を要求することにより、身元を隠しながらお金儲けができる仕組みが確立できてしまいました。そのため、国家機関や特定の企業に限らず、利害関係がなくてもどの企業や組織でもターゲットとなりうる危険が存在します。少しのノウハウとネットにつながるコンピュータがあれば、コンビニ強盗などの危険を冒さなくても、誰でも簡単に非合法的にお金を手に入れることができる時代になってしまいました。
個人や、中小企業ならいざしらず、対面を重んじる大きな企業でも身代金を払ってしまう理由は、ランサムウェアがそのPCデータだけでなく、ファイルサーバ上の業務データや、バックアップデータまで暗号化してしまう犯罪が出て来たことが影響しています。たとえ、ネットワークから切り離されたバックアップデータがあったとしても、バックドアを経由してC&Cサーバに送られた重要データをネットで公開されてしまっては、会社の信用や評判に関わるため、背に腹は代えられない状況があるようです。 事実、暗号化ランサムウェアの「Chimera」は、オンライン上に外部公開するという脅迫を行う機能が話題になりました。
多くの企業は、当然いろいろなセキュリティツールを使った対策を行っておりますが、ランサムウェアの亜種は想像を超える膨大な種類が存在し、潤沢な資金を得た攻撃者はだいたい有名どころのアンチウイルス等はすべて入手して、標的型攻撃ができるマルウェアを開発していることが明らかになっております。あらゆる防御の方法を調べ上げた上でランサムウェアが作成されているかぎり、どんなに素晴らしいセキュリティツールがあったとしても、それが悪の攻撃者に知られた時点で対処される可能性があり、私たちの脅威は残念ながらこれからもずっと無くならないのです。

(参照資料)
Ransomware & CryptoVirus By Mark Osborne