悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロックする、ファイルを暗号化するなどして身代金を要求するものをランサムウェアと呼びます。ランサムウェアは2016~2017年に猛威を振るい、2018年以降も依然として多数被害が報告されています。
今回はそんなランサムウェアの事例を7つ取り上げ、侵入経路や被害内容についてご紹介します。
ページコンテンツ
事例1:WannaCry(ワナクライ)
2017年5月に大規模な感染を引き起こしたランサムウェアです。攻撃開始から24時間で30万台以上のPCに感染し、日本を含む150ヶ国以上に被害が拡大しました。日本では20件以上の被害が確認され、海外では病院の医療システムや鉄道会社のシステムなど、主に法人がターゲットとなりました。
WannaCryの感染経路として利用されたのは、SMB1と呼ばれるネットワーク共有機能です。SMB1には悪意のある攻撃者が遠隔でコードを実行できる脆弱性があり、WannaCryはこの脆弱性を突くことでネットワーク経由の感染を可能としました。WannaCryはメールに添付されたファイルから感染するだけでなく、PCユーザーの操作がなくても感染を拡大させることが可能です。
なお、WannaCryの感染経路となったSMB1の脆弱性は事前に発見されており、Microsoftから修正のパッチも配布されていました。それでもなお感染が世界中に拡大したのは、各企業がPCにパッチを適用させていなかったためだとされています。また、単体で自己増殖するワームとランサムウェアの特徴を組み合わせた最初のマルウェアであったことも、WannaCryの感染が世界中に拡大した原因です。
WannaCryはPCに感染すると、ファイルの暗号化を行って各種ファイルを使用不可にし、脅迫状を表示して身代金を要求します。脅迫状には「身代金を倍に引き上げるまで」のカウントダウンと「ファイルを全削除するまで」のカウントダウン、ビットコインによる支払い方法が表示されます。
なお、WannaCryのさらなる詳細は以下の記事にてご紹介しています。
事例2:TeslaCrypt(テスラクリプト)
2015年に感染が拡大した、ビットコインによる身代金の支払いを要求するランサムウェアです。初めて活動が検知された2015年2月時点では決して脅威的なランサムウェアだとは言えず、ファイルの暗号化が行われる前にブロックすることも可能でしたが、性能が徐々に強化されて2015年12月には猛威を振るうようになりました。
TeslaCryptは、フィッシングメールやWebサイト経由でPCに侵入し攻撃を行います。フィッシングメールでは本文の中に悪質なコードを含んだファイルを巧妙に隠し、ユーザーにクリックさせることでTeslaCryptをPCにインストールします。Webサイト経由では、Flashの脆弱性を利用して感染を拡大させています。
TeslaCryptに感染するとPC内にあるファイルが暗号化され、身代金を支払うように書かれたテキストファイルとHTMLファイルが作成されます。ファイルが暗号化される際の拡張子はTeslaCryptのバージョンにより異なり、「.ccc」「.vvv」「.zzz」などがあります。日本国内では、「.vvv」の拡張子で暗号化される例が多かったことから「vvvウィルス」とも呼ばれています。
事例3:Bad Rabbit(バッドラビット)
2017年10月に感染が拡大したランサムウェアです。不正ファイルはAdobe Flashのインストーラーに偽装しており、これを実行することでPCが感染します。感染は主にロシアやウクライナで確認され、日本でも限定的ながら影響があったと考えられています。
Bad Rabbitはユーザーに不正ファイルをダウンロードさせるために、正規のWebサイトを改ざんしてダウンロードページへ誘導する「水飲み場型攻撃」を行います。水飲み場型攻撃では、ユーザーは正規のWebサイトを閲覧するため、「怪しいページは開かないようにする」という対策が困難です。Adobe Flashに偽造したファイルを実行すると、PCはBad Rabbitに感染します。感染後は自動で増殖し、ネットワーク経由で他のPCへも感染を広げます。
Bad Rabbitは感染したPCを強制的にシャットダウンさせ、ファイルを暗号化したうえで身代金を要求します。再起動すると、今度はスクリーンをロックし、PCの操作を完全に奪ったうえで再度身代金を要求します。
事例4:CryptoWall(クリプトウォール)
2014年6月に初めて活動が検出され、その後もバージョンアップを重ねて被害を拡大させ続けているランサムウェアです。2015年11月時点で、第4世代まで登場していると考えられています。また、登場から約1年間で3億ドル以上もの身代金が支払われたとされています。
CryptoWallの代表的な感染経路はフィッシングメールです。JPEGファイルに偽装した不正ファイルを添付してユーザーにダウンロードさせ、PCに感染します。他にも、悪質なコードを含んだWordのファイルを使用するなど、さまざまな感染経路が確認されています。
CryptoWallはPCに感染すると、特定のファイルに限定して暗号化を行い、身代金を要求します。暗号化するファイルを限定するのは、PCの動作に影響のあるファイルを避けているためです。第4世代と考えられているCryptoWallではファイル名も暗号化し、暗号化されたファイルを特定できない不安から身代金の支払いを促します。また、一定期間が経つと身代金を倍にするという脅迫により身代金支払いの可能性をさらに高めています。
事例5:Locky(ロッキー)
2016~2017年にかけて、数回大流行したランサムウェアです。2017年の8月に大流行した際は、Lockyに感染させるためのファイルを仕込んだフィッシングメールが24時間で2,300万通も送信されました。Lockyはニュージーランドやチェコ、カナダ、アイルランド、フィンランド、フランスなどで感染が拡大した他、日本でも多くのPCが被害を受けています。
Lockyの主な感染経路は、フィッシングメールに添付されている不正ファイルです。ZIPファイルやPDFファイルが確認されており、ファイルを開くことでLockyに感染してファイルが暗号化されます。暗号化された際の拡張子は、「.locky」や「.osiris」などが確認されています。
ファイルが暗号化されたらデスクトップの背景画像が変更され、身代金を支払うように書かれた脅迫文に差し替えられます。また、同様の内容が書かれたテキストファイルも各フォルダに作成されます。脅迫文はさまざまな言語に対応しており、日本語も確認されています。脅迫文には身代金の支払い方法の他、支払いに使用するビットコインの購入方法まで記載されています。
事例6:Oni(鬼)
2017年に活動が確認されているランサムウェアです。日本企業への被害が多く、身代金の支払いを要求する脅迫文が日本語であることから、日本企業を主なターゲットとしたランサムウェアだと考えられています。
Oniは他のランサムウェアとは異なり、侵入したPC内に長期間潜伏した後に暗号化を行っています。例えば9ヶ月間潜伏していた例が確認されており、ファイルの暗号化による身代金ではなく、企業のPCへ侵入して情報を収集することが目的であったのではないかと疑われています。
Oniはフィッシングメールに添付された不正ファイルから感染します。不正ファイルを実行すると遠隔操作ツールがダウンロードされ、前述のとおり、長期間潜伏します。
潜伏期間中は情報収集を行っていると考えられており、3~9ヶ月後、ファイルが一気に暗号化されて身代金が要求されます。Oniが暗号化する対象にはネットワークフォルダや外部メモリも含まれます。また、Oniと同じタイミングで攻撃を行うMBR-Oniというランサムウェアも確認されており、MBR-OniはPCが起動するときに最初に動作を開始する領域「MBR」を書き換えます。
なお、OniとMBR-Oniは機能的にはランサムウェアであり、身代金を支払うことで暗号化したファイルの復号が可能ですが、暗号化を行うのは身代金目的ではなく情報収集をした際の痕跡を消すためではないかと考えられています。
事例7:未成年が開発したランサムウェア
日本国内でもランサムウェアの作成事例があり、2017年には中学生がランサムウェアの作成容疑で逮捕されています。このときのランサムウェアはオープンソースの正規ツールなどを駆使して作成されたものであり、暗号キーに使用する12桁のランダムな文字列の生成、ファイルの暗号化、脅迫文の表示など、ランサムウェアとしての機能を十分に備えていました。ただし、作成者の特定を妨害するような細工がないことなどから、自己顕示欲による犯罪であったと考えられています。
国内で未成年がランサムウェアを作成する事例は1件だけではなく、犯罪に関する情報を入手できるアンダーグラウンドサイトから作成ツールを購入し、ランサムウェアを作成した事例もあります。
最新のランサムウェアの被害事例については下記記事でもご覧いただけます。
新しいランサムウェアへ常に備えることが重要
ご紹介した7つの事例以外にも多くのランサムウェアがあり、常に新しいランサムウェアが作成され続けています。日本でも7.6%の法人がランサムウェアによる被害を受けたというデータがあり、どの企業もセキュリティ体制を十全に整えることが重要です。
ランサムウェアの被害を受けないためには、従来のセキュリティ対策ソフトに併せてエンドポイントセキュリティの導入をおすすめします。ランサムウェアの具体的な対策については、下記の資料にてご紹介しています。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。