セキュリティ 事例

/

 

ランサムウェアの事例7選|世界的な大規模感染事例から国内事例まで

ランサムウェア

悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロックする、ファイルを暗号化するなどして身代金を要求するものをランサムウェアと呼びます。ランサムウェアは2016~2017年に猛威を振るい、2018年以降も依然として多数被害が報告されています。

今回はそんなランサムウェアの事例を7つ取り上げ、侵入経路や被害内容についてご紹介します。

事例1:WannaCry(ワナクライ)

2017年5月に大規模な感染を引き起こしたランサムウェアです。攻撃開始から24時間で30万台以上のPCに感染し、日本を含む150ヶ国以上に被害が拡大しました。日本では20件以上の被害が確認され、海外では病院の医療システムや鉄道会社のシステムなど、主に法人がターゲットとなりました。

WannaCryの感染経路として利用されたのは、SMB1と呼ばれるネットワーク共有機能です。SMB1には悪意のある攻撃者が遠隔でコードを実行できる脆弱性があり、WannaCryはこの脆弱性を突くことでネットワーク経由の感染を可能としました。WannaCryはメールに添付されたファイルから感染するだけでなく、PCユーザーの操作がなくても感染を拡大させることが可能です。

なお、WannaCryの感染経路となったSMB1の脆弱性は事前に発見されており、Microsoftから修正のパッチも配布されていました。それでもなお感染が世界中に拡大したのは、各企業がPCにパッチを適用させていなかったためだとされています。また、単体で自己増殖するワームとランサムウェアの特徴を組み合わせた最初のマルウェアであったことも、WannaCryの感染が世界中に拡大した原因です。

WannaCryはPCに感染すると、ファイルの暗号化を行って各種ファイルを使用不可にし、脅迫状を表示して身代金を要求します。脅迫状には「身代金を倍に引き上げるまで」のカウントダウンと「ファイルを全削除するまで」のカウントダウン、ビットコインによる支払い方法が表示されます。

なお、WannaCryのさらなる詳細は以下の記事にてご紹介しています。

事例2:TeslaCrypt(テスラクリプト)

2015年に感染が拡大した、ビットコインによる身代金の支払いを要求するランサムウェアです。初めて活動が検知された2015年2月時点では決して脅威的なランサムウェアだとは言えず、ファイルの暗号化が行われる前にブロックすることも可能でしたが、性能が徐々に強化されて2015年12月には猛威を振るうようになりました。

TeslaCryptは、フィッシングメールやWebサイト経由でPCに侵入し攻撃を行います。フィッシングメールでは本文の中に悪質なコードを含んだファイルを巧妙に隠し、ユーザーにクリックさせることでTeslaCryptをPCにインストールします。Webサイト経由では、Flashの脆弱性を利用して感染を拡大させています。

TeslaCryptに感染するとPC内にあるファイルが暗号化され、身代金を支払うように書かれたテキストファイルとHTMLファイルが作成されます。ファイルが暗号化される際の拡張子はTeslaCryptのバージョンにより異なり、「.ccc」「.vvv」「.zzz」などがあります。日本国内では、「.vvv」の拡張子で暗号化される例が多かったことから「vvvウィルス」とも呼ばれています。

事例3:Bad Rabbit(バッドラビット)

2017年10月に感染が拡大したランサムウェアです。不正ファイルはAdobe Flashのインストーラーに偽装しており、これを実行することでPCが感染します。感染は主にロシアやウクライナで確認され、日本でも限定的ながら影響があったと考えられています。

Bad Rabbitはユーザーに不正ファイルをダウンロードさせるために、正規のWebサイトを改ざんしてダウンロードページへ誘導する「水飲み場型攻撃」を行います。水飲み場型攻撃では、ユーザーは正規のWebサイトを閲覧するため、「怪しいページは開かないようにする」という対策が困難です。Adobe Flashに偽造したファイルを実行すると、PCはBad Rabbitに感染します。感染後は自動で増殖し、ネットワーク経由で他のPCへも感染を広げます。

Bad Rabbitは感染したPCを強制的にシャットダウンさせ、ファイルを暗号化したうえで身代金を要求します。再起動すると、今度はスクリーンをロックし、PCの操作を完全に奪ったうえで再度身代金を要求します。

事例4:CryptoWall(クリプトウォール)

2014年6月に初めて活動が検出され、その後もバージョンアップを重ねて被害を拡大させ続けているランサムウェアです。2015年11月時点で、第4世代まで登場していると考えられています。また、登場から約1年間で3億ドル以上もの身代金が支払われたとされています。

CryptoWallの代表的な感染経路はフィッシングメールです。JPEGファイルに偽装した不正ファイルを添付してユーザーにダウンロードさせ、PCに感染します。他にも、悪質なコードを含んだWordのファイルを使用するなど、さまざまな感染経路が確認されています。

CryptoWallはPCに感染すると、特定のファイルに限定して暗号化を行い、身代金を要求します。暗号化するファイルを限定するのは、PCの動作に影響のあるファイルを避けているためです。第4世代と考えられているCryptoWallではファイル名も暗号化し、暗号化されたファイルを特定できない不安から身代金の支払いを促します。また、一定期間が経つと身代金を倍にするという脅迫により身代金支払いの可能性をさらに高めています。

事例5:Locky(ロッキー)

Locky

2016~2017年にかけて、数回大流行したランサムウェアです。2017年の8月に大流行した際は、Lockyに感染させるためのファイルを仕込んだフィッシングメールが24時間で2,300万通も送信されました。Lockyはニュージーランドやチェコ、カナダ、アイルランド、フィンランド、フランスなどで感染が拡大した他、日本でも多くのPCが被害を受けています。

Lockyの主な感染経路は、フィッシングメールに添付されている不正ファイルです。ZIPファイルやPDFファイルが確認されており、ファイルを開くことでLockyに感染してファイルが暗号化されます。暗号化された際の拡張子は、「.locky」や「.osiris」などが確認されています。

ファイルが暗号化されたらデスクトップの背景画像が変更され、身代金を支払うように書かれた脅迫文に差し替えられます。また、同様の内容が書かれたテキストファイルも各フォルダに作成されます。脅迫文はさまざまな言語に対応しており、日本語も確認されています。脅迫文には身代金の支払い方法の他、支払いに使用するビットコインの購入方法まで記載されています。

事例6:Oni(鬼)

2017年に活動が確認されているランサムウェアです。日本企業への被害が多く、身代金の支払いを要求する脅迫文が日本語であることから、日本企業を主なターゲットとしたランサムウェアだと考えられています。

Oniは他のランサムウェアとは異なり、侵入したPC内に長期間潜伏した後に暗号化を行っています。例えば9ヶ月間潜伏していた例が確認されており、ファイルの暗号化による身代金ではなく、企業のPCへ侵入して情報を収集することが目的であったのではないかと疑われています。

Oniはフィッシングメールに添付された不正ファイルから感染します。不正ファイルを実行すると遠隔操作ツールがダウンロードされ、前述のとおり、長期間潜伏します。

潜伏期間中は情報収集を行っていると考えられており、3~9ヶ月後、ファイルが一気に暗号化されて身代金が要求されます。Oniが暗号化する対象にはネットワークフォルダや外部メモリも含まれます。また、Oniと同じタイミングで攻撃を行うMBR-Oniというランサムウェアも確認されており、MBR-OniはPCが起動するときに最初に動作を開始する領域「MBR」を書き換えます。

なお、OniとMBR-Oniは機能的にはランサムウェアであり、身代金を支払うことで暗号化したファイルの復号が可能ですが、暗号化を行うのは身代金目的ではなく情報収集をした際の痕跡を消すためではないかと考えられています。

事例7:未成年が開発したランサムウェア

日本国内でもランサムウェアの作成事例があり、2017年には中学生がランサムウェアの作成容疑で逮捕されています。このときのランサムウェアはオープンソースの正規ツールなどを駆使して作成されたものであり、暗号キーに使用する12桁のランダムな文字列の生成、ファイルの暗号化、脅迫文の表示など、ランサムウェアとしての機能を十分に備えていました。ただし、作成者の特定を妨害するような細工がないことなどから、自己顕示欲による犯罪であったと考えられています。

国内で未成年がランサムウェアを作成する事例は1件だけではなく、犯罪に関する情報を入手できるアンダーグラウンドサイトから作成ツールを購入し、ランサムウェアを作成した事例もあります。

最新のランサムウェアの被害事例については下記記事でもご覧いただけます。

新しいランサムウェアへ常に備えることが重要

ランサムウェア対策ご紹介した7つの事例以外にも多くのランサムウェアがあり、常に新しいランサムウェアが作成され続けています。日本でも7.6%の法人がランサムウェアによる被害を受けたというデータがあり、どの企業もセキュリティ体制を十全に整えることが重要です。

ランサムウェアの被害を受けないためには、従来のセキュリティ対策ソフトに併せてエンドポイントセキュリティの導入をおすすめします。ランサムウェアの具体的な対策については、下記の資料にてご紹介しています。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

この記事を読んだ方に
おすすめのお役立ち資料はこちら↓
ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策

ランサムウェアについて知っておきたい知識と対策をご紹介します。

ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策

ダウンロードページへ
中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    マルウェア「EMOTET(エモテット)」が再流行中!巧妙な手口とセキュリティ対策強化を解説

    昨今猛威を振るう新種のマルウェア「Emotet(エモテット)」をご…

  2. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

  3. セキュリティ

    スパイウェアとは?感染経路や仕組み、被害を防ぐ対策方法を解説

    スパイウェアと呼ばれるプログラムに感染すると、システム情報や閲覧履…

  4. セキュリティ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  5. テレワークのマルウェア対策、万全ですか?セキュリティチェックリストで確認!

    セキュリティ

    テレワークのマルウェア対策、万全ですか?セキュリティチェックリストで確認!

    新型コロナ対策の一環として普及したテレワークですが、オフィスでの業…

  6. セキュリティ

    【AI vs. AI】サイバー攻撃・セキュリティ対策の最前線

    AI(人工知能)のビジネス活用が一般的になり、その用途はセキュリテ…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。

本記事に関連するタグ

APP GUARD