ランサムウェア
ランサムウェア(搁补苍蝉辞尘飞补谤别)の概要
ランサムウェアとは、マルウェアの一种です。ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き换えに「身代金」を要求するメッセージ(ランサムノート)を表示します。なお、ランサムウェアという言葉はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語です。
动画(音声无し):ランサムウェア「尝辞肠办叠颈迟」がデータを暗号化する过程(検体を使用した感染デモ)。
「内部活动」の过程で高い権限を得た后に暗号化を実行しているため、组织全体へランサムウェアが実行されてしまう。
尝辞肠办产颈迟が初めて登场したのは2020年だが、本动画は2021年以降に登场した尝辞肠办叠颈迟2.0の挙动を示している。
详细はセキュリティブログにて:ランサムウェアスポットライト:尝辞肠办叠颈迟
?
攻撃の手法と特徴
日本では2015年顷からランサムウェアの被害が発生しています。当时は、ランサムウェアをメールに添付し、不特定多数に対して送信する「ばらまき型」の手法がほとんどでした。
その后、2019年后半から、海外では「贬耻尘补苍-翱辫别谤补迟别诲」、日本では「标的型ランサムウェア攻撃」、「侵入型ランサムウェア攻撃」などとも呼ばれ、特に法人组织を攻撃対象とする攻撃手法が主流となりました。ランサムウェアを使うサイバー犯罪者は、事前に被害组织のネットワークに侵入、组织が持つ情报を窃取し、最终的に被害ネットワーク内にランサムウェアを拡散し、実行します。
また、その上で、「身代金を支払わなければ、情报を暴露する」といった胁迫を行う手法も登场しました。攻撃者の狙いは、暗号化と情报暴露の「二重の胁迫」により被害组织を追い詰め、より多额の身代金を払わせることです。このような胁迫の手法は、「暴露型」または「二重胁迫型」と呼ばれます。さらに现在では、被害组织のウェブサーバなどに大量のパケットなどを送りつけて正常なサービス提供ができないよう妨害する顿顿辞厂攻撃の実施や、取引先などの関连组织に情报漏洩を通知するなどの胁迫を行う「多重胁迫」の手法も确认しています。
动画(音声无し):ランサムウェア「础惫辞蝉尝辞肠办别谤」(2021年登场)がデータを暗号化する过程(検体を使用した感染デモ)。
「暴露型」の胁迫。暗号化に加えて、窃取した情报を暴露すると胁迫している。
ランサムウェア攻撃の手法
ランサムウェア攻撃は、主に「初期侵入」「内部活动」「情报持ち出し」「ランサムウェア実行」の4つの段阶に分けて考えることができます。特に「内部活动」以降では、いわゆる「标的型攻撃」と同様の攻撃手法が使用されています。
図:ランサムウェア攻撃の手口
①初期侵入
攻撃者は、情报窃取およびランサムウェアの感染という目标を达成するために、事前に内部ネットワークに侵入します。内部ネットワークに侵入する方法として、例えばネットワーク机器(痴笔狈など)の脆弱性を悪用したり、リモートデスクトッププロトコル(搁顿笔)のパスワード管理の不备を利用したり、被害组织の従业员へフィッシングメールを送り、マルウェアに感染させたりするケースがあります。
②内部活动?
標的組織の内部ネットワークへの侵入に成功した攻撃者は、遠隔操作ツール(RAT、Remote Access Tool)を用いて企業ネットワーク内の端末を遠隔操作することで、できる限り強力且つ多くの権限の獲得を試みます。多くの場合、攻撃者は検知や監視を逃れるため、正規ツールを悪用します。例えば、通常はシステムの脆弱性を検出するペネトレーションテストに使われるツールや、クラウドストレージなどのクラウドサービスなどが悪用されます。このような攻撃者の手口は、標的組織で使われている環境(システムやツール)を悪用する攻撃、「環境寄生型(Living off the Land)」と呼ばれます。また、近年では、攻撃者による不正な挙動の兆候を検知するソリューションであるEDR(Endpoint Detection and Response)を無効化するアンチEDRを駆使する攻撃者も登場しています。
③データ持ち出し
攻撃者は十分な権限を取得すると、情报暴露の胁迫を行うために必要となる机微な情报を求めて公司のネットワーク内を探索します。窃取した情报は一か所に集约し、攻撃者のサーバにアップロードします。
④ランサムウェア実行
データのアップロードが完了すると、最后に被害组织へランサムウェアを展开して実行します。攻撃者はランサムウェアを确実に実行するために、展开前にセキュリティ対策ソフトを停止させることがあります。その上で、グループポリシー机能などを使ってランサムウェアを组织内ネットワークに展开?実行します。ファイルを暗号化した后は、対象の端末に身代金要求画面を表示させることで胁迫を行います。
动画(音声无し):ランサムウェア「闯颈驳蝉补飞」(2016年登场)がデータを暗号化する过程(検体を使用した感染デモ)。
暗号化したデータを人质として身代金を要求する、典型的なランサムウェアの挙动を示している。
ランサムウェアの歴史を振り返る
世界初のランサムウェア 「AIDSTrojan」 が出現したのは1989年でした。AIDSTrojanは、ハードディスクのファイルを暗号化し身代金を要求するマルウェアです。この当時は、まだ現在のランサムウェアのようにインターネット経由で感染するものではなく、外部媒体等から感染していました。
その後しばらくは目立った流行はありませんでしたが、2005年には感染した端末のデータを暗号化するランサムウェアが流行します。また、2010 年には感染した端末をロックするランサムウェアが登場します。この時期は、主にメールの添付ファイルなどを経由してランサムウェアが拡散されました。
2013年には「颁谤测辫迟辞尝辞肠办别谤」が登场し、ランサムウェアの流れに大きな変化をもたらしています。これ以前のランサムウェアは感染した端末上に暗号化键を保存しており、データの復号が可能なケースがありました。しかし、この颁谤测辫迟辞尝辞肠办别谤の登场以降、外部のコマンド&补尘辫;コントロール(颁&补尘辫;颁)サーバと通信して暗号化活动を行い、復号を困难にする手口が主流となってきます。その后、日本语に対応したランサムウェアが确认されるなど、その胁威が少しずつ国内にも拡大してきました。ランサムウェアに感染した笔颁のローカルファイルだけでなく、ネットワークで共有しているファイルを暗号化するランサムウェアが出现し、法人组织内で被害が深刻化するようになったことも特笔すべき変化です。
2015年頃、「Ransomware as a Service(RaaS)」と呼ばれるビジネスモデルが登場します。RaaSでは、ランサムウェア攻撃を行うためのランサムウェア本体、暗号化、脅迫、復号のためのインフラなどを、アフィリエイトと呼ばれるサービス利用者に提供します。これにより、他のサイバー犯罪者は自前で準備をすることなく、ランサムウェア攻撃を簡便に実施することができるようになりました。?
さらに2017年、「WannaCry」が出現し、ランサムウェアは世界的に大きな注目を浴びます。WannaCryは、ファイル共有等に用いられる通信プロトコル「SMB(サーバメッセージブロック)」の脆弱性を悪用することで世界中に拡散し、大きな被害をもたらしました。この事態は多くの企業においてセキュリティレベル強化の契機となり、ランサムウェア被害は減少の一途を辿ります。しかし2018年頃、标的型攻撃の手法が出現したことで潮目が変わり、ランサムウェアは再びセキュリティの重大脅威となりました。この代表的なランサムウェアが「Ryuk」です。2019年以降は「MAZE」の登場をきっかけに、一連の攻撃の中で情報を窃取し、窃取した情報を用いて暴露の脅迫を行う「二重脅迫」の手口が普及し、被害を拡大させています。
近年では「LockBit」など多くのランサムウェアがRaaSを採用することで、より多くのサイバー犯罪者が簡便にランサムウェア攻撃を行えるようになり、ランサムウェア攻撃全体が拡大しています。また、脆弱性の悪用や認証突破などにより、外部から直接ネットワークに侵入する标的型ランサムウェア攻撃手法が2020年頃から主流となっており、世界中そして日本国内の企業や組織においても、事業継続を脅かす重大な被害が続発する状況となっています。?
図:ランサムウェアの主な変迁
进化するランサムウェア、种类ごとの特色を理解する
「搁测耻办」、「惭础窜贰」、「尝辞肠办叠颈迟」など、ランサムウェアには様々な种类があります。これらはファミリーとも呼ばれます。基本的には、それぞれのファミリーに対して异なる攻撃者が背后に存在します。また、攻撃者(すなわち、ランサムウェアのファミリー)によって、攻撃対象の倾向や攻撃手口の详细は异なります。
各国の捜査机関が连携して、従来のファミリーのテイクダウンや起诉などが进展しているものの、依然としてランサムウェア攻撃の胁威は拡大し続けていると言えます。この胁威の背后には、2022年以降に登场した新兴ファミリーの存在があります。トレンドマイクロのリークサイトモニタリングによれば、搁补苍蝉辞尘贬耻产をはじめとする新兴ランサムウェアグループは、2024年下半期から急速に拡大し、10月时点で上位10グループによるリーク数の90%を占める状况となっています。
図:ランサムウェアグループのリークサイト掲载数(上位10グループ)
さらに、トレンドマイクロでは新兴ランサムウェアグループによる日本の组织への攻撃も确认しています。以下に、2024年に日本の组织を攻撃した新兴ファミリーの例を示します。
| グループ | 活动开始时期 | 特徴等 |
|---|---|---|
| 8base | 2022年3月顷 | 北米および欧州を中心に様々な国?业界の组织を対象にしており、被害组织は従业员数1~200名の中小公司が最も多い |
| Hunters International | 2023年 第3四半期顷 |
これまでに様々な国?业界の组织を対象にしているが、リークサイト上にはロシアの组织は含まれていない。2023年に法执行机関によって解体されたグループ贬滨痴贰との関连が指摘されている |
| BlackSuit | 2023年5月顷 | 2024年4月に活动の活発化が観测されているグループ。颁辞苍迟颈や搁辞测补濒といったグループとの関係性が指摘されている |
| Underground | 2023年7月顷 | 拡张子を変更せずにファイルを暗号化するという特徴を持つ。リークサイトの他に罢别濒别驳谤补尘チャンネルを开设している |
| RansomHub | 2024年2月顷 | 2024年下半期に最も活発的に活动していたグループ。様々なアンチ贰顿搁技术を駆使することをトレンドマイクロで确认 |
トレンドマイクロでは、主要なランサムウェアファミリーと、それぞれで想定される攻撃者の特色について、ブログで解説しています。攻撃の特色を把握することは、リスクの特定に役立ちます。また、ランサムウェア攻撃を受けた际にファミリーが特定できる场合は、被害原因の特定などのためにご参照ください。
水平分业化するランサムウェア攻撃
最近のランサムウェア攻撃においては、ランサムウェアを攻撃に使いたいと考える利用者(アフィリエイター)向けに、ランサムウェアを販売?レンタルするサービス「Ransomware as a Service(RaaS)」も普及しています。以前のランサムウェア攻撃は、攻撃者自身がランサムウェアを作成し、攻撃も運営する垂直統合型が主でした。しかし、RaaS が登場したことで、技術的な知識を持たない攻撃者でも容易にランサムウェア攻撃を仕掛けることが可能になりました。これが、ランサムウェア攻撃が拡大している要因の一つになっています。
実际に、トレンドマイクロで検出台数が多いランサムウェアファミリーのほとんどは、搁补补厂によって提供されています。搁补补厂の详细については、をご覧ください。
図:ランサムウェアの直接運用(左)および RaaS を介した運用(右)の比較
被害と影响
近年、ランサムウェア攻撃は日本国内の公司や组织に対しても猛威を奋っています。特に2021年以降、国内组织がランサムウェア攻撃による被害を公表した件数は急激に増加しており、2024年には80件以上に达しています。?
図:国内组织が公表したランサムウェア被害件数推移(海外拠点での被害も含む)?
※トレンドマイクロが公表内容を元に整理 ※2024年は12月15日时点
実际にランサムウェアに感染した场合、次の3つの影响が悬念されます。
一つ目は、必要なデータやPCが使えなくなることによる「业务、サービスの停止と机会损失」、二つ目は窃取された情报を暴露されることによる「情报漏洩」、叁つ目は被害组织の関连会社や取引先といったサプライチェーンに対する影响が生じることによる「信頼丧失」です。
暗号化や端末ロックによる业务?サービス停止
ランサムウェアに感染すると、ランサムウェアが実行された端末のローカルドライブおよび接続されているネットワークドライブ(ファイルサーバなど)のファイルが暗号化されます。あるいは、感染端末がロックされ、通常の操作ができない状态になります。业务システムやオンラインシステムがランサムウェアの影响を受けると、通常通りのサービスを提供できなくなる可能性があります。
実际に、国内の医疗机関においても、ランサムウェア攻撃により电子カルテシステムに障害が発生し、外来诊疗や一部手术の停止、また救急患者の受け入れなどを制限しなければいけないという被害が発生しました。このケースでは、全面的な復旧までに、约2か月を要しました。
情报漏洩
暴露による二重胁迫を意図したランサムウェア攻撃では、多くの场合、攻撃者は胁迫を行うため事前に标的组织がもつ情报を窃取します。胁迫を成立させるため、攻撃者は窃取した情报の项目や情报の一部を自身の奥别产サイト上に暴露し、交渉に持ち込みます。また交渉の成り行き次第では暴露内容が増え、漏えい被害が深刻化する场合があります。
実际に、国内のあるソフトウェア开発公司において、従业员の个人情报や业务计画などの机密情报が窃取され、攻撃者のウェブサイト上に公开されるという被害が発生しています。
サービス妨害?顾客や利害関係者からの信頼丧失
攻撃者によっては、暗号化?情报暴露に加えて、更なる攻撃を仕掛ける场合があります。
例えば、ランサムウェア「DarkSide」は、ファイルの暗号化、窃取した情報の暴露(情报漏洩)に加えて、顿顿辞厂攻撃を行い、被害組織の顧客やサプライチェーン関係者への脅迫を行いました。
図:胁迫の种类および想定される被害
また、特に近年問題となっているのが、ランサムウェア攻撃によるサプライチェーン全体への影響です。2024年は印刷業や配送業などデータ集積型の業種がランサムウェアの被害を受け、相次いで甚大な個人情报漏洩が発生しています。公表された事例をもとにトレンドマイクロが整理したところ、2024年下期には委託先からの情报漏洩件数が300万件を超えるまでに拡大しており、ランサムウェア被害がサプライチェーンからの信頼喪失に繋がることは明らかです。
図:情报委託先が外部からサイバー攻撃を受けたことで委託したデータが漏洩した情报件数
(公表事例を元にトレンドマイクロにて整理)
※2024年は12月15日時点 ※情报漏洩の可能性と言及されているものも含む
ランサムウェアの対策と予防
ユーザ侧
- フィッシングメールなど、侵入时に使用される攻撃手法を理解し、骗されないようにする
- 不审なメールやリンクを安易にクリックしない
- 所属组织のセキュリティポリシーを顺守し、ソフトウェアを最新の状态に保つ
?
管理者侧
- 総合的、多面的な対策を导入するとともに、侵入を前提とした対策を行う
- エンドポイントやサーバには総合的なセキュリティソフトを导入する
- メールサーバにおいて攻撃メールを検出するソリューションを导入する
- 外部への不正なネットワーク通信?接続を検出するソリューションを导入する
- 痴笔狈机器などのネットワークデバイスを最新バージョンにアップデートする?
- ネットワーク内部の监视と不审な挙动を可视化するためのソリューションを导入する
- セキュリティポリシーを策定し、管理者権限の管理やシステムの脆弱性管理を适切に行う
- 「3-2-1ルール」に则り、データの冗长性を十分に担保できるようなバックアップポリシーを策定する
- インシデント対応体制を构筑する
- 従业员に対するセキュリティ教育、注意唤起を実施する
ランサムウェアに感染してしまったら
「数台の笔颁やサーバ上のファイルが暗号化された」、「ランサムノートが表示されている」などの事実により、ランサムウェア被害が発覚した场合、早急に适切なインシデントレスポンスを行うことが重要です。
被害の拡大を防ぎ、迅速な復旧につなげるためには、特に「影响范囲の特定」と「封じ込めと根絶」を行います。これらのインシデントレスポンスは必ずしも段阶的に行うものではなく、场合により前后したり、同时并行で行ったりすることもあります。
影响范囲の特定
?ランサムウェア被害を受けているエンドポイントやデータの特定
ファイルが暗号化されている、もしくはランサムノートが表示/存在するクライアント、サーバを特定しリストアップします。また、暗号化され使用不能になったデータも特定します。
?远隔操作の特定
ネットワーク内でのランサムウェア拡散前には、外部からの侵入と远隔操作が行われている可能性が高いです。プロキシなどの通信ログ、ネットワーク监视ログなどから不审な通信を行っている被疑端末を特定します。被疑端末に贰顿搁なとの挙动监视製品がある场合はそのログも参照し、通信を行っている不审なプロセスなどを特定します。同时に内部活动に必要な管理者アカウントが乗っ取られている可能性もあります。システムログなどを参照し、本来使用されるはずのない端末上でネットワーク管理者アカウントが使われている、などの不审な事象がないか确认します。
?管理者アカウントの乗っ取りを确认する
内部活动に必要な管理者アカウントが乗っ取られている可能性もあります。システムログなどを参照し、本来使用されるはずのない端末上でネットワーク管理者アカウントが使われていないかなど、不审な事象の有无を确认します。
?被窃取情报の特定
现在のランサムウェア攻撃ではネットワーク内の情报窃取とそれらの暴露を元にした胁迫が行われます。通信ログから外部に送出された通信を确认します。また被疑端末上に窃取情报を集约した圧缩ファイルなどが残っていないか确认することで窃取された情报が特定できる场合があります。
また、既にランサムウェアの暴露サイト上で暴露が行われていないか调査することも考虑してください。多くのセキュリティベンダーはランサムウェア种别とその暴露サイトに関する知见を有しており、调査を支援可能です。
封じ込めと根絶
?组织ネットワークをインターネットから切断するか判断する
被害の拡大を防ぐ観点から、被害を受けた端末や遠隔操作の踏み台となっている可能性のある被疑端末は、速やかにネットワークから隔離します。組織のネットワークをインターネットから切断することにより、更なる侵入や遠隔操作による感染拡大や情报漏洩の危険性をほぼ回避することができます。
しかし、これらの措置は、业务に対して大きな支障を生じさせることになります。本来は、被害の発生时にどのような対応を行うかポリシー策定を事前に行っておくことが望ましいです。
?侵害范囲を隔离する
影响范囲が特定できている场合は、组织ネットワーク全体をインターネットから切断するのではなく、侵害を受けているセグメントのみを切り离すなどの対処も可能です。また、ランサムウェアの横展开(组织ネットワーク内を动き、感染を広める工程)の际には、搁顿笔やファイル共有机能の悪用が行われている场合がありますので、それらの通信を遮断することも有効です。
?被害システムを调査し、対応する
被害端末で行われた不审な操作、アカウント、プロセスやセッションの有无などを调査して対応を决めます。
ネットワーク管理者アカウントの乗っ取りや、ドメインコントローラ、ユーザ管理を行うActive Directoryサーバ(ADサーバ)も侵害されている可能性があります。管理者アカウントのパスワード変更や、ドメインコントローラやADサーバ上で変更された設定やポリシーの無効化を行ってください。
トレンドマイクロのソリューション
个人向け
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| 个人用端末にも総合的なセキュリティソフトを导入し、常に最新の状态に保つ |
?ウイルス検索机能による不正プログラムの検出 |
法人向け
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| エンドポイントやサーバに総合的なセキュリティソフトを导入する? | Trend Vision One - Endpoint Security? 贰笔笔机能に加えて贰顿搁、齿顿搁机能により不审な挙动を検出?? |
| メールサービスにおけるセキュリティを强化する? | Trend Vision One - Email and Collaboration Security ?メールサービスに対するフィッシングや标的型攻撃を阻止 |
| クラウド环境におけるセキュリティを强化する? | Trend Vision One - Cloud Security? コンテナ、サーバレスを含むクラウドネイティブアーキテクチャの?セキュリティを统合管理? |
| ネットワーク内部での不审な挙动を可视化する? | Trend Vision One - XDR for Networks? 组织内に蔓延る高度な胁威イベントの全体像を可视化? |
| 组织のデジタル资产におけるサイバーリスクを管理する? | Trend Vision One - Cyber Risk Exposure Management(CREM)? アタックサーフェス(攻撃対象领域)における?リスク管理のサイクル(特定?评価?対応)を自动化 |
| 水平展开を抑えるための最小権限の原则に基づくアクセス制御を强化する? | Trend Vision One – Zero Trust Secure Access? アカウントやデバイスのリスク状态などに基づいた?アクセスの动的な制御を実现 |
ウェビナーによる解説
ランサムウェアに関する最新情报
法人组织における最新のランサムウェア攻撃による被害や対策の実态
法人组织における最新のランサムウェア攻撃による被害や対策の実态については、こちらのリサーチペーパーをご参照ください。
ランサムウェアを含む最新の胁威に関する技术的解説
サイバーセキュリティ専业ベンダであるトレンドマイクロの30年以上にわたるナレッジを元に、専门家がセキュリティや胁威の最新动向を解説します。