ランサムウェアによる被害のニュースが数多く報道されています。このブログを見ていただいている情報システム部の方は、ご存知かと思いますが、新入社員で情シスに配属された方や移動になった方には、まだよくわからない方もいらっしゃるのではないでしょうか。ランサムウェアは、どんなものか、簡単に説明します。
【目次】
1.ランサムウェアとは?
2.感染すると、何があるのか?
1.ランサムウェアとは?
ランサムウェアとは、簡単に言いますと、身代金を要求するウイルスです。ここで問題です。よく聞くウイルスとマルウェアと何が違うのでしょうか?
正解は、マルウェアの一種が、ウイルスとなります。
以下、総務省「国民のための情報セキュリティサイト」より(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html )
マルウェア(malware)は、malicious(マリシャス:悪意のある)にsoftware(ソフトウェア)という単語を組み合わせた造語になります。ウイルスやワーム、トロイの木馬、スパイウェアなど、PCなどに影響する、悪意のあるプログラムやソフトウェアを総称します。
ウイルス:他のコンピュータに勝手に入り込んで、意図的に何らかの被害を及ぼすように作られたプログラムのこと。ディスクに保存されているファイルを破壊したり、個人情報などを盗むこともある。感染経路として、ウイルスは、インターネットからダウンロードしたファイルや、他人から借りたCDメディアや、USBメモリ、電子メールの添付ファイル、ホームページの閲覧など媒介して感染する。ウイルス自身が自分を複製する仕組みを持っていた場合には、他のコンピュータにウイルスを感染させてしまう危険性もある。
ワーム:他のファイルに寄生して増殖するのではなく、自分自身がファイルやメモリを使って自己増殖を行うタイプのウイルスのこと。
トロイの木馬:コンピュータの内部に潜伏して、システムを破壊したり、外部からの不正侵入を助けたり、そのコンピュータの情報を外部に発信したりするプログラム。
スパイウェア:利用者の使用するコンピュータから、インターネットに対して個人情報やコンピュータの情報などを送信するソフトウェアのこと。 一般的には、そのようなソフトウェアがインストールされていることや動作していることに利用者が気づいていない状態で、自動的に情報を送信するソフトウェアをスパイウェアと呼ぶ。
脱線しましたが、ランサムウェアとは、以下のようになります。
IPA ランサムウェア対策特設ページ(https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html )から引用。
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。
2.感染すると、何があるの?
パソコンやサーバ上のデータを暗号化し、利用できなくします。利用できるように、修復することと引き換えに身代金を支払うように促す脅迫メッセージを表示します。
これまで、ランサムウェアを使う攻撃者は、基本的に明確な標的を定めず、例えばウイルスメールをばらまくといった方法で、広く無差別に攻撃を行っていました。
しかし、2018年~2019年頃より、明確に標的を企業・組織に定め、身代金を支払わざるを得ないような状況を作り出すため、新たな攻撃手口を取り入れる攻撃者が現れています。
以下のような攻撃があるとされます。IPA https://www.ipa.go.jp/security/announce/2020-ransom.html から引用。
人手によるランサムウェア攻撃 (human-operated ransomware attacks)
ウイルスを添付したメールを機械的にばらまくような手口と異なり、諜報活動を目的とする「標的型サイバー攻撃」と同様の方法で、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへひそかに侵入し、侵入後の侵害範囲拡大等を行います。
そして、事業継続に関わるシステムや、機微情報等が保存されている端末やサーバを探し出してランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりする攻撃方法です。
復旧を阻害するため、バックアップ等も同時に狙われることがあります。一般的に、攻撃の進行を検知しにくく、判明した時点では既に大きな被害が生じている場合があります。
二重の脅迫 (double extortion)
ランサムウェアにより暗号化したデータを復旧するための身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と脅迫する攻撃方法です。
窃取されたデータは、例えば、攻撃者がインターネットやダークウェブに設置した、データ公開のためのウェブサイト(リークサイト)にて公開されます。身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もあります。
次回はランサムウェアの対策についてご紹介したいと思います。