ランサムウェア - ランサムウェア
データやシステムを暗号化して身代金を要求するマルウェア。バックアップ戦略と初動対応が被害を左右する。
概念図
ランサムウェアの進化:4 世代モデル
ランサムウェアは 2013 年の CryptoLocker 登場から大きく進化してきました。
現在主流なのは第 3〜第 4 世代のモデルです。
| 世代 | 特徴 | 代表例 |
|---|---|---|
| 第 1 世代(2013-2016) | ファイル暗号化 + 身代金要求のみ | CryptoLocker, CryptoWall |
| 第 2 世代(2017) | ワーム機能で自動伝播。大規模被害 | WannaCry(EternalBlue 悪用、世界 150 カ国以上に拡散), NotPetya |
| 第 3 世代(2019-2021) | 二重恐喝:暗号化 + データ窃取 + 漏洩脅迫 | Maze, REvil, Conti |
| 第 4 世代(2022-現在) | RaaS(Ransomware as a Service)、多重恐喝、暗号化なしで恐喝のみ | LockBit, BlackCat / ALPHV, Cl0p, Akira |
二重恐喝(Double Extortion) の登場で、従来の「バックアップから復元すれば身代金を払わなくて済む」という防御戦略が崩壊しました。
データをすでに窃取されているため、復元できても漏洩は止められません。
RaaS(Ransomware as a Service)エコシステム
現代のランサムウェアは個人ハッカーではなく、分業制の産業として運営されています。
- オペレーター(開発者): マルウェア本体の開発、身代金交渉サイトの運営、身代金の分配
- アフィリエイト(実行犯): 初期侵入・横展開・ファイル暗号化を担当し、身代金の 70〜80% を取る
- 初期アクセスブローカー(IAB): VPN 脆弱性・RDP ブルートフォース・フィッシングで侵入済みのアクセス権をダークウェブで数百〜数万ドルで販売
- 交渉人: 身代金交渉専門。「プロフェッショナル」な対応で心理的プレッシャーを与える
- マネーロンダリング業者: 暗号通貨をミキサー経由で洗浄
LockBit は 2022-2024 年に最も成功した RaaS で、推定で 数千のアフィリエイト が参加し、累計数十億ドル の身代金を得たとされています。
2024 年 2 月に Operation Cronos で FBI 主導の摘発を受けましたが、完全には停止しておらず、後継グループが活動を続けています。
著名な大規模インシデント
| 年 | 被害組織 | 攻撃グループ | 概要 |
|---|---|---|---|
| 2017 | 世界 150+ カ国の組織(英国 NHS 等) | Lazarus (WannaCry) | EternalBlue 悪用で自動拡散、NHS の病院システムが停止し手術延期等の被害 |
| 2020 | 本田技研工業 | Ekans (Snake) | 日・米の生産ラインが一時停止 |
| 2021 | Colonial Pipeline(米) | DarkSide | 米国東海岸の燃料パイプラインが 6 日間停止、ガソリン価格急騰。$4.4M の身代金支払い(後に FBI が一部回収) |
| 2021 | JBS(世界最大の食肉加工企業) | REvil | 米・豪の工場停止、$11M の身代金支払い |
| 2022 | 大阪急性期・総合医療センター(日本) | Phobos 系 | 電子カルテ停止、2 ヶ月以上診療制限。身代金要求は拒否して復旧 |
| 2023 | MGM Resorts | BlackCat / ALPHV + Scattered Spider | ヘルプデスクへのビッシングで初期侵入、約 $100M 以上の損失 |
| 2024 | Change Healthcare(米) | BlackCat / ALPHV | 米国の医療保険請求システムが数週間停止、$22M の身代金支払い |
防御の 3 本柱と初動対応
防御の 3 本柱:
- 侵入を防ぐ: VPN / RDP のインターネット直接公開を避ける、MFA 強制、パッチ適用、フィッシング耐性のある認証(FIDO2)
- 横展開を止める: ネットワークセグメンテーション、EDR、最小権限、特権アクセス管理(PAM)、LAPS による管理者パスワード分散化
- 復旧できる: 3-2-1-1-0 バックアップ(3 コピー / 2 メディア / 1 オフサイト / 1 オフライン(イミュータブル)/ 0 エラー)。少なくとも 1 本はネットワークから物理的に切り離されていること
初動対応(感染疑い時の最優先事項):
- ネットワーク遮断: 感染端末の LAN ケーブル / Wi-Fi を直ちに切断。電源は切らない(揮発性メモリの証拠保全のため)
- バックアップの隔離: バックアップシステムへのアクセスを即座に遮断
- CSIRT / 外部フォレンジック業者へ通報: 国内であれば IPA、JPCERT/CC への相談窓口あり
- 身代金を払わない判断を優先: 支払っても復号ツールが動作しない / 再度要求される / 制裁対象国への支払いで違法となるリスクがある
- 法執行機関への通報: 警察(サイバー犯罪相談窓口)、保険会社への連絡、データ侵害の場合は個人情報保護委員会への報告(30 日以内)