ほとんどのランサムウェアの要求は、被害者に支払いを促すために、規模の下限に傾いています。しかし、サイバー犯罪者が韓国のウェブホスティング会社 Nayana を標的にし、最初の身代金として約 440 万ドルの支払いを要求したときはそうではありませんでした。

セキュリティ会社トレンドマイクロのブログ投稿によると、攻撃者は、Nayana が使用していた Linux オペレーティング システムの欠陥を悪用する Erebus ランサムウェアの亜種を利用していました。ランサムウェアを評価した後、Nayana はファイルを復号化するための身代金を約 100 万ドルに下げるよう攻撃者と交渉することができました。これは、ランサムウェアの支払いの世界では依然として天文学的な金額です。

「それは莫大な金額でした。通常、依頼されたマシン 1 台につき 200 ドルから 2,000 ドルを受け取ります」と、Digital Shadows のリサーチ アナリスト、マイケル マリオット氏は言います。 「主犯はまさにこの組織へのアプローチをターゲットにしていました。」

これは、ランサムウェアが世界中に広がるマルウェアの最も蔓延した形態であり続けているため、組織が今後も予想される傾向です。人々が身代金を支払い続けているためです。

組織は、自分たちにとって何が意味があるかに基づいて独自の決定を下します、とマリオット氏は説明します。 「Nayana のケースでは、脅威アクターがこれを見た場合、特定の組織をターゲットにするよう非常に刺激されるだろうと本当に考えさせられます。」

ランサムウェアはクリプトウェアとも呼ばれ、ユーザーのファイルを暗号化し、復号化するために支払いを要求するプロセスです。これは新しいことではなく、2017 年初頭の WannaCry および NotPetya ランサムウェア攻撃による一連の非常に目立つキャンペーンの後、広く認識されるようになりました。

実際、欧州警察はランサムウェアを、データ窃取マルウェアやバンキング型トロイの木馬を上回る「最も顕著なマルウェア脅威」であるとみなしていると、2016 年のインターネット組織犯罪の脅威評価。

「各亜種には独自の特性があるが、多くは通信に Tor や I2P を使用するなど、同様の匿名化戦略を採用しており、意図を証明するために無料のテスト ファイル復号を提供するビジネス モデルを採用している」と評価では述べられています。 「従来の『商用利用可能な』データ窃取マルウェアのほとんどはデスクトップ Windows ユーザーをターゲットにしていますが、ランサムウェアのターゲットは、個人ユーザーのデバイスから業界、医療機関、さらには政府内のネットワークに至るまで、さらに多くあります。」

ランサムウェアの基本

2017 年初めに発行された米国政府の省庁間報告書によると、2016 年の平均 1 日あたりのランサムウェア攻撃数は 4,000 件を超え、2015 年の 1 日あたり約 1,000 件に比べ 300% 増加しました。

報告書、ランサムウェアからネットワークを保護するは、重要なインフラストラクチャ機関の CIO および CISO にランサムウェアとそれに最適な対応方法を知らせるために、米国家安全保障局 (NSA)、米国土安全保障省 (DHS)、FBI、CIA などのいくつかの政府機関によって作成されました。

「ランサムウェアの亜種が初めて出現した 2012 年以来、ランサムウェアの亜種はより洗練され、破壊的になっています」と政府機関間の報告書は述べています。 「一部の亜種は、感染したデバイス上のファイルだけでなく、共有ドライブやネットワーク ドライブ、外部接続されたストレージ メディア デバイス、感染したコンピュータにマッピングされているクラウド ストレージ サービスの内容も暗号化します。」

ランサムウェアの作成者は、匿名通信用の無料ソフトウェアである Tor とビットコインを使用して身代金の支払いを集めることで、ランサムウェアの改良も続けています。このレポートが発表された 3 月時点では、米国の企業と個人をターゲットにしたランサムウェアの亜種のトップ 5 は、CryptoWall、CTB-Locker、TeslaCrypt、MSIL/Samas、Locky でした。

たとえば、CryptoWall は、ビットコインのみで身代金の支払いを受け付けた最初のランサムウェアで、身代金の範囲は 200 ドルから 10,000 ドルでした。

「CryptoLocker ボットネットの閉鎖後、CryptoWall は世界中で被害者を出した最も成功したランサムウェア亜種となった」と報告書は述べています。 「2014 年 4 月から 2015 年 6 月までの間に、[インターネット コンピューター犯罪センター] には CryptoWall 関連の苦情が 992 件寄せられ、被害者らは総額 1,800 万ドル以上の損失を報告しました。」

レポート作成時点ではこれらが上位のランサムウェア亜種でしたが、定期的に新しい亜種が作成されています。

その 1 つは、WannaCry ランサムウェアです。これは、NSA によって発見され、ターゲットに侵入するために使用されたとされる脆弱性を利用して、世界中に拡散しました。 EternalBlue と呼ばれるこの脆弱性は、Microsoft Windows 内のコンポーネントを悪用したものであると、サイバーセキュリティ会社 eSentire の創設者兼チーフ セキュリティ ストラテジストである Eldon Sprickerhoff 氏は述べています。

シャドウ・ブローカーズと呼ばれるハッカー集団は、2017年春にNSAからエターナルブルーを盗みオンラインに漏洩したと主張した。これに応じて、マイクロソフトは「穴をふさぐメガパッチ」を発行したとスプリッカーホフ氏は述べた。

しかし、パッチを適用すべきだった人全員がパッチを適用したわけではなく、2017 年 5 月にハッカーがパッチを適用していないシステムの脆弱性を悪用し、WannaCry ランサムウェアを世界中に広め、約 200,000 台のコンピュータに感染させました。

「私はそれをアマゾンの進化と呼んでいます」とスプリッカーホフは言う。 「ランサムウェア カテゴリほど急速に伝播し、進化しているものはありません。これが止まる可能性はありません。マルウェアの観点から見て、私たちは最大の脅威を目の当たりにしていると思います。」

ランサムウェアはあらゆる企業に対する脅威ですが、特に中小企業に大きな打撃を与えます。サイバーセキュリティ企業 Malwarebytes Labs は、第 2 回年次調査で、オーストラリア、フランス、ドイツ、シンガポール、英国、米国の中小企業 1,054 社を対象に、ランサムウェアの経験について調査しました。

「ランサムウェアによる企業ネットワークへの侵入に成功した中小企業のうち、22% が直ちに業務を停止しなければならなかったと報告し、15% が収益を失ったと報告している。」と調査では述べられています。 「あらゆる規模の企業を対象に昨年行われた同様の調査では、ただちに業務を停止する必要があった企業はわずか 19 パーセントでした。」

しかし、小規模な組織にとって壊滅的なのは身代金ではなく、ダウンタイムです。 Malwarebytesは、ほとんどの身代金が1,000ドル以下であることを明らかにしたが、「影響を受けた組織のおよそ6社に1社では、ランサムウェア感染により25時間以上のダウンタイムが発生し、一部の組織ではシステムダウンが100時間以上発生したと報告している」と調査では説明している。調査対象者の 9% は、ダウンタイムが最大 1 時間しかないと報告しました。

Malwarebytes のマルウェア インテリジェンス ディレクターである Adam Kujawa 氏は、事業の停止は中小企業に大きな影響を及ぼし、ダウンタイムによりランサムウェア攻撃からの回復コストが高くなる可能性があると述べています。

「大企業では、何らかの冗長性が必要であるため、ダウンタイムは大きな要因ではありません」と彼は説明します。 「しかし、何百万もの顧客と取引している大企業のことを考えると、停電や自然災害などに備えて計画を立てています。地域の悪天候のために業務が完全に停止しないように、何か対策を講じておく必要があります。」

しかし、多くの中小企業には、そのような緊急時対応計画を立てるための資金や人員などのリソースがありません。中小企業には「大企業ほど自社を守るためのリソースや、攻撃から回復するためのリソースがありません」と Kujawa 氏は付け加えます。

「健康記録や財務情報を扱う中小企業は、顧客の面目を失うだけでなく、ランサムウェア攻撃の結果、データの盗難を許したとして政府の罰則を受けることになる可能性があります。」

ハッカーたち

ランサムウェアは 1989 年に初めて使用されました。そのによると、2016 年にシマンテックはランサムウェア感染が 2015 年から 36% 増加し、発見された新しいランサムウェア ファミリの数は 3 倍以上の 101 件であることを検出しました。インターネット セキュリティ脅威レポート。 

「攻撃者は被害者にますます多くの要求をしており、2016年の平均身代金要求額は前年の249ドルから1,077ドルに上昇している」と報告書は述べている。 「攻撃者は、通常、無害な電子メールに隠されたマルウェア、解読不可能な暗号化、および暗号通貨を伴う匿名の身代金支払いを伴うビジネス モデルを磨き上げてきました。このビジネス モデルの成功により、ますます多くの攻撃者がこの流れに乗り始めています。」

しかし、それはすべての攻撃者が平等に作られているという意味ではないとマリオット氏は言います。

「多くは人々のスキルレベルに依存します」と彼は説明する。オープンソースのランサムウェアは広く入手可能であり、費用はかかりません。「そして、それをベースにしていくつかの点を微調整した亜種をリリースしている人を見かけるかもしれません。しかし、それは主にすでに世に出ているものに基づいているため、それほど革新的ではありません。」

攻撃者はランサムウェアをサービス モデルとして使用します。これらの攻撃者は、ランサムウェアをサポートして身代金を回収するための独自のインフラストラクチャを作成できません。

「ランサムウェアをコンピュータに侵入させればお金が儲かるというほど単純ではありません」とマリオット氏は言う。代わりに、攻撃者はランサムウェア、攻撃に強い支払いサイトをホストする場所、身代金の支払い後にお金を現金化する方法を用意する必要があります。

サービスとしてランサムウェアを使用する攻撃者は、このインフラストラクチャをより手頃な価格の犯罪事業にするために、他人にお金を払ってこのインフラストラクチャをセットアップさせます。また、サービス モデルはここ数年で大幅に改善され、より魅力的で使いやすくなりました。

「フィールドが事前に入力されているので、『このメッセージが欲しい。この金額を請求したい』と言うことができます。サービスとしてのより高度なランサムウェアでは、メッセージの送信先を指定することもできます。」とマリオット氏は言います。 「カスタマー サポートを利用すると、達成した目標、成功、支払いをすべて 1 つの使いやすいダッシュボードで確認できます。」

Serba ランサムウェアや Spora ランサムウェア亜種の背後にいるようなエリート ランサムウェア攻撃者は、独自のインフラストラクチャを持っています。これらの攻撃者は独自のキャンペーンを運営し、自分たちのバージョンのランサムウェアをサービスとして他の攻撃者に販売します。

「これは単なる従来のランサムウェアではありません」とマリオット氏は言います。 「サービスとしてのランサムウェアとしても利用できるようにしており、優れたユーザー インターフェイスやカスタマー サポートを備えています。すべてが 1 か所にまとめられているため、人々にとって非常に魅力的です。また、復号キーを作成している人々に先んじて亜種を常に開発および改善しているチームによってサポートされています。」

これらの攻撃者は、新たな被害者をターゲットにしてさらなる収益を生み出すためにリリースされる新たなエクスプロイトを機敏に組み込んでいます。

「ランサムウェアの亜種を本当に優れたものにするには、それをいかに迅速に展開する方法があるかが重要です」とマリオット氏は説明します。 「すべてを 1 つにまとめることができれば、解読が非常に困難なタイプの暗号化になるだけでなく、スパムメールの送信先となる多数のユーザーや、ネットワークに侵入するために使用できるエクスプロイト キットなど、これらすべてを備えた亜種がより成功することになります。」

動機

ランサムウェアを使用するサイバー犯罪者は利益を得ることができ、これが標的に対してマルウェアを使用する大きな動機となります。一部のハッカーは、別の目的で侵害されたデータを収益化する別の方法としてランサムウェアを使用しています。

その一例は、GameoverZeus と呼ばれるバンキング型トロイの木馬でした。その主な目的は、被害者のコンピュータ上で金融情報を見つけて、被害者の銀行口座にアクセスすることでした。ただし、トロイの木馬がその情報を見つけられなかった場合、CryptoLocker をインストールして被害者のコンピュータ ファイルを暗号化し、身代金を要求します。

ハッカーたちは、「この方法でお金を稼げるでしょうか? そうでない場合は、暗号化して何が起こるか見てみましょう。そこから少しはお金が得られるかもしれません」というアプローチをとりました、とマリオット氏は説明します。 「犯罪者はデータから収益を得ようとしていますが、それは必ずしも 1 つの戦術にサイロ化されているわけではありません。彼らはそのデータを収益化するためにさまざまな戦術を採用します。」

金儲けではなく、混乱を招くことに興味があるサイバー犯罪者もいます。たとえば、RamScam や Hitler-Ransomware はファイルを暗号化して削除するだけです。

「彼らは基本的に、ただ楽しむために人々のファイルを暗号化しているのです」とマリオット氏は言う。 「彼らはお金が欲しかったわけではありません。ちょっと退屈していて、ちょっとした騒乱を引き起こしたいだけの人々でした。」

政治も動機を与えることができます。一部のサイバー犯罪者は、イスラエルに本拠を置く企業や組織のファイルを暗号化し、ファイルへのアクセスと引き換えにパレスチナの自由国家を要求した。

「私が理解しているように、これは特に洗練された亜種ではありませんでしたが、必ずしも金銭が目的ではないのは興味深いことです。サイバー犯罪者や悪意のある攻撃者にとっては、混乱だけが正当な動機でもあります。」とマリオット氏は言います。

また、金銭を目的としたランサムウェア キャンペーンは今後も最前線で活動し続ける一方、将来的にはランサムウェアが混乱やハクティビズムの手段として使用される可能性があるとマリオットは述べています。

この考えられる最近の例の 1 つは、NotPetya ランサムウェア キャンペーンです。このキャンペーンは背後にいるサイバー犯罪者に大きな利益をもたらさず、多数のウクライナの組織を標的にしているようです。

「ある理論と仮説は、標的にウクライナが大きく関与しており、タイミングがウクライナ独立の祝日の前後だったので、ウクライナの独立をあまり好まない国民国家であった可能性があるという結論に傾いた」とマリオット氏は言う。

しかし、ランサムウェア攻撃については誰も犯行声明を出していないため、政治的動機によるものであるという保証はありません。

「人々の注意をそらすために、ランサムウェアを使用した非常に多くの種類の煙や鏡が世界中に蔓延しています」とマリオット氏は言います。 「NotPetya がその可能性がありますが、同時に、あまり優れていない、間違いを犯すサイバー犯罪者である可能性もあります。」

応答

専門家は誰もいないセキュリティ管理ランサムウェアは近い将来に消滅すると予想しており、欧州警察はランサムウェアがモバイル デバイスやコンピュータ ファイルをターゲットとする新しい亜種に変化する可能性が高いと述べています。

「現在、日常的なデスクトップマルウェアの脅威として定着していますが、開発者がオペレーティングシステムやプラットフォームを攻撃するスキルを磨くにつれて、モバイルデバイス上の脅威としてのランサムウェアのプロファイルは増大するでしょう」とユーロポールの報告書は述べています。 「モバイル デバイスの所有規模（人々よりもはるかに多くのモバイル デバイスがある）を考慮すると、ランサムウェアの蔓延の肥沃な土壌が不足することはありません。」

欧州警察はまた、ランサムウェアがスマート テレビを含む他のスマート デバイスに拡散する可能性が高いと予測しています。

「データ窃取マルウェアのパターンに従って、暗号ウェア攻撃は散布砲ではなくなり、より潜在的な価値のある被害者をターゲットにする可能性が高くなります。」と欧州警察の報告書は述べています。

攻撃者がシステムに侵入してランサムウェアを拡散することをより困難にするために、国際法執行機関は脅威に対する認識を高め、企業が積極的な防御策を採用するよう奨励することに重点を置いています。

たとえば、米国政府機関間の報告書は、組織がとるべき一連の予防策を推奨しています。これには、従業員向けの意識向上およびトレーニング プログラムの実施、フィッシングメールがユーザーに届くのを防ぐための強力なスパム フィルターの有効化、すべての送受信メールのスキャン、特権アカウントの管理、既知の悪意のある IP アドレスをブロックするファイアウォールの設定、オペレーティング システムへのパッチの適用などが含まれます。

WannaCry ランサムウェア攻撃で示されたように、システムに定期的にパッチを適用することは非常に重要ですが、多くの組織が引き続き苦労していることだと Sprickerhoff 氏は言います。

「これは悲しい状況です。セクシーではありません。パッチの厳密さがどれほど素晴らしいかを自慢する人は誰もいません」と彼は付け加えた。 「あまり面白くありませんが、とても必要です。」

企業がパッチを最新の状態に保つのに苦労している理由の 1 つは、事前に対応することが不可能であることです。企業の IT チームは、Microsoft などのベンダーがシステムの脆弱性を修正するパッチをリリースするのを待たなければなりません。次に、チームはパッチをテストして、システム内の他の機能が無効になっていないことを確認してから、パッチをインストールする必要があります。

「マイクロソフトが火曜日にパッチを適用するのは毎月のことです」と Sprickerhoff 氏は言います。 「彼らは大きなパッチバンドルをリリースしますが、毎月、それを最初からやり直さなければなりません。洗って、繰り返してください。それで多くの人は、『よほどのことが起こって、これを行う必要があると感じない限り、四半期に一度パッチを適用するつもりです。』と言うのです。」

組織は、予防的なサイバーセキュリティ対策を講じるだけでなく、ランサムウェアに感染した場合の対応計画も立てておく必要があります。また、専門家はデータを取り戻すために身代金を支払うことを推奨していませんが、組織が支払う場合は、より良い料金を得るためにハッカーと交渉する必要があるとクジャワ氏は述べています。

「ランサムウェアでは、被害者と直接やり取りすることになります」と彼は説明します。 「支払いは直接あなたに支払われます。仲介者はいません。犯罪者にとっての問題は、被害者から支払われなければ、まったく報酬を受け取れないことです。犯罪者にとって価値の保証はありません。したがって、人々が確実に支払えるようにすることが犯罪者の最大の利益になります。」

カリフォルニア州のハリウッド長老派医療センターがランサムウェア攻撃を受けた後、データの一部を取り戻すために身代金を支払ったのはその一例です。当初の身代金は 100 万ドル以上でしたが、病院が必要としたエンドポイントは 1 つだけでした。

病院は犯罪者と交渉し、わずか 17,000 ドルで業務を再開するために必要な情報を解読することができました。

「結局のところ、犯罪者はあなたに身代金を要求したいのです」とクジャワ氏は言う。 「『いいえ、お金はもらえません』と言うと、彼らは干されるままに放置されます。『少しお金をあげます』と言えば、彼らはもう少し従うことに興味を持つかもしれません。少なくとも何かを得ているのですから。」