ランサムウェアとは？定義・仕組み・歴史・被害事例と対策まとめ

ランサムウェアとは何かを初心者にもわかりやすく解説。定義・仕組み・歴史・被害事例と最新の対策を網羅した完全ガイド。

ランサムウェアはマルウェアの一種です。感染したコンピュータシステムや保存されているデータへのアクセスを制限し（多くの場合、暗号化技術を使用）、マルウェアの作成者に身代金の支払いを要求します。これは、制限を解除するためのものです。ランサムウェアの中には、システムのハードディスク上のファイルを暗号化するものもあります。また、単にシステムをロックし、ユーザーに身代金を支払うように説得するメッセージを表示するものもあります。

ランサムウェアが最初に流行したのはロシアでした。今ではランサムウェア詐欺の利用が国際的に拡大しています。2013年6月、マカフィーは、2013年の最初の3ヶ月間にランサムウェアのユニークなサンプルを25万件以上収集したと発表しました。これは前年の2倍以上の数です。2013年後半に表面化したランサムウェアワーム「CryptoLocker」は、当局が取り締まるまでに推定300万ドルを集めていました。

2017年5月、WannaCryと呼ばれるランサムウェアの一片が世界中に広がりました。それは4日間続き、150カ国で20万台以上のコンピュータに影響を与えました。これまでに支払われた身代金は約13万ドル（USD）にとどまったが、この攻撃は多くの大企業や組織に影響を与えた。イギリスの国立保健サービス（NHS）は、WannaCryによって大打撃を受けました。病院はファイルにアクセスできず、多くの手術がキャンセルされ、患者を追い返さなければなりませんでした。NHSが特に危険にさらされたのは、マイクロソフトがサポートを終了したWindows XPと呼ばれるWindowsオペレーティングシステムのバージョンを使用していたからです。これは、マイクロソフトがこのバージョンのWindowsのセキュリティアップデートを送信していなかったことを意味し、WannaCryウイルスにさらされたままにしていたことを意味します。他のシステムは、新しいバージョンのWindowsを実行しているにもかかわらず、そのユーザーが最新のセキュリティ更新プログラムをまだインストールしていなかったために影響を受けました。実際にコンピュータやそのファイルに損害を与えるように設計されていなかったにもかかわらず、WannaCryは多くの時間とお金を無駄にしてしまい、ランサムウェア攻撃に対して世界がいかに脆弱であるかを示しています。

ランサムウェアの種類と特徴

• ファイル暗号化型（Crypto型）：ローカルやネットワーク上のファイルを暗号化し、復号鍵と引き換えに身代金を要求します。多くはAESなどの対称暗号でファイルを暗号化し、対称鍵自体を攻撃者の公開鍵で暗号化する（RSAなど）ことで安全に鍵を保護します。
• 画面ロック型（Locker型）：システムをロックして利用不能にし、支払いを促すメッセージを表示します。ファイル自体は暗号化しないこともあります。
• ダブルエクストーション型：ファイルを暗号化するだけでなく、データを事前に盗み（流出させ）て公開をほのめかすことで、復号料に加え公開阻止のための支払いも要求します。
• 破壊的ランサムウェア：見せかけの身代金要求をしつつデータを完全に破壊するタイプ（例：NotPetyaのように破壊目的で用いられたもの）もあり、必ずしも復旧が前提とは限りません。
• Ransomware-as-a-Service（RaaS）：犯罪組織がランサムウェアをサービス提供し、アフィリエイトが配布して報酬を分配するビジネスモデル。攻撃のハードルが下がり、被害が拡大しています。

感染経路と仕組み

• メールの添付ファイルやフィッシングリンク：マクロ有効なOffice文書や悪性のexeを配布。
• 脆弱性を突く：サーバやサービス（RDP、SMB、Webアプリ等）の未修正の脆弱性を悪用して侵入。
• 遠隔デスクトップ（RDP）の不正ログインや盗用された資格情報を経由した侵入。
• サプライチェーン攻撃：信頼されたソフトウェア配布経路にマルウェアを混入させる手法。

感染後、ランサムウェアは通常次の流れで被害を拡大します：権限昇格→ネットワーク内探索（横展開）→重要ファイルの暗号化および/またはデータの窃取→身代金要求。暗号化には高速な対称鍵暗号（例：AES）が使われ、その鍵を攻撃者が保持する非対称鍵で保護する設計が多いです。

主な被害事例（補足）

• CryptoLocker（2013年）：大量の個人ユーザーや企業を標的に多額の身代金を集めました。法執行機関やセキュリティ企業が摘発しましたが、大きな影響を残しました。
• WannaCry（2017年）：ワーム機能により短時間で世界的に拡散し、医療機関など重要インフラにも甚大な影響を与えました。古いOSや未適用のセキュリティパッチが被害を拡大させた好例です。
• NotPetya（2017年）：破壊目的で作られたとされ、単なる身代金目的を超えて事業継続に深刻な打撃を与えました。
• 最近の動向：ターゲットを絞った攻撃（企業や自治体を狙ったサプライチェーン攻撃やRaaSの活用）、およびデータ窃取を伴う二重恐喝が主流になりつつあります。2020年代以降、石油・ガス、医療、物流など重要産業への攻撃が増加しています。

被害を受けたときの初動対応（優先順位）

• 隔離：感染端末をネットワークから直ちに切り離し、横展開を止めます（電源を切らずネットワークだけ切断する方がログ保存などの観点で望ましい場合があります）。
• 連絡：社内のインシデント対応チーム、上長、法務、広報に速やかに報告します。必要に応じて外部のインシデント対応専門家や法執行機関に連絡。
• 証拠保全：ログ、メモリダンプ、ディスクイメージなどの証拠を保全して後の解析に備えます。安易にフォーマットや復元作業を行わない。
• 範囲特定：感染の範囲と侵害経路、暗号化されたデータの種類を速やかに特定します。
• 復旧計画：安全なバックアップからの復元、システムの再導入、パスワード更新などを行います。支払いの判断は慎重に—支払っても必ず復号される保証はありません。

予防と対策（実践的な推奨）

• バックアップ戦略（3-2-1）：重要データは複数（少なくとも3コピー）、異なるメディア（2種類）、うち1つはオフサイトまたはオフラインで保管。定期的に復元テストを行うこと。
• セキュリティパッチの適用：OS、ミドルウェア、アプリケーションの更新を速やかに実施し、ゼロデイ脆弱性対策を怠らない。
• アクセス制御と特権管理：最小権限の原則を徹底し、管理者権限の乱用を防ぐ。多要素認証（MFA）を導入する。
• ネットワーク分割とセグメンテーション：重要システムは他のネットワークから隔離し、横展開のリスクを減らす。
• 検出・監視：EDR（エンドポイント検出・対応）、SIEMの導入、ログ監視、自動アラートで早期検知を目指す。
• ユーザー教育：フィッシング対策や安全な操作習慣の教育を継続的に行う。
• アプリケーション制御とメールセキュリティ：実行制御（ホワイトリスト方式）、添付ファイルのサンドボックス検査、URLフィルタリング等を併用する。

身代金を支払うべきか？（判断の留意点）

• 支払っても復号される保証はなく、犯罪者に資金を提供することで再攻撃のリスクや法的問題が生じます。
• 一部の国や業種では、規制や制裁の観点から支払いが禁じられるか、届出義務が課される場合があります。必ず法務や当局と相談してください。
• 支払いを検討する場合でも、まずは専門家の分析と法執行機関への報告を行うことを推奨します。

法的・倫理的な観点

ランサムウェア被害は個人情報保護や業種別規制（医療情報、金融情報など）に関わるため、漏えいが確認された場合は適切な当局への報告義務や被害者への通知が発生することがあります。国や地域によって対応が異なるため、法務部門や外部専門家と連携してください。また、身代金の支払いや交渉に関しては、法的な問題や制裁に触れるリスクがあるため慎重な判断が必要です。

まとめ：チェックリスト

• 定期的にバックアップを取り、復元テストを行う。
• OS・ソフトウェアのセキュリティパッチを迅速に適用する。
• MFA、最小権限、安全なパスワード管理を実装する。
• EDRやSIEMで早期検知と対応体制を整える。
• 従業員へのフィッシング対策教育を継続する。
• インシデント発生時は速やかに隔離・証拠保全・法執行機関への報告を行う。

ランサムウェアは手口が進化し続け、組織や個人の双方にとって重大な脅威です。予防策を強化し、発生時の対応手順をあらかじめ整備しておくことが被害の軽減につながります。

質問と回答

Q:ランサムウェアとは何ですか?

Q:ランサムウェアはどのようにして普及したのですか?

Q: 2013年にMcAfeeが収集したランサムウェアのユニークなサンプル数はどれくらいですか?

Q: CryptoLockerが削除される前に収集した推定金額はいくらですか?

Q: 2017年のWannaCry攻撃では何が起こったのか?

Q: 新しいバージョンのWindowsがインストールされているにもかかわらず、一部のシステムが影響を受けたのはなぜですか?

Q:WannaCryは、世界中の人々や組織にどのような影響を与えたのでしょうか?

文字で検索