ランサムウェアの悪質化（384号）

ランサムウェアという言葉をお聞きになった方も多いでしょう。
このメルマガの第１号（2017年3月発行）もランサムウェアの話でした。

この数年でランサムウェアそのものも随分と「進化」し、脅迫方法のバリエーションも増えており、より悪質化が進んでいるようです。

この記事を書いている2024年12月にも外食産業の「サイゼリヤ」がランサムウェアによる被害(2024年10月)の最終報告の記事が流れていました。
今や、業態や規模に関係なくランサムウェアの被害は拡がっています。

今回は、ランサムウェアの昨今の変化などの状況をお話します。


1. ランサムウェア

ランサムウェアは英語ではransomwareとなります。
ransomというのは身代金のこと。

つまり、日本語だと「身代金ウェア」というかなりぶっそうなコトバです。

ファイルを削除するようなマルウェア（ウイルスのような悪意のあるソフトウェアの総称）もやっかいですが、ランサムウェアは、ファイルを消さずに暗号化します。

ファイルがなくなっていれば「こんちくしょう」となるわけですが、最近のマルウェアの多くファイル削除をしません。

なぜか？
サイバー攻撃のほとんどは経済犯と言ってお金を目的とした犯罪です。

ファイルを消せば相手にダメージを与えられますが、カネになりません。
それよりも、暗号化したファイルを手元に残したままにしておき「ほらほら、お金を出せば元に戻してあげるよ」と脅した方がずっと「成約率」は高くなります。

人の弱みにつけこんだホントにいやらしい商売（犯罪）です。


2. なぜ企業を狙うようになったのか？

ランサムウェア自体は意外に古くからあったようです。
2014年には既にランサムウェアの原形があったようですから、かなりキャリアの長い攻撃方法と言えます。

当初は個人のパソコン内のドキュメントの暗号化が中心でしたが、今は会社などの組織を主たるターゲットとしています。

個人向けランサムウェアでは、身代金といっても数万円程度が主流でした。
あんまり高いと相手があきらめてしまって、カネにならないからです。

犯罪者が一個人ならそれでも十分な収入でしょうが、現在のサイバー犯罪の多くはマフィアや暴力団といった反社会勢力によるものです。

彼らは組織としてチームを組んで、技術者も雇うなどしてコストをかけて「ビジネス」しています。
こうなると一件で数万円ではペイしません。もっと高額な身代金、例えば数十万円や数百万円でも出す可能性のある相手として、企業を狙うようになりました。

こう書くと、大企業しか相手にしていないように思うかもしれません。たしかに大企業なら数億円といった法外な身代金でも飲んでくれる可能性があります。
実際、2024年6月に起きたKADOKAWAへの攻撃では数億円の身代金を払ったとも言われます。

ですが、大企業に侵入するには様々な対策を無効化する必要があり、攻撃に手間と時間がかかります。

それに比べて、中小企業の多くはノーガードに近い状態です。
こちらを狙った方が手間もかからず、身代金も個人を狙うのよりもずっと多額にできます。

犯罪者側にとってはビジネスです。よりだましやすい文章の書き方、クリックしてもらいやすいリンクの付け方、企業規模や業態から支払えそうな上限額、といった様々なパラメタを研究し、利益率の向上を目指しているようです。

手間ひまをかけてランサムウェアで暗号化に成功しても、身代金を支払ってもらわなければ収入にはならないのですから。

また、犯罪者側はつかまらずにカネを受け取りたいので、身代金の授受にはんかなり神経を使います。当然ながら、現金の授受はもちろん銀行振込などの金融サービスは使えません。

実際の支払いには直接会う必要のないBitcoinなどの仮想通貨（デジタル通貨）がよく使われます。
まあ、犯罪者の多くは日本に住んでませんので、その意味でも直接会うことは難しいでしょうが。

余談ですが、特殊詐欺（オレオレ詐欺）でAppleやGoogleのプリペイドカードに書いてある認証コードをメールやメッセンジャーで伝えてもらうという方法が使われるのも身元バレを防ぐためです。


3. 多重脅迫

ランサムウェアによって重要な情報が暗号化されただけでも当事者は大変ですが、さらにひどい話になるケースが発生しています。

それが多重脅迫と呼ばれているものです。

典型的なのは、身代金の支払いを拒否した場合に、暗号化前のデータ（社内の秘密情報で、もちろん盗まれたもの）を公開するぞ！と脅すというものです。

例えば、手元に無事なバックアップがあるから身代金は払わないと返信した場合、その元データがインターネット上で公開されるという話です。

これをダブルディストーション（二重脅迫）と呼んでいます。

この二重脅迫は2020年頃から起きていますが、そのバリエーションとも言える脅迫方法が次々と出てきています。

例えば、支払わないとDoS攻撃（サービス拒否攻撃。サイトに無数の（ニセの）リクエストを送ることでサーバをダウンさせる）するぞ！といった脅迫があります。
通信販売がクリスマスなどのハイシーズンにDoS攻撃を仕掛けられるとたまったものではありません。

また、最近では盗んだデータに含まれている個人に連絡をして情報漏洩を伝えて、信頼の失墜を狙うといった手法も登場しているようです。

こうなると、二重どころか三重四重の脅迫となります。


4. どうやって防禦するのか？

このようにやっかいなランサムウェアですが、特別な対処方法はありません。

情報セキュリティ対策に特効薬はなく、地道に一つ一つの対策を行うしかありません。
というか、特効薬があればとっくにみんなが使ってて、ランサムウェア自体が下火になっていますよね。

というわけで、取るべき対策は非常に地味なものです。
　・Windows Updateなどは必ず実施して、最新の状態を維持する
　・マルウェア対策ソフト（ウイルス対策ソフト）は有効にする
　・安易なパスワードは使わない
　・メールのリンクは例え知っている人からのメールでもクリックしない。
　　（知人を騙るフィッシングメールが存在しています）
　・バックアップは定期的（最低でも週に一度）に取る。

また、複数人でIDを共有することもオススメできません。
仮に変な日時（日曜の深夜3時など）のアクセスログに気付いても、誰かがログインしたのかな？とスルーしがちです。せっかくの不正アクセスの兆候を見逃すことになります。


5. 身代金を払うのは悪か？

一般に身代金は支払うべきではないと言われます。

身代金を払うことで、犯罪者のモチベーションを上げてしまい、益々ランサムウェアの配布に拍車をかけてしまうという点は大きな問題です。
また、支払った身代金がランサムウェアの悪質化などロクでもない方面に使われ、むしろ被害の拡大に手を貸すことになりかねません。

一般論としては、全くその通りで反論の余地はありません。

ですが、実際に被害に会った時の選択肢として「支払いに応じる」というカードは残しておくべきです。
軽営者にとって支払いに応じることが取引先や従業員に一番迷惑をかけないことだ、という結論であれば、筆者はそれを支持します。

もちろん支払わずに済むなら、その方が良いに決まってます。


6. まとめ

ここ数年で、ランサムウェアは悪質なマルウェアの代名詞になりました。

特にビジネスでランサムウェアの侵入を許すとビジネスの屋台骨をゆるがしかねない事態となります。

それは、身代金の話ではなく、仕事が進められなくなる点です。
どんな仕事でも必ず納期や締め切りがあります。

ランサムウェアの侵入を許すと業務が進められないことで、納期や締め切りを守れなくなります。
これは自分たちの信頼を失うだけでなく、取引先がその先の取引先の信頼を失うことになり、信頼失墜の連鎖をひきおこしかねません。

ランサムウェア攻撃に対する最大の防禦はバックアップなのですが、最近は多重脅迫により、バックアップだけでは必ずしも解決にならない脅迫も起きています。

ランサムウェアを100%防ぐ方法はなく、地道なセキュリティ対策を重ねていく必要があります。

大半のランサムウェアの入口はフィッシングメールです。

管理者IDとパスワードを盗もうとするフィッシングメール、マルウェア付きの文書をダウンロードさせようとするメール、いずれもメールに記載されたリンクをクリックするところから始まります。

改めて、メールのリンクをうかつにクリックしないようにご注意ください。

特に突然の連絡となるようなメール（ライセンス有効期限が切れる、有効性確認をして欲しいなど）にはくれぐれもご注意ください。

本当にクリックしないといけないと思った場合でも、送付元に（電話などで）確認するなど、細心の注意を払うようにしましょう。

今回は、ランサムウェアの現状についてお話しました。
次回もお楽しみに。

（この記事は2024年12月に執筆しました）