SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

レジリエンスを構築する、本城信輔のセキュリティガイド

3割超の企業が事業中断を余儀なくされるランサムウェアの実態:トップ5に鎮座するマルウェア最新動向

第4回:実は巧妙化し続けているランサムウェアを正しく理解する

 サイバー攻撃を予測し、耐え、回復する「レジリエンス強化」がセキュリティ対策の前提となりつつあります。予測するためには、どのような攻撃があるのかを知り、攻撃されることを前提に対策を取ることが重要です。本連載では、“レジリエンスを実現する”ことを念頭に、様々なマルウェアやサイバー脅威を紹介し、具体的な例を用いて機能や攻撃能力、アクターを解説。第4回目の本稿は、サイバー攻撃の王道「ランサムウェア」について、改めて詳しく見ていきましょう。

巨額の金銭を要求する「二重脅迫型ランサムウェア」

 今回のテーマはランサムウェア。ここ数年、国内外でランサムウェアによる被害が多数発生しています。よく報道されているので、ランサムウェアがどういったものかご存知の方も多いと思います。

 ランサムウェアは、被害コンピュータのデータに関する脅迫を行い、文字通り身代金を要求するという犯罪目的のマルウェアです。登場したばかりの頃は、感染したコンピュータのファイルを暗号化し、復号ツールに身代金を要求するタイプのランサムウェアのみが見られ、要求する身代金の額もさほどは大きくありませんでした。

 しかしここ数年、ファイルの漏洩を脅迫する「二重脅迫型ランサムウェア」が登場するようになってからは、身代金が高騰し、それに呼応して被害額も大きくなりました。このタイプは、ターゲットとなる企業から情報を窃取した後、ランサムウェアでファイルを暗号化し、さらにリークサイト上で盗んだデータの公開を脅しに身代金を要求します。

 二重脅迫型ランサムウェアの登場以来、様々なタイプのランサムウェアが見られるようになりました。一方、ランサムウェアの被害があまりにも大きいためか、操作当局もランサムウェアのアンダーグラウンドサイトを閉鎖することも多くなってきました。とはいえ、ランサムウェアが犯罪グループにとって比較的容易に巨額のお金を稼げる手法である限り、このマルウェアがなくなることはないでしょう。

 ランサムウェアにはどういう機能があるのか、改めておさらいしてみましょう。まずはファイルの暗号化機能。最近では暗号化しないタイプも存在していますが、ランサムウェアの基本となる機能です。なお、後ほど説明しますが、多くのユーザーが懸念しているランサムウェアによる被害は、ファイル暗号化によって生じるシステムの停止と事業への影響といえます。つまり、この暗号化の方法を理解することが、ランサムウェアに打ち勝つための第一歩となるのです。

 ほとんどのランサムウェアはドキュメントファイルや画像ファイルといった“ユーザー固有”のデータを暗号化の対象としています。これはWindowsやアプリケーションなどの実行ファイルなどは暗号化したとしても復旧しやすいため、脅迫してもあまり意味がないからです。

 ランサムウェアの実装としては、暗号化対象の拡張子を定義しているものから、LockBitのように暗号化しない拡張子やフォルダなどのホワイトリストを定義して、それ以外を暗号化するといったタイプのものもあります。従って、同じ種類のランサムウェアでも暗号化するファイルや拡張子が異なることがあるということです。

拡張子の名前の“一人歩き”がランサムウェア誤認の原因に?

 なお、暗号化したときに追加される拡張子の名前をランサムウェアの呼称にする方をよく見かけますが、あまりよい方法とは思えません。いったん名称がつけられると、それだけが蔓延しているような錯覚をしたり、ランサムウェアのある亜種に特化した対策に終始してしまったりといったことになりかねないからです。実際、名称が付けられた拡張子情報だけをチェックして、感染有無を判定して一喜一憂しているケースはよく聞きますね。

 たとえば、病院などを狙うことで知られるPhobosという古いランサムウェアは多種多様な拡張子を付与することで知られています。Phobosは不用意に公開されたリモート デスクトップ プロトコル(RDP)から侵入するという特徴をもっています。このように、同じランサムウェアでも設定ファイルや亜種によって、ファイルの拡張子を変えることがよくあるのです。細かい動作や兆候に惑わされず、正しく種類を認識することが大事でしょう。またランサムウェアの種類によっては、PhobosのようにRDPを使うなどの特徴的な感染手口を使うことから、種類を正確に判別できることで、マルウェアの識別やその有効な対策にも役立ちます。

 暗号化のアルゴリズムや暗号鍵のデータ量(鍵長)は種類やバージョンによって様々ですが、一般的には文書の暗号化と同じスキームが使われます。以前は、通信して暗号鍵を決めているタイプのものもありましたが、最近ではオフラインで動作するタイプのものがほとんど。その後、身代金を要求する脅迫文を表示するといった仕組みです。ほとんどの場合、Bitcoinなどの暗号通貨での支払いが指示されますね。ちなみに、筆者は暗号鍵を保存せずに捨てているランサムウェアを見たことがあります。このタイプのランサムウェアは、たとえ身代金を払ったとしてもデータが復号できないことは明らかです。

 二重脅迫型ランサムウェアは、感染したコンピュータ内のデータが攻撃者の方へアップロードされてしまうといった機能があります。数テラバイドにおよぶデータが盗まれることもあり、不正送信されたデータはランサムウェア専用のDarkweb上のリークサイトで外部漏洩を脅迫するために使われます。データの送信にはそのランサムウェア専用のツールが使われることが多く、LockBitの場合は「StealBit」というデータ流出ツールが利用されていました。

次のページ
3割以上の海外企業がランサムウェア感染後に事業を中断

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
レジリエンスを構築する、本城信輔のセキュリティガイド連載記事一覧

もっと読む

この記事の著者

本城 信輔(ホンジョウ シンスケ)

サイバーリーズン合同会社 Japan CISO 本城 信輔(ほんじょう しんすけ)
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19616 2024/06/11 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング