ターゲットを広げるランサムウェア

01

ITリテラシーの低い犯罪志願者向けのサービスも登場

ランサムウェアの攻撃が拡大しています。ランサムウェアはマルウェアの一種で、感染したPCのデータを暗号化して使えないようにし、元に戻す(復号化)には身代金を要求してくるというサイバー犯罪です。2016年は、このランサムウェアの被害が急増しました。

トレンドマイクロによると、日本における2016年上半期のランサムウェア被害報告件数は1,740件で、前年同期比で7倍となりました。このうち法人は1,510件を占め、約9倍の増加となりました。特に法人が狙われていることがわかります。また、この傾向は世界的なものであり、IBM X-Forceの調査では、2016年に送信された全スパムメールのほぼ40%をランサムウェアが占めていたといいます。

ランサムウェアはサイバー犯罪者にとって、容易に金銭を得ることができるツールとなっており、その費用対効果(犯罪成果)は1425%とキヤノンITソリューションズが試算しています。このためサイバー攻撃の中でも大きな割合を占めるようになり、被害も増加の一途をたどっています。

サイバー犯罪者の組織化やアンダーグラウンドマーケットの拡大も、ランサムウェアの増加に影響しています。組織化することで細分化が進み、サイバー犯罪者は簡単に攻撃に参加して報酬を得られるようになりました。またアンダーグラウンドでは、ランサムウェアのサービス「Ransomware as a Service」が提供されており、プログラムの知識がなくても容易にランサムウェアを入手して犯罪が行えるようになっています。

ランサムウェアは個人および法人ともに標的としており、法人では業務を行えなくなることから、個人では家族の写真やビデオを再び手にするために、身代金を支払ってしまうケースが増えています。一般的なランサムウェアの身代金は約500ドルと言われていますが、米国の法人ではランサムウェアの被害に遭った企業の70%が身代金を支払っており、うち半数は1万ドル以上、さらにその20%は4万ドル以上も支払ったと言われています。

プログラムの知識がなくても容易にランサムウェアを入手して犯罪が行えるサービス「Ransomware as a Service」

プログラムの知識がなくても容易にランサムウェアを入手して犯罪が行えるサービス「Ransomware as a Service」

Android向けランサムウェアの登場でターゲットが拡大

ランサムウェアは、そのほとんどがスパムメールやスピアフィッシングメールの形で拡散しています。ランサムウェア本体が直接メールに添付されているケースもありますし、メール本文内にあるURLリンクの飛び先に仕込まれているケースもあります。また標的型攻撃のように、最初にドロッパーと呼ばれるマルウェアを感染させ、ドロッパーがランサムウェアをダウンロードするケースもあります。

2015年に猛威を振るったランサムウェア「Cryptolocker」は、セキュリティベンダーや警察組織から構成されるプロジェクトによって多くのサーバがテイクダウンされ、大幅に検出数が減少しました。しかし2016年に入ってランサムウェアの新種が次々に登場し、感染被害も2015年を超える事態となっています。なお最近の傾向として、身代金をビットコインなどの仮想通貨で要求するケースが増えています。

ランサムウェアの動作も進化を続けており、当初はPCのデータを暗号化したことと身代金を要求することを表示するだけでしたが、その後は暗号化したファイルを削除するまでのカウントダウンを表示したり、少しずつ暗号化を行ったりするものが登場しています。共有フォルダにあるファイルを暗号化するランサムウェアも増えており、部署単位で業務が停止してしまうなど深刻化しています。

プラットフォームの拡大も大きな懸念点となっています。特にAndroid OSに感染するランサムウェアの登場は大きな脅威になるとされています。その理由は、多くのネットワーク家電やIoT機器がAndroidを搭載しているためです。これにより、金銭だけでなく生活や、場合によっては生命まで危険にさらされる可能性があります。

例えばテレビ用のセットトップボックスに感染し、身代金目的でテレビサービスを受けられなくしたり、お風呂の温度を上げたり、自動運転の自動車のアクセルやブレーキを支配したりするケースが考えられます。自動車の場合は特に危険性が高いでしょう。実際に多くのセキュリティイベントで、自動車やエアコンなどをランサムウェアに感染させるデモが行われています。

ネットワーク家電やIoT機器など、ランサムウェアのプラットフォーム拡大が大きな懸念点へ

ネットワーク家電やIoT機器など、ランサムウェアのプラットフォーム拡大が大きな懸念点へ

ランサムウェア対策の最前線は?

今後も大きな脅威となり得るランサムウェアですが、世界中のセキュリティベンダーも手をこまねいているわけではありません。さまざまな対策手法が登場してきています。そして、いずれのベンダーもエンドポイント対策が重要であるとしています。またデータを保護することも重視しています。

例えばインテリジェンスを活用する方法があります。最近ではセキュリティベンダーがそれぞれ独自のインテリジェンスを持っています。インテリジェンスとはユーザーの環境から検出される脅威や、ディープWeb、ダークWebの掲示板などの監視によるサイバー犯罪者の動向、インターネット上で検出される不正なトラフィックなどを、セキュリティベンダーの研究チームが分析して蓄積した情報のことです。最新のインテリジェンスにより、ランサムウェアに使用されるメールの特徴などを把握し、ゲートウェイやエンドポイントで守るというものです。

またインテリジェンスに加えて、AI(人工知能)やディープラーニング、機械学習などもセキュリティに適用されています。さらにランサムウェアによるファイルの暗号化を素早く検知して動作を停止させたり、ランサムウェアが暗号化するようなファイルを最新状態でバックアップしておき、暗号化されても元に戻せるようにしたりするソリューションもあります。

ネットワーク家電やIoT機器に対しては、ルータでマルウェアを検出するようなソリューションのほか、機器のOS上で動作するプログラムをあらかじめ限定しておくホワイトリスト方式のソリューションが注目を集めています。ランサムウェアの今後の展開は注意深く観察する必要がありますが、対策も確実に進んでいるのです。まずは自分のPCがランサムウェアに感染しないよう、現在の感染手法の主流であるメールに注意しましょう。

いずれのセキュリティベンダーも、まずはエンドポイント対策を重要とし、さらにデータの保護も重視

いずれのセキュリティベンダーも、まずはエンドポイント対策を重要とし、さらにデータの保護も重視