2023 年 6 月 27 日 Manu Santamaría Delgado 著

ランサムウェアは、脅威の全体を見ても依然として存在するどころか、拡大しています。組織によっては現在、ランサムウェア攻撃のコストを年間予算に組み込んでいる場合もあります。

当社の「インターネット・セキュリティ・レポート – 2022 年第 4 四半期」のデータによると、2022 年にエンドポイントで検出されたランサムウェアは、前年比で 627% も増加したことが明らかになっています。ランサムウェアは業界を選んで攻撃を仕掛けているわけではありませんが、レポートでは 2022 年に最も響を受けたのは製造業であることが明確に示されています。 製造業分野の脅威とトレンドに関する最近の研究によると、これらのデバイスに対する攻撃は 2022 年には 2021 年比で 87％ 増加し、その 72％ が、製造業を標的としていました。

ランサムウェア発展の歴史

ランサムウェアの性質は、サイバー犯罪者が恐喝の手口を洗練させるにつれて変化してきました。例えば、2021 年から 2022 年までのわずか 1 年間で、ランサムウェア攻撃が完了するまでの平均時間は 2 カ月から 4 日未満に短縮されました。この種のサイバー攻撃はいつ誕生し、どのようにして今日のような脅威へと進化したのでしょうか。

– 1989 年：最初のランサムウェア攻撃は、1989 年の世界保健機関（WHO）エイズ会議の後に発生しました。当時はデータが人質に取られ、HIV に関する調査を装って 189 ドルの支払いを要求するランサムウェアを含むフロッピーディスク 2 万枚が郵送されました。

– 2004 – 2006 年： 2004年、Windows システム上のファイルを暗号化し、復号化キーに 20 ドルを要求するという GPCode Archievius として知られる悪意のあるリンクを使ったフィッシング攻撃が実行されました。ランサムウェアの作者は、2006 年までこの Archievius に注力しましたが、システムのロックを解除するためのパスワードがすべて同じであり、そのエラーを攻撃の標的が発見したため、成功には至りませんでした。

– 2010 – 2015 年：2010 年代には、初期の暗号通貨に関連したロッカー型ランサムウェアが出現しました。2011 年には、WinLock が悪意のある Web サイトを閲覧したユーザを感染させ、デバイスへのアクセスをブロックしました。この攻撃は、法執行機関によって送信されたメッセージを装い、ビットコインで身代金を支払わなければ懲役刑に処されるとユーザを脅迫するものでした。2013 年には CryptoLocker が流行り、ロッカー型で暗号通貨を狙う亜種として、最初の 2 ヶ月間で 2,700 万ドル以上の利益を作者にもたらしました。2014 年には SimpleLocker が登場し、ランサムウェアは PC から他のデバイスへと飛躍を遂げ、Android デバイス上のファイルを暗号化する初のランサムウェアとなりました。そして 2015 年、同じくモバイルデバイスを標的とした LockerPin は、ユーザをデバイスからロックアウトし、暗証番号を変更する手口に利用されました。

– 2016 年：Petya マルウェアでは、被害者のハードドライブ全体を以前よりも素早くロックすることに成功したため、個々のファイルを暗号化せずに攻撃に成功した最初の亜種でした。

– 2017 年：この年、ランサムウェアは WannaCry ランサムワームのおかげで世界的な流行となり、150 カ国以上、さまざまな業界の数十万台のマシンに影響を与えました。NotPetya の亜種もこの年に出現し、ユーザのファイルを削除・破壊できる新たなワイプ機能を組み込みました。

– 2018-2022 年：現在から過去 5 年間で、ランサムウェアは史上最も有害な段階へと進化しました。その要因としては、攻撃者が被害者のデータを暗号化するだけでなく、窃盗するという二重の恐喝の利用や、大企業がターゲットとなる大物狙いの犯行があります。大物狙いは増加したものの、それにより過去に見られた中小企業へのランサムウェア攻撃がなくなったわけではないということも重要です。

– 2022-2023 年：2022 年は、ウォッチガードにとってランサムウェア検出数という点で記録的な年でした。2021 年との比較で、検出数は 627% 増加しています。ウォッチガードの分析では、Lockbit は数あるランサムウェアの中でも、一番に企業データの侵害に成功しているランサムウェアグループです。新しい Lockbit マルウェアの亜種も、絶え間なく出現しています。現在ランサムウェアのトレンドとしては、マルウェアのカスタマイズやサポート、ランサムウェアの支払いシステムといった機能やサービスを提供する RaaS （サービスとしてのランサムウェア）プラットフォームが増加傾向にあります。またゼロデイ攻撃は、ランサムウェア攻撃者が侵入経路として好んで使用している手法です。人工知能や機械学習などのテクノロジもこの業界では台頭しており、サイバー犯罪者が、ランサムウェアを巧妙に、かつ検出困難なものにするために利用しています。攻撃者は、特に侵入段階では通常、多大な時間と労力を投じる必要があるため、その際に人為的ミスのリスクを減らすため、自動化を活用しています。また、攻撃者が被害者の身辺情報を詳細に調査し、マルウェアを展開するための綿密な戦略を構築することで、攻撃のパーソナライゼーションが進んでいます。このような動きは、今日のサイバーセキュリティという 1 兆ドル規模の産業に、大きな影響を与えています。

ウォッチガードの EPDR ソリューションは、このような基準を満たすと同時に、あらゆる高度な脅威の予防、検知、封じ込め、対応能力を自動化します。ランサムウェアは絶え間なく進化し、ますます高度化しているという状況にあって、これは重要なポイントです。

ランサムウェアについて、またこの種の攻撃から企業を守る方法について詳しく知りたい方は、以下もご参照ください。
eBook – Escape the Ransomware Maze （英語）
4 Steps A Cyber Threat Actor Takes（英語）
法律事務所のランサムウェア対策: エンドポイントプロテクション
In Times of Ransom(every)ware, Unified Security is Essential（英語）