【前編】ランサムウェアとは?分かりやすく解説|感染経路や具体的な予防策

部分参考FROM insights

先日お客様が日本、ドイツ、中国で三社同時に.malloxランサムウェアに感染したとの連絡を受けました。.malloxランサムウェアは主にSpring Boot、Weblogic、OA、金融ソフトウェアなど、企業の Web アプリケーションおよびデータベース サーバーを攻撃します。ターゲットデバイスのアクセス許可を獲得し、イントラネット内を横方向に移動してより多くのデバイスを取得しようとします。権限を取得後暗号化プログラムを実行してデバイスのファイルを暗号化してしまいます。

Mallox (別名Target Company ) は、2021 年 10 月に拡散を開始しました。初期段階では主にSQLGlobelmposter チャネルを介して(データベースパスワードを取得し、ランサムウェアをリモートで配信することによって) 拡散しました。この攻撃方法は、Globelmposter ランサムウェアによって使用されています。今年はGlobelmposterランサムウェアの拡散は徐々に減少し、Malloxが猛威をふるっています。

次にこの.malloxランサムウェアの性質について詳しく見てみましょう。

目次

ランサムウェアとは?

ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。つまり、身代金を要求するために使用されるソフトウェアがランサムウェアと呼ばれています。

よく聞かれる質問に、マルウェアとランサムウェアの違いは何か?というのがあります。

マルウェアとは大きく、悪意を持ってコンピューターシステムに被害をもたらすソフトウェアの事です。
ランサムウェアはマルウェアの一種で、被害を受けた組織に身代金を要求するために、コンピューターシステムに保存されている重要情報を暗号化し、流出させたり、コンピューターをロックして使用できなくしたりするようなソフトウェアです。

一般的なランサムウェアによる攻撃の流れを解説します。

① 攻撃者はメールの添付ファイルやネットワーク侵入などの手段を用いてマルウェアを仕掛けます。
② メールやWebサイトを通じて、ランサムウェアが攻撃対象組織のコンピューターシステムに送り込まれ感染します。
③ ランサムウェアはコンピューターシステム上のファイルを暗号化する、流出させるなどの方法を用いて、コンピューターシステムを使用不可にしたり、重要情報を搾取したりします。
④ 攻撃者はこれらを被害から回復する代償として身代金を要求します。
実際のランサムウェアグループによる攻撃では他にも、管理者権限を乗っ取る事によって活動を隠蔽し、またバックアップ等も使用不可にして復旧を困難にするといった事も行います。

ランサムウェアの状況

先日、メジャーなランサムウェアグループContiの内情が流出したConti Leaksで明らかになったように、ランサムウェアの運用は組織化・ビジネス化され、ほとんど会社組織と言っても良い構成になってきています。ランサムウェア運用者グループは、ダークウェブ等を通じて専門的な知識を持つ技術者、実際の運用に関わる多数の人員などを雇い入れ、非常に高度な技術と実行力を身につけてきています。

それにより、報道等で伝わっている通り、海外では企業が活動停止に追い込まれ、それにより重要インフラが停止するような被害も発生しており、身代金の額が数億から数十億円に高騰するなど、最も深刻な被害を発生させている脅威の一つとなっています。

国内においても、製造系企業が操業停止に追い込まれると行った被害が発生しており、IPAの「情報セキュリティ10大脅威 2022」においても、2021年から2年連続して、「ランサムウェアによる被害」が「組織」における脅威の1位として取り上げられているなど、ランサムウェアに対して適切な防御策を講じる事は、企業活動を継続する上で重要な課題となっています。

ランサムウェアの被害は世界中で広がっておりソフォス株式会社が世界26カ国5,000人のIT管理者を対象とした調査では、約半数の企業が2019年にランサムウェアによる攻撃を受けたと回答しました。

※「昨年、ランサムウェア攻撃を受けましたか?」全体数:回答者 5,000 名 (2020年)

参考:ソフォス株式会社「ランサムウェアの現状2020年版」

ランサムウェアに感染した場合の対処法やランサムウェアに感染しないための対策は後から詳しくご紹介しますが、まずは、

 ・ランサムウェアは世界各国で被害が拡大しているコンピューターウイルス

・ランサムウェアに感染するとデータが暗号化されたりパソコンやスマートフォンがロックされたりする

・ランサムウェアから解放する条件として身代金を要求させる

 という3つのポイントを押さえておきましょう。

 

ランサムウェアに感染した場合の被害

ランサムウェアに感染したときの被害としては

①ファイルが暗号化されて開けなくなる

②パソコンがロックされて使えなくなる

③身代金を要求される

④業務が一時的に停止する

⑤個人情報や機密情報が流出する危険性がある

という5つがあります。どのような被害を及ぼすのが具体的に見ていきましょう。

 

ファイルが暗号化されてしまい開けなくなる

ランサムウェアによる被害として最も多いのが、重要なファイルが開けなくなってしまうというものです。 

 

ランサムウェアに感染するとファイルの拡張子が書き換えられてしまい暗号化されてしまうことが多く、個人情報や写真、ファイルなどの重要なデータがパソコン上で開けなくなってしまいます。 

ソフォス株式会社が世界26カ国5,000人のIT管理者を対象とした調査では、ランサムウェアによる被害の四分の三でファイルの暗号化被害が発生していることも分かっています。 

実際に神戸大学では2016年にランサムウェアに感染し、業務用パソコン2台でファイル名が拡張子「zepto」へと書き換えられてしまいました。 

「zepto」拡張子に書き換えられたファイルは暗号化されてしまい、読み書きが不能になったとのことです。機密情報や個人情報、重要な書類等が暗号化されてしまい開けなくなってしまうのは、ランサムウェアの恐しいところでしょう。 

パソコンがロックされて使えなくなる

ランサムウェアには、画面ロック型と呼ばれる種類があります。 

 

画面ロック型のランサムウェアに感染してしまうとパソコンやスマートフォンを起動したときにロック画面が表示され、ログインすることすらできなくなってしまいます。 

画面には「あなたのパソコンはロックされています」などの表示がされることもあるようです。画面ロック型のランサムウェアは少数だと言われていますが、パソコンやスマートフォンがロックされてしまうとあらゆる操作ができなくなり業務に多大な影響を及ぼすでしょう。

制限解除のために身代金などを要求される

 

暗号化されたファイルを元に戻す、パソコンやスマートフォンのロックを解除することを条件に、身代金を要求されるところがランサムウェアの恐ろしいところです。

 

「一般社団法人JPCERTコーディネーションセンター」が国内の184組織を対象に実施した調査では、身代金請求額として少ない場合は10万円以下、多い場合で100万円以上が要求されていることが分かりました。

ランサムウェアを使うハッカー集団の狙いは多額の現金や仮想通貨ですが、身代金を払ったからといって必ずしもロック解除や暗号化の解消につながるとは限りません。

焦って身代金の支払いに応じず、冷静に対処することが大切です。

一時的に業務が停止してしまう

ランサムウェアに感染してしまうと業務に必要なパソコンが使えなくなったりデータや資料が閲覧できなくなったりするため、一時的に業務停止に追い込まれてしまいます。 

通常業務に戻るためのダウンタイムは平均で1~2週間だと言われており、企業の主要パソコンや工場用のパソコンだった場合には大きな損害となるでしょう。 

被害の規模が大きい場合には、復旧までに1ヶ月ほどかかってしまうことも珍しくありません。

また、業務が停止するだけでなくランサムウェアの被害状況を把握しデータやパソコンの復旧を試みる必要もあり、復旧に向けて資金や調査費などもかさみます。

このように、ランサムウェアに感染すると通常の業務に大きな影響を及ぼす可能性があります。

個人情報や機密情報が流出する危険性がある

ランサムウェアの手口は年々巧妙になってきており、身代金を要求するだけでなくパソコン内の重要なデータを盗み売買することで利益を得ているケースがあるようです。 

 

企業の個人情報や機密情報が流出してしまうと、個人情報や機密情報を管理するうえで大きな問題となります。

 

実際に2020年11月には株式会社カプコンはランサムウェアによる攻撃を受け、個人情報や会社情報が流出しました。データが暗号化されるだけでなく流出し最悪の場合には売買させる可能性があるところも、知っておきたい被害の1つです。

 

 

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次