ランサムウェアはなぜ流行るのか - ローリスク・ハイリターンの「儲かる」攻撃

暗号型ランサムウェアが猛威を振るっている。4月13日、IPA(独立行政法人情報処理推進機構)は、2016年3月にランサムウェアの相談が急増したと注意喚起。1月に11件、2月に17件だった相談件数が3月は96件に跳ね上がり、被害は全体の88%に上ったという。4月も継続して相談が寄せられているとする。

ランサムウェアとは不正プログラムの一種。感染したPC全体やPC内のファイルを暗号化して使用不可能にした上で、復旧の代わりに金銭を要求するマルウェアだ。国内では、2015年12月、感染後にPC内のファイル拡張子が.vvvへ強制的に変更されデータが閲覧できなくなる「vvvウイルス」をきっかけに新たな脅威として注目されている。

ランサムウェアは「儲かる」攻撃

セキュリティ製品「ESET」などを取り扱うキヤノンITソリューションズは、社内で発見されたウイルスやランサムウェアといった不審なマルウェアを、解析・レポートする法人向け有償サービス「マルウェア解析サービス」を27日に発表。同日開催の発表会にて、ランサムウェアが流行する理由を「攻撃しやすい」「追跡が困難」「儲かる」と説明した。

攻撃のしやすさは、ランサムウェアを売り買いする市場がWeb上で確立したことが要因。「ランサムウェア販売サイトは少し検索すればすぐ見つかる状態」だといい、販売ページにはサービスの稼働状況や料金、攻撃時の暗号化方式といった"スペック"のほか、サポート窓口まで用意されているという。これにより、高い技術を持たない人でも手軽にランサムウェアを手に入れ、攻撃することが可能となっている。こうしたサイバー攻撃のサービス化は従来からウイルスやDoS攻撃などの販売にも見られていたが、ランサムウェアもそのひとつに加わったというわけだ(ウイルスやDoS攻撃の販売市場はすでに成熟しており、24時間サポートや数クリックでの手軽な購入をうたう犯罪サイトもある)。

身代金には足のつかないビットコインやプリペイドカードなどで請求したり、Torといった匿名ネットワークを利用したりすることで、攻撃者自身への追跡を困難にさせている。そして、標的型攻撃に比べ短時間で目的を達成でき、費用対効果が高いため「儲かるビジネス」だとしている。

また、インテルのセキュリティ部門として「マカフィー リブセーフ」などのセキュリティ製品を扱うマカフィーも警鐘を鳴らしている。世界中に配置した同社センサーからデータを収集、分析した結果、2015年第4四半期に新たに確認されたランサムウェアが、前四半期に比べ26％増加したという。

マカフィーでもランサムウェア流行の要因は、「オープンソース」としてランサムウェアのコードが公開されるといった利用障壁の低さ、逮捕リスクのわりに金銭的な見返りが大きいことが、攻撃者に注目されている要因だとしている。同社Blogでは、2015年10月に行われた大規模なランサムウェア攻撃キャンペーンで、約3億2500万米ドル(約348億5千万円)の身代金被害が確認されたことが紹介されている。

感染経路はメールが主流

ランサムウェアの感染経路はメールが主流。例えばランサムウェア「Locky」の場合、まずマルウェア(JavaScriptファイル)が添付されたメールが送られ、これがPCに感染すると、攻撃者が用意したC&Cサーバを通じLockyが自動ダウンロードされる。これら処理はバックグラウンドで動くためユーザーは気づきにくい。ファイルが暗号化されたのちに脅迫文が表示され、初めてユーザーは感染に気づく……といった具合だ。

ランサムウェアの感染では、身代金を払ってもデータが復元できるとは限らない。解析が進んだ一部ランサムウェアに対しては、暗号化されたデータを復元するサービスやツールも登場しているが、個人での対策は、まず怪しい添付ファイルを開かないことや、ランサムウェア対策機能のあるセキュリティソフトウェアをインストールすること。しかし、現状最も有効といえるのは感染後のデータ復旧だ。主要なデータを普段PCと切り離されている外付けデバイスやクラウドストレージなどに、常にバックアップしておくことが重要だろう。