更新日:2022年5月2日
ランサムウェアの脅威
表は、2022年3月に独立行政法人情報処理推進機構(通称IPA)から、発表された今年注意を要するサイバー空間における「情報セキュリティ10大脅威2022」の法人部分を抽出したものです。
順位1から10の脅威は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などの有識者約150名のメンバーからなる「10大脅威選考会」により選考されたものです。
そこでは、法人が一番注意を要するとされている脅威として「ランサムウェア」が1位に挙げられました。
今一度、「ランサムウェア」に関する知識・対策を確認しておきましょう。
独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2022」(外部サイト)
ランサムウェアとは
ランサムウェアとは、身代金という意味を持つ英単語の「Ransom(ランサム)」と、コンピュータウイルス等を含むコンピュータに何らかの処理を行うプログラムなどを指す「Software(ソフトウェア)」を組み合わせた造語です。
感染させた端末内のデータを暗号化などによって、利用できない状態にした上で、そのデータを利用できる状態に戻すことと引き換えに身代金(金銭)を要求するマルウェアの名称です。
ランサムウェアを使った最初のサイバー犯罪は、1989年(平成元年)に発生した「AIDS Trojan」というトロイの木馬型マルウェアによるもので、当時「暗号化ウイルス恐喝」と呼ばれていました。
以後30年以上にわたり、ランサムウェアと呼ばれるマルウェアは様々な手段・方法を使って姿を変えながら、世界各地で大規模な犯行に使用されています。
ランサムウェアによる犯罪の傾向
警察庁により公表されている企業・団体等におけるランサムウェア被害の件数は、年々増加しており、昨年(令和3年)下半期は、一昨年(令和2年)下半期と比べて約4倍になっています。
被害状況を件数別にみると、企業規模を問わず、犯行手口は二重恐喝が82件(85パーセント)であることが分かります。
また、感染経路は、テレワーク等の勤務に必要な機器として、社外から社内の端末にアクセスする際に、通信の内容を覗き見られることを防ぐために設置された「VPN機器」や、社外からアクセスする際に利用する「リモートデスクトップ」機能のある機器・システムの脆弱性、強度の弱いパスワード等の利用です。
| 令和2年下半期 | 令和3年上半期 | 令和3年下半期 | |
|---|---|---|---|
| 企業・団体等におけるランサムウェア被害の報告件数の推移 | 21件 | 61件 | 85件 |
| 大企業 | 中小企業 | 団体等 | |
|---|---|---|---|
| ランサムウェア被害件数(R3)146件 | 49件(34パーセント) | 79件(54パーセント) | 18件(12パーセント) |
| 二重恐喝 | 二重恐喝以外 | |
|---|---|---|
| 手口を確認できた被害(R3)97件 | 82件(85パーセント) | 15件(15パーセント) |
| VPN機器からの侵入 | リモートデスクトップからの侵入 | 不審メールやその添付ファイル | その他 | |
|---|---|---|---|---|
| 感染経路有効回答(R3)76件 | 41件(54パーセント) | 15件(20パーセント) | 5件(7パーセント) | 15件(20パーセント) |
構成比は小数点以下第1位を四捨五入しているため、合計しても必ずしも100とはなりません。
ランサムウェアによる犯罪の特徴
まず、ランサムウェアによる犯行の特徴として、「RaaS(ラーズ、Ransom as a Service)」と呼ばれるビジネスモデルが使われていることです。
これは、ソフトウェアを利用する期間に応じて、料金を支払うことで使うことができるパッケージの「SaaS(サーズ、Software as a Service)」のランサムウェア版です。
具体的には、「メールなどを使って端末に侵入」、「端末や端末が繋がっているネットワーク内に保存されているファイルの暗号化」、「暗号化したデータを使えるように復号するための身代金を要求」といったランサムウェア攻撃に必要なものをパッケージ化し、利用期間に応じた料金を支払うことで利用できるサービスのことです。
RaaSの提供者に利用料を支払えば、マルウェアや不正アクセスに関する知識や技術が未熟な者でも、簡単にランサムウェアを使うことが可能となり、犯罪者からすればとても便利な商品が用意されているという状況になっています。
次に、「二重恐喝」を仕掛けてくるということです。
「二重恐喝」は、2019年末ころから見られるようになった比較的新しい手口です。
それ以前の「データの暗号化し、金銭を要求する」という手口では、ランサムウェアによる被害を受けた企業が、暗号化されたデータと別にバックアップデータを保管していた場合、犯罪者は復号に要する身代金の支払いを受けられなくなります。
そこで犯罪者が考え出したのが、企業が保有する機密データや個人情報データを事前に盗み出し、暗号化したデータを復号のための身代金を要求するのに加え、支払われない場合には盗んだデータを公開するという脅迫行為を行う手口です。
二重恐喝は、金銭の支払いを要求するだけでなく、企業の保有データを盗むことから、そのRaaSには、ランサムウェアというメインの「データ暗号化マルウェア」の他に「情報窃取型マルウェア」等も同封されており、複合的に犯行が実行でき、金銭を得るための犯行用具まで整った犯罪になっていると言えます。
ランサムウェアの感染経路
犯罪者が企業にランサムウェアを感染させるために使用している経路の一つとして、ハードウェアやソフトウェアの脆弱性を悪用したものがあります。
脆弱性を悪用して端末内に侵入し、ランサムウェアに感染させ、身代金を要求したサイバー犯罪に「WannaCry(ワナクライ)」があります。
「WannaCry」は、2017年に日本を含む世界150か国で流行り、23万台ものWindows端末に感染したと言われるランサムウェアです。
「WannaCry」と同様の手法である脆弱性を悪用した犯罪は、今後も新たな脆弱性が発見・公表されれば、犯罪者がそれを悪用してきますので、脆弱な部分の修正・補完をしないまま放置すると、サイバー犯罪の被害に遭うリスクが高まります。
この他、脆弱性を悪用した攻撃としては、インターネット上に公開されているWebサイトの改ざんによる乗っ取りや、犯罪者が本物に類似した偽のWebサイトを立ち上げて、そのサイトを閲覧した者にランサムウェアを感染させるという方法が確認されています。
自社でWebサイトを作成・公開している場合、自社サイトを安全に維持するための対策をとらなければなりません。
また、Webサイトの開設、ホームページの作成をする事業者の方は、委託者と感染被害後にトラブルにならないようにするために、サポートを含めてより確実な対策をする必要があります。
その他の感染経路として、フィッシングメールやスパムメール・なりすましメール等を感染対象者や不特定多数に送りつけるというものがあります。
犯罪者は、金銭の入手を目的として、従業員がメールと一緒に送信されたファイルや、メール本文に表示されたURLを安易にクリックすることを期待して、メールを送信します。
そのメールは、取引先の名前を使ったり、興味を引きそうな時事的な内容が使われたりするので、現在のサイバー犯罪に使われるメールの特徴を知らなければ、被害に遭ってしまう確率が高くなることをすべての従業員に周知しなければなりません。
過去には、メールに書かれた日本語の使い方がおかしい、中国語の漢字が使われているなど、犯罪者によるメールか否かを見抜くことができましたが、現在では誤字脱字は見られるものの、正しい日本語が使われたものも多くあり、さらなる注意が必要となります。
情報発信元
警視庁 サイバーセキュリティ対策本部 対策担当
電話:03-3581-4321(警視庁代表)
