「ランサムウェア」の版間の差分
削除された内容 追加された内容
m 外部リンクの修正 http:// -> https:// (internet.watch.impress.co.jp) (Botによる編集) |
|||
| (9人の利用者による、間の14版が非表示) | |||
| 18行目: | 18行目: | ||
いくつかのランサムウェアのペイロードには、[[Windows XP]]の[[マイクロソフトライセンス認証]]の通知を模倣して、コンピュータのWindowsが偽造された、または再[[アクティベーション]]が必要である、と虚偽の主張をするものがある<ref name=cw-ranactivate/>。これら<!--の戦術-->は、ランサムウェアを除去するために、ファイルを復号するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るよう利用者に要求する。 |
いくつかのランサムウェアのペイロードには、[[Windows XP]]の[[マイクロソフトライセンス認証]]の通知を模倣して、コンピュータのWindowsが偽造された、または再[[アクティベーション]]が必要である、と虚偽の主張をするものがある<ref name=cw-ranactivate/>。これら<!--の戦術-->は、ランサムウェアを除去するために、ファイルを復号するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るよう利用者に要求する。 |
||
この過程で、利用者はマルウェアの作者に金銭を払うように促される。支払い方法には、しばしば、銀行[[振込]]、[[ビットコイン]]、有料[[ショートメッセージサービス|テキストメッセージ]]<ref name="zdnet">{{Cite web|title = New ransomware locks PCs, demands premium SMS for removal|publisher = [[ZDNet]]|first = Dancho|last = Danchev|date = 2009-04-22|accessdate = 2009-05-02|url = http://blogs.zdnet.com/security/?p=3197}}</ref>、または |
この過程で、利用者はマルウェアの作者に金銭を払うように促される。支払い方法には、しばしば、銀行[[振込]]、[[ビットコイン]]、有料[[ショートメッセージサービス|テキストメッセージ]]<ref name="zdnet">{{Cite web|title = New ransomware locks PCs, demands premium SMS for removal|publisher = [[ZDNet]]|first = Dancho|last = Danchev|date = 2009-04-22|accessdate = 2009-05-02|url = http://blogs.zdnet.com/security/?p=3197}}</ref>、または{{仮リンク|Ukash|en|Ukash}}や{{仮リンク|Paysafecard|en|Paysafecard}}のようなオンライン決済[[金券]]サービスが用いられる<ref name=tw-russia/><ref name=cw-pirated>{{cite web|title=Ransomware plays pirated Windows card, demands $143 |url=http://www.computerworld.com/s/article/9219745/Ransomware_plays_pirated_Windows_card_demands_143|publisher=Computerworld|accessdate=9 March 2012}}</ref><ref name="arstechnica">{{Cite web|title = New Trojans: give us $300, or the data gets it!|publisher = Ars Technica|first = Jacqui|last = Cheng|date = 2007-07-18|accessdate = 2009-04-16|url = http://arstechnica.com/security/news/2007/07/new-trojans-give-us-300-or-the-data-gets-it.ars}}</ref>。 |
||
== 歴史 == |
== 歴史 == |
||
=== {{Visible anchor|暗号化ランサムウェア}} === |
=== {{Visible anchor|暗号化ランサムウェア}} === |
||
初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「 |
初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「{{仮リンク|AIDS Trojan|en|AIDS_(Trojan_horse)}}」というトロイの木馬(「PC Cyborg」という名称でも知られている)である。 |
||
そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189[[米ドル]]を支払う必要があると利用者に主張する。ポップは自身の行為を裁判で[[精神異常抗弁|精神異常]]であると宣告されたが、彼はマルウェアで上げた利益を[[エイズ]]の研究資金に使うと約束した<ref name=tr-extortion>{{cite web|last=Kassner|first=Michael|title=Ransomware: Extortion via the Internet|url=http://www.techrepublic.com/blog/security/ransomware-extortinia-the-internet/2976|publisher=TechRepublic|accessdate=10 March 2012}}</ref>。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングと{{仮リンク|モチ・ユング|en|Moti Yung}}によって紹介された。 |
そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189[[米ドル]]を支払う必要があると利用者に主張する。ポップは自身の行為を裁判で[[精神異常抗弁|精神異常]]であると宣告されたが、彼はマルウェアで上げた利益を[[エイズ]]の研究資金に使うと約束した<ref name=tr-extortion>{{cite web|last=Kassner|first=Michael|title=Ransomware: Extortion via the Internet|url=http://www.techrepublic.com/blog/security/ransomware-extortinia-the-internet/2976|publisher=TechRepublic|accessdate=10 March 2012}}</ref>。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングと{{仮リンク|モチ・ユング|en|Moti Yung}}によって紹介された。 |
||
AIDS Trojanは[[共通鍵暗号]]だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、[[RSA暗号]]と |
AIDS Trojanは[[共通鍵暗号]]だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、[[RSA暗号]]と{{仮リンク|Tiny Encryption Algorithm(TEA暗号)|en|Tiny_Encryption_Algorithm}}を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「{{仮リンク|暗号ウイルス学|en|cryptovirology}}」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した<ref name="young" />。 |
||
猛威を振るったランサムウェアの例は、2005年5月に顕著になった<ref>{{Cite web|url = http://www.networkworld.com/buzz/2005/092605-ransom.html?page=3 |title=Files for ransom|first = Susan|last = Schaibly|publisher = [[Network World]]|date = 2005-09-26|accessdate = 2009-04-17}}</ref>。 |
猛威を振るったランサムウェアの例は、2005年5月に顕著になった<ref>{{Cite web|url = http://www.networkworld.com/buzz/2005/092605-ransom.html?page=3 |title=Files for ransom|first = Susan|last = Schaibly|publisher = [[Network World]]|date = 2005-09-26|accessdate = 2009-04-17}}</ref>。 |
||
2006年中頃には、 |
2006年中頃には、{{仮リンク|Gpcode|en|PGPCoder}}、TROJ.RANSOM.A、{{仮リンク|Archiveus|en|Archiveus}}、[[Krotten]]、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った<ref>{{Cite web|title = Ransomware getting harder to break|first = John|last = Leyden|date = 2006-07-24 |accessdate = 2009-04-18|url = http://theregister.co.uk/2006/07/24/ransomware/|publisher = The Register}}</ref>。 |
||
2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている<ref name="zdnet-2">{{cite web|title = Blackmail ransomware returns with 1024-bit encryption key|url = http://blogs.zdnet.com/security/?p=1251|first = Ryan|last = Naraine|date = 2008-06-06|accessdate = 2009-05-03|publisher = [[ZDnet]]}}</ref><ref name="securityfocus">{{Cite web|title = Ransomware resisting crypto cracking efforts|url = http://www.securityfocus.com/news/11523|publisher = [[SecurityFocus]]|first = Robert|last = Lemos|date = 2008-06-13|accessdate = 2009-04-18}}</ref><ref name="washingtonpost">{{Cite web|title = Ransomware Encrypts Victim Files With 1,024-Bit Key|first = Brian|last = Krebs|publisher = Washington Post|date = 2008-06-09|accessdate = 2009-04-16|url = http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html}}</ref><ref name="kapersky">{{Cite web|url = http://www.kaspersky.com/news?id=207575650|title = Kaspersky Lab reports a new and dangerous blackmailing virus|publisher = [[Kaspersky Lab]]|date = 2008-06-05|accessdate = 2008-06-11}}</ref>。 |
2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている<ref name="zdnet-2">{{cite web|title = Blackmail ransomware returns with 1024-bit encryption key|url = http://blogs.zdnet.com/security/?p=1251|first = Ryan|last = Naraine|date = 2008-06-06|accessdate = 2009-05-03|publisher = [[ZDnet]]}}</ref><ref name="securityfocus">{{Cite web|title = Ransomware resisting crypto cracking efforts|url = http://www.securityfocus.com/news/11523|publisher = [[SecurityFocus]]|first = Robert|last = Lemos|date = 2008-06-13|accessdate = 2009-04-18}}</ref><ref name="washingtonpost">{{Cite web|title = Ransomware Encrypts Victim Files With 1,024-Bit Key|first = Brian|last = Krebs|publisher = Washington Post|date = 2008-06-09|accessdate = 2009-04-16|url = http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html}}</ref><ref name="kapersky">{{Cite web|url = http://www.kaspersky.com/news?id=207575650|title = Kaspersky Lab reports a new and dangerous blackmailing virus|publisher = [[Kaspersky Lab]]|date = 2008-06-05|accessdate = 2008-06-11}}</ref>。 |
||
| 35行目: | 35行目: | ||
2014年には[[ネットワークアタッチトストレージ|NAS]]を標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している<ref>[https://internet.watch.impress.co.jp/docs/news/662143.html NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる] [[2014年]][[8月13日]]17時33分(株式会社インプレス「INTERNET Watch」)</ref>。 |
2014年には[[ネットワークアタッチトストレージ|NAS]]を標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している<ref>[https://internet.watch.impress.co.jp/docs/news/662143.html NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる] [[2014年]][[8月13日]]17時33分(株式会社インプレス「INTERNET Watch」)</ref>。 |
||
また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種[[KRSWLocker]](通称カランサムウェア)が発見され「新経済サミット2015」において紹介された<ref>[ |
また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種[[KRSWLocker]](通称カランサムウェア)が発見され「新経済サミット2015」において紹介された<ref>[https://japan.cnet.com/article/35063270/ プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan] </ref><ref>[https://web.archive.org/web/20141219161920/http://www.yomiuri.co.jp/it/security/goshinjyutsu/20141219-OYT8T50085.html 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE)] </ref>。 |
||
===非暗号化ランサムウェア=== |
===非暗号化ランサムウェア=== |
||
| 45行目: | 45行目: | ||
2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された<ref name=ars-cpvirginia>{{cite web|title=Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges|url=http://arstechnica.com/tech-policy/2013/07/man-gets-ransomware-porn-pop-up-turns-self-in-on-child-porn-charges/|work=Ars Technica|accessdate=31 July 2013}}</ref>。 |
2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された<ref name=ars-cpvirginia>{{cite web|title=Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges|url=http://arstechnica.com/tech-policy/2013/07/man-gets-ransomware-porn-pop-up-turns-self-in-on-child-porn-charges/|work=Ars Technica|accessdate=31 July 2013}}</ref>。 |
||
=== 攻撃対象の移り変わり === |
|||
| ⚫ | ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延した[[WannaCry]]は、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった<ref>{{Cite web |last=Ranger |first=Steve |coauthors=石橋啓一郎 |date=2017-05-19 |url=https://japan.zdnet.com/article/35101366/ |title=ランサムウェアはいかに世界的な脅威へと深刻化したか |publisher=[[ZDNet]] |accessdate=2017-10-14}}</ref>。 |
||
=== 二重恐喝 === |
=== 二重恐喝 === |
||
2019年後半から二重恐喝(英語:Double-Extortion Ransomware Attack)と呼ばれる方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。 |
2019年後半から二重恐喝 (英語:Double-Extortion Ransomware Attack) と呼ばれる方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。[[EU一般データ保護規則]] (GDPR) の制裁金よりは安いとして、個人情報流出に対する企業へのペナルティを利用している様子も見られる<ref>Deloitte Cyber Trend & Intelligence Report 2020 出版者:[[デロイト トウシュ トーマツ]]</ref>。 |
||
===分業( RaaS )=== |
===分業( RaaS )=== |
||
開発だけを行い攻撃は技術力のない依頼主や攻撃したい人間に販売することで利益を上げる手法 RaaS( Ransomware as a Service、サービスとしてのランサムウェア)が見られるようになった。 |
ランサムウェアの開発だけを行い、攻撃は技術力のない依頼主や攻撃したい人間にランサムウェアを販売することで利益(得た身代金からの分配も含む)を上げる手法 RaaS( Ransomware as a Service、サービスとしてのランサムウェア)が見られるようになった。 |
||
=== 被害の増加とターゲットの選別 === |
|||
=== 2021年 === |
|||
2021年、独立行政法人[[情報処理推進機構]](IPA)が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった<ref>[https://www.ipa.go.jp/security/vuln/10threats2021.html 情報セキュリティ10大脅威 2021] 出版者:独立行政法人[[情報処理推進機構]](IPA)</ref>。サイバーセキュリティ会社{{ill2|CrowdStrike|en|CrowdStrike}}が行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上(52%)がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている<ref>[https://www.crowdstrike.jp/press-releases/crowdstrike-releases-global-security-attitude-survey-2020/ CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表] CrowdStrike</ref>。 |
2021年、独立行政法人[[情報処理推進機構]](IPA)が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった<ref>[https://www.ipa.go.jp/security/vuln/10threats2021.html 情報セキュリティ10大脅威 2021] 出版者:独立行政法人[[情報処理推進機構]](IPA)</ref>。サイバーセキュリティ会社{{ill2|CrowdStrike|en|CrowdStrike}}が行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上(52%)がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている<ref>[https://www.crowdstrike.jp/press-releases/crowdstrike-releases-global-security-attitude-survey-2020/ CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表] CrowdStrike</ref>。 |
||
| ⚫ | ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延した[[WannaCry]]は、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった<ref>{{Cite web|和書 |last=Ranger |first=Steve |coauthors=石橋啓一郎 |date=2017-05-19 |url=https://japan.zdnet.com/article/35101366/ |title=ランサムウェアはいかに世界的な脅威へと深刻化したか |publisher=[[ZDNet]] |accessdate=2017-10-14}}</ref>。2023年の調査では、主要15カ国の中で日本だけ被害が減少していることが確認された<ref name=":0">{{Cite web |title=KADOKAWA襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く |url=https://www.sankei.com/article/20240619-4HAABW3PMNJ6HIPUVNR65I7JYQ/ |website=産経新聞:産経ニュース |date=2024-06-19 |access-date=2024-06-19 |language=ja |first=福田 |last=涼太郎}}</ref>。これは日本企業の多くが災害を警戒してデータのバックアップを徹底している、反社会勢力への利益供与を行わない方針の浸透、身代金がサイバー犯罪保険では保証されないなどの理由で身代金を支払わない選択を続けていることから、犯行側が割に合わないと判断しターゲットとして選ばれなくなったという見方がある<ref name=":0" />。 |
||
== 顕著な例 == |
== 顕著な例 == |
||
=== Reveton === |
=== Reveton === |
||
2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadel[[トロイの木馬 (ソフトウェア)|トロイ]]をベースとし(それ自身は |
2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadel[[トロイの木馬 (ソフトウェア)|トロイ]]をベースとし(それ自身は{{仮リンク|Zeus|en|Zeus_(malware)}}を基にしている)、そのペイロードは警察を自称した警告を表示し(このことから「警察トロイ」のニックネームが付いた)、[[海賊版]]ソフトや[[児童ポルノ]]をダウンロードしたなどの違法行為にコンピュータが使われたと主張する<ref name=reg-reve>{{cite web|title=Fake cop Trojan 'detects offensive materials' on PCs, demands money|url=http://www.theregister.co.uk/2012/04/05/police_themed_ransomware/|publisher=The Register|accessdate=15 August 2012}}</ref>。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンに[[IPアドレス]]も表示し、利用者に記録されているという錯覚を与えるためにコンピュータの[[Webカメラ]]の映像をいくつか表示する<ref name=tw-russia/><ref name="iw-fbi"/>。 |
||
Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した<ref name=tw-russia/>。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種は[[ロンドン警視庁]]、[[著作権管理団体]]の |
Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した<ref name=tw-russia/>。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種は[[ロンドン警視庁]]、[[著作権管理団体]]の{{仮リンク|PRS for Music|en|PRS_for_Music}}(特に違法な音楽をダウンロードしたと利用者を告発した)、{{仮リンク|Police Central e-Crime Unit|en|Police_Central_e-Crime_Unit}}のような組織の標記を用いた<ref name=tw-pecu>{{cite web|last=Dunn|first=John E.|title=Police alert after ransom Trojan locks up 1,100 PCs|url=http://news.techworld.com/security/3373656/police-issue-alert-after-ransom-trojan-infects-1100-pcs/|publisher=TechWorld|accessdate=16 August 2012}}</ref>。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした<ref name=tw-russia>{{cite web|last=Dunn|first=John E.|title=Ransom Trojans spreading beyond Russian heartland|url=http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-russian-heartland/|publisher=TechWorld|accessdate=10 March 2012}}</ref><ref name=hsfi-ransom />。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。 |
||
2012年5月には、[[トレンドマイクロ]]の研究者が[[アメリカ]]と[[カナダ]]向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた<ref name="pcw-canusa">{{cite web|last=Constantian|first=Lucian|url=http://www.pcworld.com/businesscenter/article/255303/policethemed_ransomware_starts_targeting_us_and_canadian_users.html|title=Police-themed Ransomware Starts Targeting US and Canadian Users|publisher=PC World|accessdate=11 May 2012}}</ref>。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これは |
2012年5月には、[[トレンドマイクロ]]の研究者が[[アメリカ]]と[[カナダ]]向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた<ref name="pcw-canusa">{{cite web|last=Constantian|first=Lucian|url=http://www.pcworld.com/businesscenter/article/255303/policethemed_ransomware_starts_targeting_us_and_canadian_users.html|title=Police-themed Ransomware Starts Targeting US and Canadian Users|publisher=PC World|accessdate=11 May 2012}}</ref>。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これは{{仮リンク|Green Dot Corporation|en|Green_Dot_Corporation}}カードを使って200米ドルの罰金を払う必要があると主張するものである<ref name="FBI" /><ref name="IC3" /><ref name=iw-fbi>{{cite web|title=Reveton Malware Freezes PCs, Demands Payment|url=http://www.informationweek.com/security/attacks/reveton-malware-freezes-pcs-demands-paym/240005598|publisher=InformationWeek|accessdate=16 August 2012}}</ref>。 |
||
=== CryptoLocker === |
=== CryptoLocker === |
||
| 78行目: | 77行目: | ||
=== CryptoLocker.FとTorrentLocker === |
=== CryptoLocker.FとTorrentLocker === |
||
2014年9月、新種のランサムウェアがオーストラリアを襲った。 |
2014年9月、新種のランサムウェアが[[オーストラリア]]を襲った。 |
||
(「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。) |
(「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。) |
||
「CryptoLocker.F」の命名は、[[シマンテック]]によるものである。 |
「CryptoLocker.F」の命名は、[[シマンテック]]によるものである。 |
||
| 85行目: | 84行目: | ||
被害者には著名なところでは[[オーストラリア放送協会]]が含まれていた<ref name=arn-cryptolockerf>{{cite news|title=Australia specifically targeted by Cryptolocker: Symantec |url=http://www.arnnet.com.au/article/556598/australia-specifically-targeted-by-cryptolocker-symantec/|date=2014-10-03 |work=ARNnet |accessdate=2016-01-04}}</ref>。 |
被害者には著名なところでは[[オーストラリア放送協会]]が含まれていた<ref name=arn-cryptolockerf>{{cite news|title=Australia specifically targeted by Cryptolocker: Symantec |url=http://www.arnnet.com.au/article/556598/australia-specifically-targeted-by-cryptolocker-symantec/|date=2014-10-03 |work=ARNnet |accessdate=2016-01-04}}</ref>。 |
||
この時期、別のトロイの木馬「TorrentLocker」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった<ref name=pcworld-torrentlocker>{{cite web |title=Encryption goof fixed in TorrentLocker file-locking malware |url=http://www.pcworld.com/article/2685432/encryption-goof-fixed-in-torrentlocker-filelocking-malware.html |website=PC World |accessdate=2016-01-04}}</ref>。 |
この時期、別のトロイの木馬「{{仮リンク|TorrentLocker|en|TorrentLocker}}」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった<ref name=pcworld-torrentlocker>{{cite web |title=Encryption goof fixed in TorrentLocker file-locking malware |url=http://www.pcworld.com/article/2685432/encryption-goof-fixed-in-torrentlocker-filelocking-malware.html |website=PC World |accessdate=2016-01-04}}</ref>。 |
||
=== Cryptowall === |
=== Cryptowall === |
||
| 97行目: | 96行目: | ||
2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった<ref name=heimdal>{{cite web |date=2015-11-05 |author=Andra Zaharia |title=Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect |url=https://heimdalsecurity.com/blog/security-alert-cryptowall-4-0-new-enhanced-and-more-difficult-to-detect/ |website=HEIMDAL |accessdate=2016-01-05 }}</ref> |
2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった<ref name=heimdal>{{cite web |date=2015-11-05 |author=Andra Zaharia |title=Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect |url=https://heimdalsecurity.com/blog/security-alert-cryptowall-4-0-new-enhanced-and-more-difficult-to-detect/ |website=HEIMDAL |accessdate=2016-01-05 }}</ref> |
||
<ref>{{cite news |date=2015-12-05| author=鈴木 聖子 |title=ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 |url= |
<ref>{{cite news |date=2015-12-05| author=鈴木 聖子 |title=ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 |url=https://www.itmedia.co.jp/enterprise/articles/1512/04/news057.html |website=IT media |accessdate=2016-01-05}}</ref>。 |
||
=== KRSWLocker === |
=== KRSWLocker === |
||
{{main|KRSWLocker}} |
{{main|KRSWLocker}} |
||
2014年に発見された、初めて日本のユーザーを標的としたランサムウェア<ref>{{Cite web|url=http://japan.zdnet.com/article/35057991/|title=日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ:シマンテック|publisher=ZDNet Japan|date=2014-12-17|accessdate=2015-5-20}}</ref><ref name="yool085">{{Cite web|url=http://www.yomiuri.co.jp/it/security/goshinjyutsu/20141219-OYT8T50085.html|title=日本語ランサムウェア「犯人」インタビュー|publisher=読売ONLINE IT&MEDIA|date=2014-12-19|accessdate=2015-5-20}}</ref>。 |
2014年に発見された、初めて日本のユーザーを標的としたランサムウェア<ref>{{Cite web|和書|url=http://japan.zdnet.com/article/35057991/|title=日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ:シマンテック|publisher=ZDNet Japan|date=2014-12-17|accessdate=2015-5-20}}</ref><ref name="yool085">{{Cite web|和書|url=https://web.archive.org/web/20141219161920/http://www.yomiuri.co.jp/it/security/goshinjyutsu/20141219-OYT8T50085.html|title=日本語ランサムウェア「犯人」インタビュー|publisher=読売ONLINE IT&MEDIA|date=2014-12-19|accessdate=2015-5-20}}</ref>。 |
||
=== Petya === |
=== Petya === |
||
| 108行目: | 107行目: | ||
=== KeRanger === |
=== KeRanger === |
||
2016年3月に出現したKeRangerは、[[macOS]] オペレーティングシステム上の最初のマルウェアかつランサムウェアである<ref>{{Cite web |
2016年3月に出現したKeRangerは、[[macOS]] オペレーティングシステム上の最初のマルウェアかつランサムウェアである<ref>{{Cite web|和書|author= Claud Xiao and Jin Chen |date=2016-03-07 |url=https://www.paloaltonetworks.jp/company/in-the-news/2016/0307_new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer.html |title=新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害 |work= |publisher=paloalto |accessdate=2016-03-14}}</ref>。 |
||
これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル(.rtf)に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。 |
これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル(.rtf)に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。 |
||
| 120行目: | 119行目: | ||
{{main|WannaCry}} |
{{main|WannaCry}} |
||
2017年5月13日に出現した {{en|WannaCry/Wcry}}(泣きたくなる)という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分の[[パーソナルコンピュータ]]([[Microsoft Windows]])や、[[サーバ]]に置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる<ref>{{cite news |
2017年5月13日に出現した {{en|WannaCry/Wcry}}(泣きたくなる)という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分の[[パーソナルコンピュータ]]([[Microsoft Windows]])や、[[サーバ]]に置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる<ref>{{cite news |
||
| url = |
| url = https://xtech.nikkei.com/it/atcl/column/17/040700124/051500002/ |
||
| title = ランサムウエア「WannaCry」関連記事 |
| title = ランサムウエア「WannaCry」関連記事 |
||
| newspaper = ITpro |
| newspaper = ITpro |
||
| 127行目: | 126行目: | ||
| accessdate = 2017-05-17 |
| accessdate = 2017-05-17 |
||
}}</ref>。 |
}}</ref>。 |
||
また、このランサムウェアは日本の[[マスメディア]]でも報道され、知名度の高いランサムウェアでもある。 |
|||
=== GoldenEye === |
=== GoldenEye === |
||
2017年6月、[[ウクライナ]]を中心に世界各地に拡大した<ref>[https://internet.watch.impress.co.jp/docs/news/1067653.html 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress]</ref>。ウクライナの国営電力会社やウクライナの首都[[キーウ]]の国際空港に感染。[[チ |
2017年6月、[[ウクライナ]]を中心に世界各地に拡大した<ref>[https://internet.watch.impress.co.jp/docs/news/1067653.html 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress]</ref>。ウクライナの国営電力会社やウクライナの首都[[キーウ]]の国際空港に感染。[[チェルノブイリ原子力発電所]]の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。 |
||
=== REvil === |
=== REvil === |
||
| 144行目: | 145行目: | ||
== 緩和策 == |
== 緩和策 == |
||
他の形態の[[マルウェア]]と同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。 |
他の形態の[[マルウェア]]と同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい<ref>{{cite news |date=2013-11-16 |title=Yuma Sun weathers malware attack |url=http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html |accessdate=2016-01-05 |work=Yuma Sun}}</ref>。また、ネットワーク越しのストレージ(ネットワークドライブ)中のデータも暗号化されてしまう懸念がある。 |
||
特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい<ref>{{cite news |date=2013-11-16 |title=Yuma Sun weathers malware attack |url=http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html |accessdate=2016-01-05 |work=Yuma Sun}}</ref>。 |
|||
また、ネットワーク越しのストレージ(ネットワークドライブ)中のデータも暗号化されてしまう懸念がある。 |
|||
例えランサムウェアに乗っ取られても、物理的に遮断されたストレージデバイス(例:取り外し可能な[[補助記憶装置]])に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる。 |
例えランサムウェアに乗っ取られても、物理的に遮断されたストレージデバイス(例:取り外し可能な[[補助記憶装置]])に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる。ただし、侵入の為に把握した通信経路や通信機器の改変を受けている可能性があるため、被害の度合いによってはシステム構築から一新する必要もあり、被害を受けた際の迅速な手配や運用策をあらかじめ講じることが求められる。 |
||
身代金を支払わない選択を徹底することで、ターゲットから外されるという見解がある<ref name=":0" />。 |
|||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
== 脚注 == |
== 脚注 == |
||
| 163行目: | 158行目: | ||
* {{cite web | last = Simonite | first = Tom | title = Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware) |publisher=MIT Technology Review | date=2015-02-04 | url=http://www.technologyreview.com/news/534516/holding-data-hostage-the-perfect-internet-crime/ |accessdate=2016-01-04}} |
* {{cite web | last = Simonite | first = Tom | title = Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware) |publisher=MIT Technology Review | date=2015-02-04 | url=http://www.technologyreview.com/news/534516/holding-data-hostage-the-perfect-internet-crime/ |accessdate=2016-01-04}} |
||
* {{cite web | last = Brad | first = Duncan | title = Exploit Kits and CryptoWall 3.0 | publisher=The Rackspace Blog! & NewsRoom | date=2015-03-02 | url = http://www.rackspace.com/blog/exploit-kits-and-cryptowall-3-0/ |accessdate=2016-01-04}} |
* {{cite web | last = Brad | first = Duncan | title = Exploit Kits and CryptoWall 3.0 | publisher=The Rackspace Blog! & NewsRoom | date=2015-03-02 | url = http://www.rackspace.com/blog/exploit-kits-and-cryptowall-3-0/ |accessdate=2016-01-04}} |
||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
* [[犯罪機会論]] |
|||
| ⚫ | |||
| ⚫ | |||
* [[ワイパー (マルウェア)]] |
|||
== 外部リンク == |
== 外部リンク == |
||
* {{cite web |title=Ransomware on the rise |publisher=FBI |date=2015-01-20 |url=http://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise |accessdate=2016-01-04}} |
* {{cite web |title=Ransomware on the rise |publisher=FBI |date=2015-01-20 |url=http://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise |accessdate=2016-01-04}} |
||
* [https://www.npa.go.jp/cyber/ |
* [https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html ランサムウェア被害防止対策] - 警察庁 |
||
* [https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html ランサムウェア対策特設ページ] - 情報処理推進機構 |
* [https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html ランサムウェア対策特設ページ] - 情報処理推進機構 |
||
* [https://www.jc3.or.jp/threats/topics/article-375.html ランサムウェア対策について] - 日本サイバー犯罪対策センター |
* [https://www.jc3.or.jp/threats/topics/article-375.html ランサムウェア対策について] - 日本サイバー犯罪対策センター |
||
* [https://www.jpcert.or.jp/magazine/security/nomore-ransom.html ランサムウエア対策特設サイト] - JPCERTコーディネーションセンター |
* [https://www.jpcert.or.jp/magazine/security/nomore-ransom.html ランサムウエア対策特設サイト] - JPCERTコーディネーションセンター |
||
2024年7月9日 (火) 05:18時点における版
| 情報セキュリティと サイバーセキュリティ |
|---|
| 対象別カテゴリ |
| 隣接領域 |
| 脅威 |
| 防御 |
ランサムウェア(英語: ransomware)とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に身代金(ransom、ランサム)を支払うよう要求する。数種類のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、他の幾種類かは単純にシステムを使用不能にして、利用者が身代金を支払うように促すメッセージを表示する(スケアウェア)。個人情報をネット上に開示するという脅迫をともなうケースも多くみられる。
こうしたプログラムは、当初ロシアで有名だったが、ランサムウェアによる被害は世界的に増大してきた[1][2][3]。2013年6月、セキュリティソフトウェア企業のマカフィーは、2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したと発表した。この数は、2012年第1四半期で得られた数の2倍以上である[4]。サイバー犯罪は金になる市場だということが周知されるにつれて、ランサムウェアのビジネスへの移行が激化し、法秩序に一層大きな課題を提示している[5]。
動作
ランサムウェアは、典型的にはトロイの木馬として増殖する。例えば、ダウンロードされたファイルか、ネットワークサービスの脆弱性を突いてシステムに入りこむ。
その後、プログラムはペイロード(本体プログラム)を実行しようとする。一例としては、ハードディスクドライブの個人的なファイルを暗号化し始める[6][7][8]。
より巧妙なランサムウェアは、ランダムな共通鍵と固定の公開鍵によるハイブリッド暗号で被害者のファイルを暗号化するものがある。そのマルウェアの作者は、秘密の復号鍵を知っている唯一の人物である。
いくつかのランサムウェアのペイロードは、暗号化を行わない。その場合、ペイロードは単純にシステムの相互作用を制限するアプリケーションとなっている。典型的にはウィンドウズシェルの設定によるものや[9]、マスターブートレコードやパーティションテーブル(修復されるまでOSの起動を妨害する。)を変更するものがある[10]。
ランサムウェアは、システムの利用者から金銭を奪い取るためにスケアウェアの要素を利用する。そのペイロードは、企業や警察を称する者から発せられた通知を表示する。通知内容は、システムが違法な活動に使用されていたとか、システムからポルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかったとかいうような、虚偽の主張をするものである[11][12]。
いくつかのランサムウェアのペイロードには、Windows XPのマイクロソフトライセンス認証の通知を模倣して、コンピュータのWindowsが偽造された、または再アクティベーションが必要である、と虚偽の主張をするものがある[13]。これらは、ランサムウェアを除去するために、ファイルを復号するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るよう利用者に要求する。
この過程で、利用者はマルウェアの作者に金銭を払うように促される。支払い方法には、しばしば、銀行振込、ビットコイン、有料テキストメッセージ[14]、またはUkashやPaysafecardのようなオンライン決済金券サービスが用いられる[1][15][16]。
歴史
暗号化ランサムウェア
初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「AIDS Trojan」というトロイの木馬(「PC Cyborg」という名称でも知られている)である。
そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189米ドルを支払う必要があると利用者に主張する。ポップは自身の行為を裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した[17]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとモチ・ユングによって紹介された。
AIDS Trojanは共通鍵暗号だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、RSA暗号とTiny Encryption Algorithm(TEA暗号)を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「暗号ウイルス学」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した[6]。
猛威を振るったランサムウェアの例は、2005年5月に顕著になった[18]。 2006年中頃には、Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った[19]。
2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている[20][21][22][23]。
2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している[24]。
また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種KRSWLocker(通称カランサムウェア)が発見され「新経済サミット2015」において紹介された[25][26]。
非暗号化ランサムウェア
2010年8月に、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。前述したGpcodeとは異なり、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、利用者に有料SMS(およそ10米ドル)を送るかどうか尋ねる。この詐欺は、ロシアと周辺諸国に多数発生した。犯行グループは、1600万米ドルを稼いだと報じられている[12][27]。
2011年には、利用者に「詐欺の被害者」となったので、Windowsを再活性化する必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでの活性化を提示するがそれは不可能であり、利用者に数字6桁のコードを知るため、6種類提示される国際電話番号のうち、1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、巨額の長距離電話料金を発生させる[13]。
2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeとGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する[28]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、利用者がポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体は阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する[29]。
2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された[30]。
二重恐喝
2019年後半から二重恐喝 (英語:Double-Extortion Ransomware Attack) と呼ばれる方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。EU一般データ保護規則 (GDPR) の制裁金よりは安いとして、個人情報流出に対する企業へのペナルティを利用している様子も見られる[31]。
分業( RaaS )
ランサムウェアの開発だけを行い、攻撃は技術力のない依頼主や攻撃したい人間にランサムウェアを販売することで利益(得た身代金からの分配も含む)を上げる手法 RaaS( Ransomware as a Service、サービスとしてのランサムウェア)が見られるようになった。
被害の増加とターゲットの選別
2021年、独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった[32]。サイバーセキュリティ会社CrowdStrikeが行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上(52%)がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている[33]。
ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延したWannaCryは、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった[34]。2023年の調査では、主要15カ国の中で日本だけ被害が減少していることが確認された[35]。これは日本企業の多くが災害を警戒してデータのバックアップを徹底している、反社会勢力への利益供与を行わない方針の浸透、身代金がサイバー犯罪保険では保証されないなどの理由で身代金を支払わない選択を続けていることから、犯行側が割に合わないと判断しターゲットとして選ばれなくなったという見方がある[35]。
顕著な例
Reveton
2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし(それ自身はZeusを基にしている)、そのペイロードは警察を自称した警告を表示し(このことから「警察トロイ」のニックネームが付いた)、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する[36]。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示し、利用者に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する[1][37]。
Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した[1]。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種はロンドン警視庁、著作権管理団体のPRS for Music(特に違法な音楽をダウンロードしたと利用者を告発した)、Police Central e-Crime Unitのような組織の標記を用いた[38]。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした[1][11]。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。
2012年5月には、トレンドマイクロの研究者がアメリカとカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた[39]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporationカードを使って200米ドルの罰金を払う必要があると主張するものである[2][3][37]。
CryptoLocker
詳細は「CryptoLocker」を参照
2013年に、暗号化ランサムウェアは「CryptoLocker」として知られるワームと共に再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。
最初はC&Cサーバに接続を試み、その後2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時、このマルウェアは、利用者が2,048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。
CryptoLockerは、利用者が鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている[40][41][42][43]。
2014年6月2日にアメリカ合衆国司法省によって正式に公表されたように、CryptoLockerは、Gameover ZeuSボットネットの差し押さえによって隔離された。
CryptoLocker.FとTorrentLocker
2014年9月、新種のランサムウェアがオーストラリアを襲った。 (「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。) 「CryptoLocker.F」の命名は、シマンテックによるものである。 オーストラリア郵便公社からの宅配便の不在票を偽った電子メールによって広がった。 利用者に、あるWebサイトを閲覧させて、CAPTCHAコードを入力させる。 被害者には著名なところではオーストラリア放送協会が含まれていた[44]。
この時期、別のトロイの木馬「TorrentLocker」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった[45]。
Cryptowall
2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。 2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。 信頼できるソフトウェアを装うためにデジタル署名が付されている[46]。 Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする(ドライブバイダウンロード)。 検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。 ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。
2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった[47] [48]。
KRSWLocker
詳細は「KRSWLocker」を参照
2014年に発見された、初めて日本のユーザーを標的としたランサムウェア[49][50]。
Petya
詳細は「Petya」を参照
2016年3月に初確認されたランサムウェア。
KeRanger
2016年3月に出現したKeRangerは、macOS オペレーティングシステム上の最初のマルウェアかつランサムウェアである[51]。
これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル(.rtf)に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。
このマルウェアは、暗号化するために2048 bitのRSA公開鍵を使う。実際には、Linuxの「Linux.Encoder.1」のコピーである。
RSA4096
![[icon]](/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB:Wiki_letter_w_cropped.svg){kind=small} | この節の加筆が望まれています。 |
WannaCry
詳細は「WannaCry」を参照
2017年5月13日に出現した WannaCry/Wcry(泣きたくなる)という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータ(Microsoft Windows)や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる[52]。
また、このランサムウェアは日本のマスメディアでも報道され、知名度の高いランサムウェアでもある。
GoldenEye
2017年6月、ウクライナを中心に世界各地に拡大した[53]。ウクライナの国営電力会社やウクライナの首都キーウの国際空港に感染。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。
REvil
詳細は「REvil」を参照
2019年4月に初確認されたランサムウェアを配布するサービスを行っているRaaS(サービスとしてのランサムウェア)のグループ。 JBSやKaseyaを攻撃した。
Conti
詳細は「Conti」を参照
2020年5月に初確認された医療機関なども標的にするランサムウェア。
DarkSide
詳細は「ダークサイド (ハッカー集団)」を参照
2020年8月に初確認された東欧を拠点とするサイバー犯罪を行う個人ないしはグループ。被害者の使用しているプログラムをランサムウェアを使用して暗号化して身代金を要求する恐喝を行う。アメリカ南東部にガソリンやジェット燃料を輸送し、東海岸が使用する燃料の45%を支えるパイプライン輸送を管理する会社コロニアル・パイプラインのシステムがハッキングされた事件(コロニアル・パイプラインへのサイバー攻撃)に関与している。即座に身代金が支払われ復号プログラムが渡された。しかし、そのプログラムでは正常に機能せず、政府やセキュリティー会社などの協力で回復するまで業務に支障をきたす状態が続いた。結果として、6日間におよぶ業務停止となり、アメリカ東海岸では燃料不足問題が発生し、燃料価格が高騰した。各州が緊急事態宣言を発令、アメリカ大統領による非常事態宣言が出された[54][55]。
緩和策
他の形態のマルウェアと同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい[56]。また、ネットワーク越しのストレージ(ネットワークドライブ)中のデータも暗号化されてしまう懸念がある。
例えランサムウェアに乗っ取られても、物理的に遮断されたストレージデバイス(例:取り外し可能な補助記憶装置)に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる。ただし、侵入の為に把握した通信経路や通信機器の改変を受けている可能性があるため、被害の度合いによってはシステム構築から一新する必要もあり、被害を受けた際の迅速な手配や運用策をあらかじめ講じることが求められる。
身代金を支払わない選択を徹底することで、ターゲットから外されるという見解がある[35]。
脚注
- ^ a b c d e Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 10 March 2012閲覧。
- ^ a b “New Internet scam: Ransomware...”. FBI (Aug 9, 2012). 2014年4月5日閲覧。
- ^ a b “Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (Nov 30, 2012). 2014年4月5日閲覧。
- ^ “Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 16 September 2013閲覧。
- ^ Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 28 March 2014閲覧。
- ^ a b Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129–140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2。
- ^ Adam Young (2005年). “Building a Cryptovirus Using Microsoft's Cryptographic API”. Information Security: 8th International Conference, ISC 2005 (Springer-Verlag): pp. 389?401
- ^ Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security (Springer-Verlag) 5 (2): 67?76.
- ^ “Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 10 March 2012閲覧。
- ^ “And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 10 March 2012閲覧。
- ^ a b “Police warn of extortion messages sent in their name”. Helsingin Sanomat. 9 March 2012閲覧。
- ^ a b McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 10 March 2012閲覧。
- ^ a b “Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 9 March 2012閲覧。
- ^ Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。
- ^ “Ransomware plays pirated Windows card, demands $143”. Computerworld. 9 March 2012閲覧。
- ^ Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。
- ^ Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 10 March 2012閲覧。
- ^ Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。
- ^ Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。
- ^ Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。
- ^ Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。
- ^ Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。
- ^ “Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。
- ^ NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年8月13日17時33分(株式会社インプレス「INTERNET Watch」)
- ^ プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan
- ^ 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE)
- ^ Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 10 March 2012閲覧。
- ^ “Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 17 July 2013閲覧。
- ^ “New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 17 July 2013閲覧。
- ^ “Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 31 July 2013閲覧。
- ^ Deloitte Cyber Trend & Intelligence Report 2020 出版者:デロイト トウシュ トーマツ
- ^ 情報セキュリティ10大脅威 2021 出版者:独立行政法人情報処理推進機構(IPA)
- ^ CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 CrowdStrike
- ^ Ranger, Steve; 石橋啓一郎 (2017年5月19日). “ランサムウェアはいかに世界的な脅威へと深刻化したか”. ZDNet. 2017年10月14日閲覧。
- ^ a b c 涼太郎, 福田 (2024年6月19日). “KADOKAWA襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く”. 産経新聞:産経ニュース. 2024年6月19日閲覧。
- ^ “Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 15 August 2012閲覧。
- ^ a b “Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 16 August 2012閲覧。
- ^ Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 16 August 2012閲覧。
- ^ Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 11 May 2012閲覧。
- ^ “Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 12 September 2013閲覧。
- ^ “CryptoLocker attacks that hold your computer to ransom”. The Guardian. 23 October 2013閲覧。
- ^ “You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 23 October 2013閲覧。
- ^ “Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 23 October 2013閲覧。
- ^ “Australia specifically targeted by Cryptolocker: Symantec”. ARNnet. (2014年10月3日) 2016年1月4日閲覧。
- ^ “Encryption goof fixed in TorrentLocker file-locking malware”. PC World. 2016年1月4日閲覧。
- ^ “Malvertising campaign delivers digitally signed CryptoWall ransomware”. PC World. 2016年1月3日閲覧。
- ^ Andra Zaharia (2015年11月5日). “Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect”. HEIMDAL. 2016年1月5日閲覧。
- ^ 鈴木 聖子 (2015年12月5日). “ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散” 2016年1月5日閲覧。
- ^ “日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ:シマンテック”. ZDNet Japan (2014年12月17日). 2015年5月20日閲覧。
- ^ “日本語ランサムウェア「犯人」インタビュー”. 読売ONLINE IT&MEDIA (2014年12月19日). 2015年5月20日閲覧。
- ^ Claud Xiao and Jin Chen (2016年3月7日). “新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害”. paloalto. 2016年3月14日閲覧。
- ^ “ランサムウエア「WannaCry」関連記事”. ITpro (日経BP). (2017年5月17日) 2017年5月17日閲覧。
- ^ 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress
- ^ Suderman, Alan (May 8, 2021). “Major US pipeline halts operations after ransomware attack”. AP News. May 8, 2021時点のオリジナルよりアーカイブ。May 8, 2021閲覧。
- ^ “Top US pipeline operator shuts major fuel line after cyber attack”. The Jerusalem Post (May 8, 2021). May 8, 2021時点のオリジナルよりアーカイブ。May 8, 2021閲覧。
- ^ “Yuma Sun weathers malware attack”. Yuma Sun. (2013年11月16日) 2016年1月5日閲覧。
発展資料
- Russinovich, Mark (7 Jan 2013). “Hunting Down and Killing Ransomware (Scareware)”. Microsoft TechNet blog. 2014年4月5日閲覧。
- Simonite, Tom (2015年2月4日). “Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)”. MIT Technology Review. 2016年1月4日閲覧。
- Brad, Duncan (2015年3月2日). “Exploit Kits and CryptoWall 3.0”. The Rackspace Blog! & NewsRoom. 2016年1月4日閲覧。
関連項目
外部リンク
- “Ransomware on the rise”. FBI (2015年1月20日). 2016年1月4日閲覧。
- ランサムウェア被害防止対策 - 警察庁
- ランサムウェア対策特設ページ - 情報処理推進機構
- ランサムウェア対策について - 日本サイバー犯罪対策センター
- ランサムウエア対策特設サイト - JPCERTコーディネーションセンター
| 伝染性マルウェア | |
|---|---|
| 潜伏手法 | |
| 収益型マルウェア | |
| OS別マルウェア | |
| マルウェアからの保護 | |
| マルウェアへの対策 | |
 カテゴリ | |