ランサムウェアの急速な広がり

DOJ（米国司法省）によれば、2016年の米国では1日平均で4,000件のランサムウェア攻撃が発生しており、これは2015年の4倍に増加しています。FBIの報告によれば、2016年には10億ドルの身代金が支払われており、これも2015年の2億4千万ドルから約4倍に増加しています。これらの増加は極端に大きなものですが、ランサムウェアを良く知る者にとっては、それらは何の驚きにも当たりません。

ランサムウェアは作成や配布が簡単であり、マルウェアを使ってお金を稼ぐための非常に低リスクで高報酬のビジネスモデルをサイバー犯罪者に提供しています。これを、ほとんどの企業やユーザーはランサムウェアに対処する準備ができていないという事実と組み合わせて考えると、ランサムウェアが今までで最も急速に成長しているサイバー脅威となったことには何の不思議もありません。

シンプルなコード、ランサムウェア攻撃者による洗練されたeマーケティング

ランサムウェアは、通常のマルウェアと同じチャネルを通じて伝播します。それは、主に電子メールを通じて伝播しますが、侵入されたWebサイトや悪意あるWebサイトや、海賊版ソフトウェアなどを経由しても伝播します。ランサムウェアのコードは多くの場合洗練されていませんが、それは洗練されている必要がないためです。なぜなら、多くの種類の従来型のマルウェアとは異なり、多くの場合ランサムウェアは、その目的を達成するために長期間検出されないまま隠れている必要がないからです。

実装が比較的容易であること、および手間がかからない割に高収益が得られる可能性が、洗練されたサイバー犯罪者と、サイバー犯罪初心者の両方を、ランサムウェア攻撃へと引き付けています。実はランサムウェアに関して最も洗練されているものは、その実行を促進するeマーケティングです。

ランサムウェアの攻撃者は多くの場合、自分達のターゲットを熟知した抜け目のないeマーケターです。ほとんどのランサムウェアの犯罪集団が、業種や地域、年齢などのパラメータに基づいた身代金の価格を設定して、攻撃を同時に脅迫を開始します。身代金の額は、特に被害者が緊急/切迫感を持っている場合に、侵入されたシステムを再作成または復元するよりも身代金を支払う方がより安価で容易であると思わせるような価格に設定されています。

ランサムウェア攻撃者はサイバー保険における免責金額をうまく利用する

この結果、サイバー犯罪に新しい「儲かる環境」がもたらされており、その繁栄が可能になっている原因の一つにサイバー保険の免責金額があります。　最も大きな問題は、サイバー保険が、ランサムウェアに関する限り多くのケースで役に立たないということです。ほとんどの保険には「恐喝」に関する条項が含まれていますが、その免責金額は法外に高額であり、保険が適用されるためには数十万ドルをゆすり取られる必要があります。さらに、もしあなたの会社がサイバー恐喝に関する条項を自社の保険に含めていることをうっかり公表してしまうと、保険が効かなくなってしまいます。

もう１つの重要な要因は、中規模の企業がバックアップからデータを復元するのには数日かかるという事実であり、この事実が被害者にとって身代金を支払う方がより簡単で安くつくという現実です。米国におけるPresbyterian Hospitalのケースを考えてみましょう。同病院の研究室および処方箋システムがランサムウェア攻撃によりダウンした際、すべての処方箋のオーダーを手動で処理する必要がありました。これにどれほどのコストがかかるか考えてみてください。

一部の人々は、身代金を支払うと、自分が格好のカモとして目を付けられ、将来の攻撃を招くことになると思っています。しかし、一般的なランサムウェアが個別に標的型となることは稀であり、通常それは「ショットガン」型のアプローチとなります。すなわち、攻撃者は電子メールのリストを入手し、Webサイトに侵入し、ランサムウェアを「ぶっ放し」ます。

多数のランサムウェア攻撃者が存在していることを考えると、あなたの会社が再度被害にあった場合、それは別のランサムウェア攻撃者である可能性が高いと思われます。なお、事前に予防策を講じていなかった場合、初めてランサムウェア攻撃を受けた際には、今回に限って身代金を支払うことが最も簡単な解決策となるため、一度でもランサムウェア攻撃を受けた場合には、次なるランサムウェア攻撃に対して準備を整えておいた方が良いでしょう。

ランサムウェアのリスクを引き下げるためにできることは？

ランサムウェアのリスクを引き下げ、ランサムウェア攻撃のもたらす副次的な影響を制限するためにできるいくつかのことを以下に示します。

1. 定期的に確実なバックアップを取ること、悪意のある可能性の高いWebサイトやメールを認識し、それらをフィルタリングすること。
2. サイバー保険プランを見直すこと、それらの保険プランがランサムウェアに関してあなたが希望する脅威度と一致していることを確認すること、脅されている事実を公表できないことを容認し、現実的でない高額な免責金額を現在の身代金要求額により近づけるように調整する「ランサムウェア条項」を要求することにより、保険業界のイノベーションを促進すること。
3. 支払うか支払わないかにかかわらず、攻撃者は今後も侵入したマシンから有益なデータを抽出しようと試みることを忘れないこと。そのようなマシン上の機密データはすべて、すでに流出していると仮定する必要があります。このデータには、社内リソースやWebリソースにアクセスするためのユーザー名/パスワード、支払い情報、連絡先のメールアドレスなどが含まれています。
4. ランサムウェアの実行を回避するために高度なランサムウェア対策技術の導入を検討すること。スタンドアロンのツールとして導入するか、または組織的なマルウェア対策プラットフォームに取り込むこと。

サイバーリーズンは個人や中小企業の方のためにランサムウェア対策ソフトウェアであるRansomFree（ランサムフリー）を無料で提供しています。ご興味のある方は弊社のWebサイトよりダウンドードしてください。

ホワイトペーパー「ランサムウェアとは何か」

ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。

では、ランサムウェアは、他のマルウェアとは何が違うのか？
本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/white-paper/1171/