2020年ランサムウェアの最新動向――Emotetから始まる攻撃、クラウド、IoTもランサムウェアを正しく理解し、効果的に護るための現実解(3)

ランサムウェアを正しく理解し、有効な対策を紹介する本連載。今回は、「2020年ランサムウェアの最新動向」と題して事例と今後注意が必要な点などをお届けしたい。

» 2020年01月20日 05時00分 公開
[藤原和紀インフォメーション・ディベロプメント]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ランサムウェアといえば、2017年に流行した「WannaCry(ワナクライ)」が有名だが、「最近はランサムウェアのニュースを聞かないな」と思っている方も多いのではないだろうか。確かにランサムウェアの絶対数は減っており、ニュースも探しに行かなければ目に付かなくなっているのは事実だが、決してなくなっているわけではなく「より巧妙になっている」といえる。

 例えば2019年は「Emotet(エモテット)」が話題に上ったが、こちらはランサムウェアではなくマルウェアであり、ランサムウェア「Ryuk」(リューク)を展開するためのものだ(詳細は後述)。

 ランサムウェアを正しく理解し、有効な対策を紹介する連載「ランサムウェアを正しく理解し、効果的に護るための現実解」。今回は、「2020年ランサムウェアの最新動向」と題して事例と今後注意が必要な点などをお届けしたい。

 独立行政法人情報処理推進機構(IPA)から刊行されている『情報セキュリティ白書2019』などのデータを基に、最近の兆候などを紹介する。

情報セキュリティ白書によるランサムウェアの兆候

 Symantecの「2019 Internet Security Threat Report」によると、世界での2018年のランサムウェア検出件数は約54万5000件。2017年の67万8000件と比較し、約20%減少している。ただし、企業を標的とした件数は2017年の39万7000件と比較し、2018年が44万4000件と12%増加していることが分かる。

 ターゲットが個人から企業にシフトしている背景としては、「平均501〜2000ドル」※1といわれる身代金が個人では支払うケースが少なく、費用対効果が低いからといわれている。確かに、このクラウドファーストの時代に、個人に対して「データを暗号化したから身代金を払え」と言われても、身代金を払ってまで戻したいデータがPCにしか保存していないとは考えづらい。

※1Average demanded ransom from ransomware attacks 2017 | Statista

 このような背景から一時期は犯罪者たちが「ランサムウェアよりも仮想通貨の不正マイニングの方がもうかる」と舵(かじ)を切ったが、仮想通貨バブルが終わってしまい、再びランサムウェアビジネスに戻ってきていることが見て取れる。そして前回と同じ轍(てつ)を踏まないように、今度は利益率の低い個人に見切りを付け、身代金を払ってでも戻したいデータを持つ企業を標的にしているのだ。

攻撃者から見たランサムウェアビジネス

 本連載の以前の記事にもあるように、Ransomware as a Service(RaaS)についても進化が続いているが、マルウェアのランキングにもたびたび登場してきた「GandCrab」(ガンクラブ)が2019年5月31日にRaaSの運用を終了した※2

※2GandCrab ransomware operation says it's shutting down | ZDNet

 運営者による閉鎖の理由は、「もう20億ドル以上稼いだし、オペレーターにも年間1億5000万ドル払ってきたので、もうこれからはまっとうな商売をする」とのことだった。20億ドルは日本円だと2000億円以上になる。この金額を“うのみ”にするわけではないが、それでも「相当稼いだけど売り上げもだんだん下がってきたので、ここらが引き際」と判断したのではないかと推測できる。ちなみに、GandCrabはロシアのサイトとされている。

 他にも犯人像が分かりやすい例として米司法省(DoJ)は米国時間2019年12月5日にロシアのハッキンググループ「Evil Corp.」(エビルコープ)のリーダーであるYakubets容疑者を起訴したと発表している※3

※3Alleged Russian Hacker Behind $100 Million Evil Corp Indicted | WIRED

 Evil Corp.はオンラインバンキングを狙うマルウェア「Dridex」(ドライデックス)を作成したとされている。被害総額は少なくとも1億ドル(約110億円)以上とみられている。容疑者は特注の高級車に乗り、子ライオンをペットにする豪遊振りをSNSに投稿しており、「マルウェアはもうかる」という象徴だ。ここまで判明していても逮捕に至らないのは、容疑者はロシア連邦保安庁で働いておりロシア政府により保護されているためだ。

 これらのように、犯行の目的は完全にビジネスにシフトしている。実行犯は常に効率的に身代金を回収することを考えており、さらには身代金を支払った企業に対して、追加で身代金を取ろうとする動きもあるので、注意が必要だ。

攻撃対象になりやすい業界の事例

 次に、2019年のランサムウェア被害の代表的な事例を見てみよう。

 2019年3月19日、ノルウェーの大手アルミニウム製造業者であるNorsk Hydroが新種のランサムウェアと思われる「LockerGoga」(ロッカーゴーガ)に感染し、製造ラインからシステムを切り離した※4。結果として、主要な生産ラインを手動で操業し、身代金は支払わずに乗り切ったという。LockerGogaは、その後数週間かけ、フランスのコンサルティング企業Altran、米化学企業のHexionなどで検出されている。

※4Meet LockerGoga, the Ransomware Crippling Industrial Firms | WIRED

 ここで特徴的なのは、LockerGogaは産業システム向けに作成されており、製造業を中心とする標的型攻撃であったことだ。製造業は以前より標的になりやすい業界である。

 そして、2019年10月1日、米国の医療機関「DCH Health System」運営の病院3施設が標的となり、一部患者が転院を余儀なくされた。また偶然、日本でも宇陀市立病院が同日10月1日に導入した電子カルテシステムが「GandCrab」に感染したと10月23日に発表があった。

 いずれも身代金は支払っていないが、医療/ヘルスケア業界は人命に関わるデータを扱っており、ターゲットになりやすいといわれていた。今までは海外で複数の事例が散見されたが、これからは日本国内も十分な注意が必要だ。

身代金支払いの現実

 医療分野では人命優先と考えるケースもある。2016年2月5日に米国のHollywood Presbyterian Medical Centerがマルウェアに感染し、2月17日に40ビットコイン(当時1万7000ドル相当)を支払い、暗号化を解除した事件があった※5

※5Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating - Los Angeles Times

 医療分野以外にも支払った事例は複数出ている。米国フロリダ州にあるリビエラビーチは、2019年6月17日に60万ドル(約6440万円)相当のビットコインを支払うことを決めた※6。フロリダ州レイクシティもRyukの攻撃を受け、2019年6月24日に50万ドル(約5400万円)を支払うことを決めている。

※6地方自治体を襲う「死神リューク」 ランサムウェア身代金支払いで被害増大の連鎖 - ITmedia NEWS

 上記のように、一部ではあるが身代金を支払う事例が増えてきている。米国の調査機関によると一般企業は支払ったとしても公開や報告を行わないケースが多く、正確な被害総額は把握できていない。

 このような背景からか、FBIは、従来「支払わない」という姿勢だったが、2019年10月に「経営者は株主、従業員、顧客を保護するためなら、身代金の支払いを検討することも許容する」と、態度を一部軟化させている。

 一方で、身代金の金額は上昇傾向にあり、米国マサチューセッツ州ニューベドフォード市では、身代金として530万ドル(約5億8000万円)を要求されたという事例が出ている※7

※7身代金5億円要求も 増長するランサムウェア、被害止まらず (1/2) - ITmedia NEWS

 リカバリーの時間や費用を検討し、結果として身代金の支払いを選択してしまう気持ちも理解できる。しかし、犯人はより効率的にお金を稼ぐことが目的だ。後述するが、現在のマルウェアは侵入、調査、データ搾取、暗号化の順に侵入を進めていく。このため、暗号化の解除でお金を取り、さらに盗み取ったデータを人質にして身代金を取るケースも出てきているので、慎重に対応を検討してほしい。

企業で今すぐにできる対策

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。