「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう：【動画あり】

“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。

[田渕聖人，＠IT]

　世間を騒がせる身代金要求型マルウェア「ランサムウェア」。直近ではアサヒグループホールディングスやアスクルなどをはじめとした国内でも多くの企業が被害を報告している。

　ここ数年の被害拡大に伴い、その恐ろしさは普段ITに携わることがない人々にも少しずつ広まっているが、まだまだ周知が足りていないのも事実だ。そこで本稿は、あらためてランサムウェア攻撃とはどのようなものかを解説する。

　普段からIT・セキュリティに携わっていても「ITにあまり詳しくない人にランサムウェアを説明できるか」と聞かれて即答できる人は少ないだろう。ぜひランサムウェアへの理解をより深める他、経営層や一般従業員向けの啓発にこの記事を活用してほしい。

　なお、アイティメディアが運営する「YouTube」チャンネル「TechLIVE」では、攻撃者視点の理解を深める番組『攻撃者の目』を公開している。

　最新回では、現役ホワイトハッカーをゲストに迎え、攻撃者がどのようにターゲットを選定し、どのような手口でシステムを侵入・掌握するのかを、検証環境によるデモや具体的な解説を交えて生々しく描き出している。ランサムウェアの侵入後の動向や、攻撃者の心理のさらに深い部分が、映像を通して視覚的に理解できる内容だ。

　自社のセキュリティ対策に不安を感じているエンジニアや、次の一手を模索しているIT・セキュリティ担当者は、ぜひこの動画を視聴し、防御力を高めるための「攻撃者の思考回路」を体得してほしい。

ホワイトハッカーが実演！ランサムウェアに感染するとどうなる？

ランサムウェアを「正しく」知って、「正しく」恐れる

　まずランサムウェアとは、「身代金（ランサム）」と「ソフトウェア」を組み合わせた造語だ。一言で言うと「あなたのPCや会社のサーバ内の重要なデータを人質に取って、元に戻してほしければお金を払えと脅してくるウイルス」のことである。土足でシステムに踏み込んできて、目の前で大事なデータに強固な「鍵（暗号化）」をかけて使えなくしてしまう。

　そして端末の画面に「データを返してほしければ、△△日以内に○○円払え」といった脅迫文（ランサムノート）を表示させる。さらにタチが悪いことに、最近の攻撃者は「お金を払わないなら、盗んだ顧客情報や社外秘のデータをインターネットにバラまくぞ」という二重の脅迫をしてくる。これが、今多くの企業を震撼させているランサムウェアの正体だ。

　注意したいのは、ランサムウェア攻撃はある日突然データが暗号化されるわけではないということだ。攻撃者は段階を踏み、時には数カ月も前から綿密な計画に基づいてターゲットを追い詰めていく。この「攻撃者が狙いを定めてから、最後にデータを人質に取るまでの作戦ロードマップ」のことを、専門用語で「サイバーキルチェーン」と呼ぶ。

　ここではランサムウェア攻撃を理解しやすくするため、サイバーキルチェーンの考え方をベースに、泥棒が家に忍び込んで金庫を開けるまでのステップに例えて、攻撃の流れを見ていこう。

ステップ1：標的選定

　どのような攻撃にも共通しているのが、標的を選定するフェーズだ。攻撃者は戸締りが甘い家や外から見て侵入しやすそうな家、身代金を支払ってくれそうな家を調査してターゲットを決める。

　企業で言えば、VPNの脆弱（ぜいじゃく）性を放置していたり、アカウント情報が漏えいしていたりすると“狙い目”になりがちだ。また、本命である大企業に侵入する踏み台としてそのサプライチェーンに属する企業を標的にすることもある。

ステップ2：家への侵入（初期侵入）

　ターゲットを決めたら、攻撃者は家の中に入り込むための隙を探す。よくあるのは「本物の取引先を装った電子メール」を従業員に送ってウイルスを開かせたり、会社の「リモートワーク用の接続機器」にある弱いポイントを見つけて、そこから静かに侵入したりするパターンだ。

　先のVPNの脆弱性などは特に攻撃者にとって鉄板の侵入口となっているため、放置せずに必ず対処するようにしたい。

ステップ3：家の中の下見（権限昇格・探索）

　攻撃者は侵入に成功後、すぐに攻撃を仕掛けるわけではない。騒ぐと見つかって警察（セキュリティソフト）に通報されてしまうからだ。そのため攻撃者は家中の部屋を自由に開けられる「マスターキー（管理者権限）」を盗み出す。その後、静かに、家の中を歩き回って「どこに一番大事な金庫（重要データ）があるか」「どこに防犯カメラのスイッチ（EDRやバックアップサーバ）があるか」を下見するのだ。

　実際には攻撃者はまず管理者権限の取得を試み、その権限を使って社内ネットワークや重要資産を調査する。

ステップ4：部屋から部屋に移動する（横展開）

　マスターキーを作るのにはもう一つ意味がある。それが横展開だ。攻撃者が最初に会社のPC1台をウイルスに感染させた状態は、泥棒が「家の『玄関の鍵』だけをピッキングして、玄関に一歩足を踏み入れた状態」である。

　しかし、攻撃者の本当の目的は玄関マットを盗むことではなく、この家のどこかにある「金庫の中身（機密データ）」だ。そこで攻撃者は、玄関から一歩も動かないわけにはいかない。最終目的である金庫を目指して家の中を移動するのだ。

　このように侵入済みの場所を足場に、さらに家の奥の部屋（他のPCやサーバ）へと次々に移動し、支配地域を広げる行為が横展開である。

ステップ5：お宝を外に運び出す（データの窃用）

　攻撃者はデータを壊す前に、まずは金庫の中身（顧客情報や機密データ）を丸ごとコピーし、自分たちの秘密基地（外部のサーバ）にこっそりと運び出す。例えるなら泥棒と誘拐を同時に実行するようなものだ。

ステップ6：金庫の鍵を独自の鍵に変えて脅迫（データの暗号化）

　ここまで来れば全ての準備が整った状態だ。攻撃者は仕上げに、会社がデータを元通りに復旧できないように重要なデータおよびバックアップデータも含めて一斉に鍵（暗号化）をかける。そして復旧と引き換えに身代金を要求するのだ。

なぜこの「流れ」を知ることが大事なのか？

　ランサムウェアの話を聞くと、「一度侵入されたらおしまいだ」と思われがちだ。しかし、ここまで説明してきたサイバーキルチェーン（泥棒のマニュアル）を知ると、見方が変わる。

　攻撃者は、ステップ1〜5までを順番にクリアしないと攻撃を成功できない。ステップ2の「初期侵入」を防げなかったとしても、ステップ3の「下見」をしている段階で「おや、誰もいないはずの部屋の電気がついているぞ」と気が付いて捕まえられれば、身代金要求という最悪の結末は防げるだろう。

　つまり、サイバーキルチェーンのどこか一つのプロセスでも防げればチェーンを断ち切ることができる。サイバーセキュリティの基本的な考え方としてぜひこれを覚えておいてほしい。

ホワイトハッカーが実演！ランサムウェアに感染するとどうなる？