ランサムウェア攻撃の歴史と進化 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ランサムウェア攻撃の歴史と進化

Threat Report

Cyber Intelligence

Flashpoint

Intelligence

ランサムウェア攻撃の歴史と進化

山口 Tacos

山口 Tacos

2023.02.02

あらゆる組織にとって潜在的な脅威となりつつあるランサムウェア。ランサムウェアは業界や規模を問わずあらゆる組織を狙い、ファイルやその他の企業資産が奪取するという目的を果たそうとします。そういったデータがあれば、脅威アクターは身代金目当てに秘密情報を囲い込み、その解放と引き換えに支払いを要求することができるのです。

すべての組織にとって不可欠なのは、ランサムウェア攻撃をどう防ぎ(※)、どう対応するかに関するプランを用意しておくことです。しかし、今日の対策を理解するためには、ランサムウェアがどのように進化して現在の状態に至ったかを理解しておく必要もあります。

※関連記事:ランサムウェアに感染したら?被害を抑える対策とは?

 

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年7月29日付)を翻訳したものです。

ランサムウェアの出現(1989年)

一般に最初のランサムウェア攻撃であるとみなされているのは、トロイの木馬「AIDS trojan」を利用した攻撃です。このAIDS trojanという名は、1989年に開催された世界保健機関(WHO)の国際エイズ会議にちなんでいます。というのは、ジョセフ・ポップという生物学者が、このイベントの参加者にマルウェアに感染済みのフロッピーディスク2万枚を配ったからです。このフロッピーディスクを差し込んだシステムをユーザーが90回起動すると、ユーザーのファイル名が暗号化され、以下の図のような、「パナマの私書箱に189米ドルを送金せよ」と被害者に要求する内容のメッセージが表示される仕組みになっていました。とはいえこのランサムウェアは、オンラインの復号ツールを使って比較的簡単に削除することが可能でした。

「AIDS trojan」のランサムノート(身代金要求メモ)

初期(2005〜2009年)

この最初の出来事の後、ランサムウェアの分野ではしばらく目立った進展はありませんでしたが、2005年に再びランサムウェアが登場します。今回は、保護された非対称暗号が使用されていました。このような初期のランサムウェアの中で最も注目されたのが、トロイの木馬「Archiveus」と「GPcode」です。GPcodeの攻撃対象はWindows OSで、最初は対称型暗号を使用していたものの、2010年には、より安全なRSA-1024を使用して特定のファイル拡張子を持つ文書を暗号化するようになりました。

RSAを使用した最初のランサムウェアであるトロイの木馬Archiveusは、「マイドキュメント」フォルダ内のすべてのファイルを暗号化するものでした。これらのファイルは、身代金の支払い後に脅威アクターから提供される30桁のパスワードによって復号することが可能でした。

これらの暗号化アルゴリズムの有効性は高かったものの、こういった初期のランサムウェア種は比較的シンプルなコードで作られていたため、アンチウイルス企業はそれらを特定し、分析することができました。Archiveusのパスワードは、2006年5月にウイルスのソースコードから発見され、クラックされました。同様に、GPcodeに関してもRSAに移行するまではパスワードがなくてもファイルの復元が可能な場合が多かったことから、サイバー犯罪者はランサムウェアよりもハッキングやフィッシングなど他の脅威ベクターの方を好んで利用するようになりました。

ランサムウェアが暗号化手法を備えるように(2009〜2013年)

2009年には、コンピューターを暗号化して復号ツールを販売するウイルス「Vundo」が登場しました。Vundoは、Javaで書かれたブラウザのプラグインの脆弱性を悪用したり、ユーザーが有害Eメールの添付ファイルをクリックした際に自己ダウンロードしたりして、システムに感染します。Vundoは、一度インストールされると、Windows DefenderやMalwarebytesなどのマルウェア対策プログラムを攻撃したり、抑制したりします。また、その直後の2010年には、トロイの木馬「WinLock」が出現しました。WinLockを使用していたのはモスクワのサイバー犯罪者10人で、その使用目的は、被害者がおよそ10ルーブルを送金するまで被害者のコンピューターをロックし、ポルノを表示させることでした。このグループは同年8月に逮捕されましたが、この不正な活動により初期に稼ぎ出された金額は1,600万米ドルに上りました。

2011年にWinLockはアップグレードされ、Windowsのプロダクトアクティベーション(ライセンス認証)システムを装うようになりました。このマルウェアは、正規のシステムが不正使用を理由にソフトウェアの再インストールを要求しているかのように見せかけて、最終的には被害者からデータを強奪するというものでした。

2012年に登場したランサムウェア「Reveton」はスケアウェアの一種で、米国の法執行機関を名乗り、被害者が違法なポルノを閲覧しているのが検出されたと主張する内容のメッセージを被害者の画面に表示させるものでした。また、被害者のカメラを起動させ、被害者に自分が録画されていたかのように思わせるというケースもありました。また、「起訴を避けたいなら金を払え」と被害者に支払いを要求することもありました。

このRevetonの亜種には、(暗号化手段は備えていないながらも)Mac版も登場しています。Mac版は150個の同一のiframeを表示させ、ユーザーはそれぞれを閉じなければならなくなるため、ブラウザがロックされているように見えます。

Mac機器に対して身代金を要求するフィッシングページ

ランサムウェアの種類が増える中、記録されたランサムウェアの攻撃回数は、2011年から2012年にかけて4倍近く増加しました。

ランサムウェアが優勢に(2013〜2016年)

2013年後半には、「CryptoLocker」が登場しました。CryptoLockerはいくつかの点で先駆的な存在で、ボットネット(この場合は「Gameover Zeus」ボットネット)によって拡散された最初のランサムウェアでした。ただ、フィッシングなどのより旧式な手法も使用されていました。また、CryptoLockerは2,048ビットのRSA公開鍵および秘密鍵暗号を使用しており、クラッキングが特に困難であることも特筆すべき点です。CryptoLockerは、関連するボットネットである「Gameover Zeus」が2014年にテイクダウンされるまで、停止されることはありませんでした。

真のMac向けランサムウェアとしては第1号である「FileCoder」も2014年に発見されましたが、これは後に、もともと2012年の早い時期に作られていたことが判明しています。FileCoderは、ファイルを暗号化して支払いを要求するものの、暗号化できたのは自分自身のファイルだけであり、決して完成されたものとは呼べませんでした。

FileCoderのランサムノート

FileCoderのランサムノート

この年にMacのインフラに対する攻撃でより成功を収めたのは、暗号化手法を用いないその他の攻撃の方でした。また、2014年には、マルウェア「Oleg Pliss」を使った攻撃も行われました。この攻撃は、脅威アクターが盗まれたAppleアカウントの認証情報を使ってアカウントにログインし、そのアカウントで「iPhoneを探す」機能を利用することでiPhoneをリモートでロックする、というものでした。そして、iPhoneのロックを解除するのと引き換えに身代金が要求されました。

Oleg Plissを用いた攻撃

Oleg Plissを用いた攻撃

Oleg PlissがiPhoneを標的としたように、2014年には初のモバイル端末への暗号化攻撃も行われました。それが、Androidを標的とする「Spyeng」の攻撃です。暗号化のみならず、Spyengは、被害者の連絡先リストに登録されている人全員に、ランサムウェアのダウンロードリンクを記載したメッセージを送信していました。

Macを狙った暗号化ランサムウェアの攻撃が初めて成功を収めたのは2016年で、この攻撃は「KeRanger」によるものとして知られています。トレントクライアント「Transmission」のバージョン2.90と結びついたこのランサムウェアは、1ビットコイン(当時400米ドル)が脅威アクターに支払われるまで、被害者のコンピューターをロックするものでした。

Mac向けの別のランサムウェア「Patcher」(別名「filezip」)は、2017年2月に登場しました。これもトレント経由でユーザーに感染しますが、Patcherの場合はOffice 2016やAdobe Premiere CC 2017といった人気ソフトのクラッカーを装っていました。注目すべきは、Patcherに暗号化されたものは身代金を支払っても支払わなくても復号できない、という点です。原因は、Patcherの設計に欠陥があることでした。

CryptoLockerの成功により、ランサムウェアの種類は大幅に増加しました。CryptoWallはCryptoLockerの後継として登場し、2014年に知られるようになりましたが、実際には遅くとも2013年11月から出回っていました。CryptoWallは主にスパムフィッシングメールを介して拡散し、2014年3月までに主要なランサムウェア脅威となりました。CryptoWallは特に粘り強いことが証明されており、2018年までに3億2,500万米ドルの損害を与えたとする報告もあります。

RaaSの台頭(2016年~2018年)

2016年までに、ランサムウェアの亜種はますます頻繁に登場するようになりました。そして、ランサムウェアのコードを作成するグループと、システムの脆弱性を発見するハッカーとの協力関係によって運営される「ランサムウェア・アズ・ア・サービス(RaaS)」種が初めて出現しました。特によく知られているRaaSには、「Ransom32」(JavaScriptで書かれた最初のランサムウェア)、「shark」(公開WordPressサイト上でホストされるランサムウェアで、利益は80/20というディストリビューターに有利な条件で分配されていた)、「Stampado」(わずか39ドルで利用可能だったランサムウェア)などがあります。

2016年には、有名なランサムウェア「Petya」も登場しました。当初、このランサムウェアの攻撃成功率はCryptoWallよりも低かったのですが、2017年6月17日に新種が出現します(カスペルスキーはオリジナル版と区別するためにこの新種を「NotPetya」と名づけました)。NotPetyaの使用はウクライナ企業を狙った攻撃から始まり、NSAが発見したWindowsの脆弱性「EternalBlue」を利用して瞬く間に世界中に広まりました。ホワイトハウスによると、NotPetyaによる被害額は100億米ドルに上るとのことです。米国、英国、オーストラリアの各政府は、このマルウェアにはロシアが関与していると指摘しています。

Petyaランサムウェアのアスキーアート

「LeakerLocker」というAndroid向けのモバイルランサムウェアも、2017年に登場しました。ただ、従来のランサムウェアとは異なり、LeakerLockerはファイルを実際に暗号化するわけではありませんでした。LeakerLockerは、Play Store上の悪意のあるアプリケーション(高い権限を要求するようなアプリ)に埋め込まれて配布されていました。そして、ユーザーの携帯電話から得たサンプルデータを表示し、「身代金を支払わなければ、連絡先リストに記載された人全員に電話機内のコンテンツをすべて送信する」と脅していました。

また、最も有名な暗号ランサムウェアの1つである「WannaCry」も2017年に登場しました。NotPetyaと同様に、WannaCryもEternalBlueのエクスプロイトを介して拡散します。2017年5月に出現した後、150か国で約23万台のコンピューターに感染し、40億ドル規模の損害をもたらしました。マイクロソフトはWannaCry登場の2か月前にすでにこのエクスプロイトに対するパッチをリリースしていましたが、多くのユーザーがシステムをアップデートしていなかったため、WannaCryを蔓延させることが可能な状態となっていました。

このランサムウェアは、攻撃開始から数日後に、ランサムウェアに「キルスイッチ」が組み込まれていることを発見したMarcus Hutchins氏の努力によって阻止されました。もし阻止されていなかったら、被害はもっと大きくなっていた可能性があります。Hutchins氏は、WannaCryの世界的な流行を食い止める役割を果たしたにもかかわらず、その後、FBIによって別のハッキング容疑で逮捕、収監されました。なお、複数の主要政府が、WannaCryの首謀者は北朝鮮であると指摘しています。

ランサムウェアとマルウェアの融合(2018年〜2019年)

2018年1月は「GandCrab」が出現したことから、ランサムウェアの転換期となりました。GandCrab自体は特に珍しいものではありませんでしたが、開発者はより高度なバージョンをリリースし続け、最終的にはGandCrabを情報窃取型マルウェア「Vidar」と融合させて、被害者のファイルの窃取とロックの両方を行うランサムウェアを作り上げました。GandCrabは瞬く間に最も人気のあるRaaSとなり、2018年から2019年にかけて最も活発なランサムウェア種となりました。

ランサムウェアGandCrabのランサムノート

また、2018年に登場した脅威アクターチームの「Team Snatch」はGandCrabのパートナーであり、身代金の支払いを強要するために被害者データを公開するという新しいトレンドを生み出した存在です。Team Snatchが被害者データの公開を開始したのは2019年4月のことでした。Team Snatchは、Exploit(ハッキングフォーラム)で活動していた脅威アクター「Truniger」によって結成されたのですが、Trunigerは2019年4月28日、Exploitに、「被害者の1つであるCitycompが身代金の支払いを拒否したため、そのデータを公開する」と投稿したのです。

しかし、GandCrabは現在では使われていません。というのも、2019年6月1日に開発者が引退を発表した上、2019年7月にはFBIが同ランサムウェアの復号キーを公開したからです。

また、Team SnatchはExploitフォーラム上での論争を経て2019年に消滅しましたが、同アクターの行動によって、ランサムウェア「Maze」やリークサイトが台頭する土壌が用意されました。

リークサイトの台頭(2019年〜2020年)

2019年11月、「Maze」ランサムウェアグループは、Allied Universal社から盗まれた700MB相当の文書をリークし、同社や将来の被害者に圧力をかけて身代金を支払わせようと試みました。これにより、「ランサムウェアグループがリークサイトを設立して被害者に圧力をかける」という潮流が生まれます。盗まれたデータが公開されて、機密性の高い財務データ、顧客のPII(個人を識別できる情報)、企業秘密などが漏洩すると、被害者は身代金以外のさらなる経済的損失を被る可能性があります。

このリーク手法は特に、被害者がデータをバックアップしている場合に効力を発揮します。というのも、バックアップがあるならば、復号キーのためだけに身代金を支払うメリットはなくなってしまうからです。結局のところ、このような新たな手法が登場したということはつまり、データをバックアップしても、もはやランサムウェア攻撃の脅威を軽減することはできなくなったということを意味しています。

Mazeランサムウェアのリークページ

Mazeランサムウェアのリークページ

この新しい手法によりランサムウェアの存在感は大幅に高まり、その人気も上昇しているようです。2020年には、NetWalkerグループだけで2,500万ドル以上の利益を上げています。

Mazeランサムウェアが被害者データの掲載を始めて以降、他のランサムウェアグループも自らのサイトにデータを掲載するようになりました。これらのランサムウェアファミリーのいくつかは、かつて結ばれた提携関係の中から生まれたもので、自身のサイトを立ち上げる前にランサムウェアグループと協働して経験を積んだことが宣伝文句となっています。また、ランサムウェアの存在感が増したことは、ランサムウェアグループ間に協力関係が生まれることにもつながりました。例えばMazeは、戦術、技術、手順(TTP)やリソースを共有するランサムウェアグループの「カルテル」を形成しています。

ランサムウェアファミリー「Sodinokibi」は、この分野でも注目すべきアクターです。Sodinokibiの登場により、脅威アクターGandCrabが退いたことで生まれた穴が埋められることになります。「REvil」というグループによって運営されるSodinokibiは、どのグループ(Mazeを除く)よりも多くの被害者をサイトに掲載するなど、最も大きな被害を生み出すランサムウェアグループの1つになりました。

今日のランサムウェア(2020年〜現在)

ランサムウェアは現在も組織を脅かし続けており、FBIのレポート「2021 Internet Crime Report」によると、2021年の被害額は4,290万ドル以上に上ったとのことです。ここで、どんな規模の、どんな業界の企業であれ、留意しておかねばならないことがあります。それは、攻撃された場合に講じるべき措置に関する十分に吟味された専用のルールを用意しておくことが、すべての組織のセキュリティおよび防衛におけるミッションになっているという事実です。

ランサムウェアの台頭は、30年以上にわたる漸進的なプロセスを経たものでした。その人気の高さには、ランサムウェアを支えるテクノロジー(暗号化手法やマルウェアとの統合など)と、ランサムウェアを取り巻くテクノロジー(ビットコインや匿名のTorネットワークなど)の両方が影響しています。そしてこれらのテクノロジーによって、ランサムウェアが単一のハッカーやグループが使用するツールから、集団によって運営されるツールへと成長することが可能になりました。

ランサムウェアは、それ自体が他の形態のマルウェアに取って代わったわけではありませんが、参入障壁が低くなったことで脅威アクターの選択肢としてますます人気が高まっています。かつて、ランサムウェアの攻撃を実行するには長年の開発、暗号化手法、そしてペネトレーションテストの経験が必要だった上、成功してもそれなりの利益しか得られませんでした。しかし現在、RaaSプログラムは不法フォーラムやアンダーグラウンドのWebフォーラムで広く普及していることから、脅威アクターは、ランサムウェアの作成者と簡単かつ安価に提携できるようになっています。さらに、こういったRaaSプログラムはユーザーダッシュボード、ガイド、テクニカルサポートを備えており、高度に開発されています。

また、ランサムウェア攻撃によって得られる利益は大きくなってきています。Cobalt StrikeやMetasploitなどのツールが高度なペネトレーションテストを自動で行うようになり、Genesis Marketなどの不法コミュニティが企業ネットワークへのますます高度なアクセスを提供するようになっていることから、企業へのアクセス権がより手に入りやすくなり、ランサムウェアの身代金要求額もより高額に、かつより収益性の高いものになってきています。さらに、ランサムウェアとデータ抜き取りが組み合わされたことで、被害企業に対して法的措置を取ると脅迫してさらに高額な身代金を要求することが可能になっています。このような背景を理由に、ランサムウェアはその影響力と破壊力の両面において成長を続けています。

Contiの影響

Flashpointのアナリストは、ランサムウェアの被害者として公表される組織の数が全体的に増加していることを観測しており、これは他の研究者の観測とも一致しています。しかし、最近の活動内容からは、傾向がやや読み取りづらくなっています。過去2年間、ランサムウェア攻撃は全体的に増加していますが、ここ数か月(本記事の公開時点)では減少しています。

おそらくこの減少の最大の要因は、Conti(最も有名で有害なランサムウェア種で、ロシアを拠点とするランサムウェアグループ)が解散したことにあります。この分裂により、Contiのかつてのような規模で攻撃を実行する能力が揺るがされています。また、組織構造の一部は残存していて5月以降もContiの活動の兆候が存在しているものの、最近公表されるランサムウェア攻撃の被害者数が少なくなっていることの理由は、ブランドとしてのContiの死にあるのかもしれません。

しかし、Flashpointが観測した被害者数の減少を、Contiの分裂だけで説明できるかどうかは不明です。ランサムウェアの運営者は、2022年に以下のような新たな課題に直面しています。

 

・Contiは、ロシアのウクライナ侵攻に公然と同調している上、ロシアの法執行機関やセキュリティ機関とのつながりを指摘されている。このことから、ほぼ間違いなく「有害」なブランドとなっている。

 

・制裁体制が強化され、大幅に拡大されたため、Contiに攻撃された組織にとって身代金を支払うことによる法的リスクは高くなっている。このことが、被害者の身代金支払い可否の判断に影響を与えたと報告されている。

 

・全体として、制裁措置により暗号資産の支払いに対する監視が厳しくなり、その結果、暗号資産取引所やブローカーがより警戒を強めるようになった。

 

観測された攻撃の中から見受けられる変化が、ランサムウェアをめぐる情勢がいかに変わりやすいものであるかを示している一方で、攻撃は全体的に増加傾向にあります。この点は、他の研究者や米国政府によるランサムウェアの「グローバル化した脅威の高まり」に関する報告とも一致しています。

ランサムウェア情勢におけるその他の変化

ランサムウェア情勢に直接影響を与えた動きに加え、その他の最近の世界的・地政学的要因も、ランサムウェア攻撃、その関連数値、およびそれを実行するグループにとっての「ニューノーマル」を作り出しています。

特に、新型コロナウイルスパンデミックの影響で2020年から2021年にかけてサイバー犯罪インシデントが増加したことに、同時期のランサムウェアに対する認識の高まりや法執行機関、政府、民間企業による対応強化(暗号資産取引所によるコンプライアンスチェック要件やマネーロンダリング対策の要件厳格化など)も相まって、犯罪者にとって状況は複雑化しました。

そして2022年には、地政学的な緊張と制裁状況の進展により、ランサムウェアの運営者はさらに複雑な状況に追い込まれています。地政学的な状況の変化(金銭的な動機を持つサイバー犯罪者が国家を後ろ盾とするグループに協力したり、西側陣営の企業への攻撃に勇み立ったりするリスクが高まっていることを含む)がサイバーセキュリティリスクに対する全体的な意識レベルを高めていることから、攻撃の成功確率が低くなっているのです。

進化する戦術・振る舞い

Flashpointは過去数年にわたり、ランサムウェアグループの変化を観測しています。この変化により、熟練度が高められ、身代金要求額が増え、恐喝の手口はエスカレートしつつあるほか、マネージドサービスプロバイダー(MSP)やマネージドセキュリティサービスプロバイダー(MSSP)が攻撃の起点として使われるようになっています。

また直近では、アナリストは、Contiの破綻を処理したり、収入を増やしたりするための試みと思われるいくつかの新しい戦術を観測しています。例えば、Contiは、異なる名称の複数のグループに分裂したり、受け継がれたりしました。また、TTPも変化しています。従来のランサムウェアは暗号化手法に頼りきっていましたが、比較的新しいグループの中にはデータ抜き取り攻撃のみを実施しているものもあります。さらに、データを誰もが検索可能な状態にして、顧客や従業員を通じて企業の経営陣にさらなるプレッシャーを与えるランサムウェアもあります。ランサムウェアの運営者が新しい課題に次々と対応し続けていることから、Flashpointは、攻撃の減少傾向は一時的なものであり今後再び攻撃件数が増加するだろうと、中程度の確度で評価しています。

自組織をランサムウェア攻撃から守るために

組織のデータ、インフラ、人材は貴重なものです。脅威アクターにこれらを悪用されることがないようにしましょう。無料トライアルに登録し、Flashpointのサイバーセキュリティ技術によってランサムウェア攻撃者やその戦術、技術、手順(TTP)に関する重要な情報および手がかりの入手が可能になる様子を直接ご確認ください。

日本でのFlashpointに関するお問い合わせについて

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

詳しくは以下のフォームからお問い合わせください。

翻訳元サイト

Flashpoint, The History and Evolution of Ransomware Attacks(July 29, 2022)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ