ランサムウェア、その歴史

かつては単純に画面をロックするだけだったランサムウェアは、どのようにして、企業や社会を震撼させる脅威となっていったのでしょうか。

情報セキュリティに関心のある人なら、近年はランサムウェアの話題を目や耳にする機会が多かったのではないでしょうか。もしかすると、不運にも攻撃を受ける側になった人もいるかもしれません。ランサムウェアを「今の時代で最も危険なマルウェア」と言っても過言ではないでしょう。

このような悪質なプログラムは、実は30年以上前から存在していました。ご存じでしたか?現在のランサムウェア攻撃に見られる特徴の多くが1990年代半ばには予測されていたことは?画面をロックするタイプに代わってファイルを暗号化するタイプが広まった理由は?史上最大の身代金支払い額は?AIDSとランサムウェアの関係は?

ということで、今回は、ランサムウェアの歴史をまとめました。過去数十年にわたるランサムウェアの進化の様子を、その始まりから一緒にたどっていきましょう。

ランサムウェア用語集

今回の記事に登場する用語をまとめました。

暗号 — 部外者による機密情報の読み取りを防止する技術。暗号化は、暗号の一側面です。

対称鍵暗号方式(共通鍵暗号方式) — 情報の暗号化と復号に1つの鍵を使用するデータ暗号方式。

非対称鍵暗号方式(公開鍵暗号方式) — 2つの鍵を使用するデータ暗号方式。情報の暗号化には公開鍵、復号には秘密鍵を使用します。公開鍵を知っていても、秘密鍵がないと復号できません。

RSA — 一般的に使用されている非対称暗号アルゴリズム。

ランサムウェア — 被害者に身代金を無理やり支払わせようとする悪意あるプログラムの総称。画面ロック型(ブロッカー)、暗号化型(クリプター)、暗号化型を装ったワイパーといった種類があります。

画面ロック型(ブロッカー) —コンピューターやモバイルデバイスの画面をロックする、あるいはロックしたように見せるタイプのランサムウェア。支払いを要求するメッセージが画面にずっと表示されるのが、典型的な画面ロック型の挙動です。

暗号化型(クリプター) —ファイルを暗号化して使用できないようにするタイプのランサムウェア。

ワイパー —感染したデバイス上のデータを消去するタイプのマルウェア。暗号化型ランサムウェアのように見せかけて実はワイパーだった、という場合もあります。そうした場合には、ファイルが修復不能なほど損傷しているため、要求額を支払ったとしてもデータを復元できません。

RaaS(Ransomware-as-a-Service) — 日本語にすると「サービスとしてのランサムウェア」。手間をかけずにランサムウェアを使いたい人向けに、ランサムウェア作成者がランサムウェアを貸し出すという犯罪の仕組み。サイバー犯罪のフランチャイズのようなものです。

1989年:最初のランサムウェア攻撃

生物学研究者のジョセフ・L・ポップ(Joseph L. Popp)博士は、初めて世に知られた暗号化型ランサムウェアを作成した人物です。当時高まっていたAIDSへの関心を利用してマルウェア感染を図ったことから、このマルウェアは「AIDS Trojan」の名で知られるようになりました。

その当時はまだインターネットの黎明期だったので、ポップ博士は(現在の基準からすると)かなりユニークな方法でマルウェアを配布しました(英語記事)。世界保健機関(WHO)のAIDS会議の参加者と『PC Business World』誌の定期購読者の名簿を入手し、「AIDS Information Introductory Diskette(AIDS情報入門)」というラベルを貼ったフロッピーディスクを送りつけたのです。プログラムの詳しいインストール手順も一緒に。使用許諾契約書には、「このプログラムをインストールすることによって、プログラム利用者は提供元企業に378ドルを支払うことに同意したものと見なされる」という一文が添えられていました(英語記事)。それにしても、誰がそんなものを本気にするでしょうか?

しかし、マルウェアは本物でした。システムの起動回数が特定の回数に達するとAIDS Trojanが活動を始め、感染したコンピューターのCドライブ上のファイル名(拡張子を含む)を暗号化したのです。ファイル名は意味のない文字の羅列に変わり、ファイルをいつものように作業することができなくなってしまいました。例えば、ファイルを開いたり実行したりするには、まず、正しい拡張子はどれなのかを解き明かした上で、拡張子を手で変更しなければなりません。

同時に、このマルウェアは「ソフトウェアの評価期間が終了したため、利用料を支払う必要がある」という旨のメッセージも表示しました。提示された利用料は、1年の場合は189ドル(現在のレートで約2万円)、永年の場合は378ドル(同じく、約4万円)で、送金先はパナマにある銀行口座になっていました。

このマルウェアで使われたのは対称鍵暗号方式であったため、ファイルを復元するための鍵は、マルウェアのコード内に含まれていました。そのため、問題の解決は比較的簡単でした。鍵を取得し、マルウェアを削除し、その鍵を使用してファイル名を復元すればよいのです。1990年1月までに、この処理を行うためだけのプログラムである「AIDSOUT」や「CLEARAID」が、Virus Bulletin誌の編集アドバイザーのジム・ベイツ(Jim Bates)氏によって作られました。

ジョセフ・ポップ博士は逮捕されましたが、裁判を受けるにはポップ博士は精神的に不適合であるとの判断を裁判所が下します。ポップ博士は10年後、『Popular Evolution: Life-Lessons from Anthropology』という本を出版しました(リンク先は英語)。


1995年~2004年:ヤング、ユング、そして未来のランサムウェア

おそらくAIDS Trojanが作成者に富をもたらすことができなかったせいで、「身代金目的でのデータ暗号化」という考え方は、当時の詐欺師界隈ではいまひとつ盛り上がりませんでした。ランサムウェアに対する関心が復活したのは1995年になってから、それも科学界でのことでした。

最強のコンピューターウイルスとはどのようなものか、暗号作成者のアダム・L・ヤング(Adam L. Young)氏とモチ・ユング(Moti Yung)氏が研究に乗り出したのです(英語記事)。2人は、非対称鍵暗号方式を用いたランサムウェアという概念を思いついたのでした。

ヤング氏とユング氏は、1つの(しかもプログラムコード内に追加された)鍵を使ってファイルを暗号化するのではなく、公開鍵と秘密鍵という2つの鍵を使用する方法を取ることで、復号鍵の存在を隠すことにしました。さらに2人は、被害者は電子マネーで金銭を支払うことになるとの仮説を立てました。まだ電子マネーが存在しない時代のことです。

彼らはこの考えを1996年のIEEE Security & Privacyで発表しましたが、評価は振るいませんでした。2004年に『Malicious Cryptography: Exposing Cryptovirology』という書籍を出版したヤング氏とユング氏は、同書の中で研究結果を体系的に説明しています(英語)。

2007年~2010年:画面ロック型の黄金時代

暗号化型のランサムウェアが好機をうかがっている間に、別のタイプのランサムウェアが台頭してきました。画面ロック型です。画面ロック型ランサムウェアは、どうやっても閉じないウィンドウを表示したり、デスクトップの壁紙を変更したりと、さまざまな方法でコンピューターを使えなくしてしまいます。身代金の支払い方法の一つは、プレミアムナンバーにSMSを送るという方法です(リンク先は英語)。

画面ロック型はやや原始的なタイプのマルウェアで、Windowsのスタートアップに潜り込み、OSの通常の機能を妨げます。さらに、削除されるのを阻止するため、レジストリエディターやタスクマネージャーにアクセスできないようにするタイプも多数ありました。

一般的に、画面ロック型ランサムウェアはウイルス対策プログラムがなくても無効化できましたが、かなりのノウハウが要求されました。手動で駆除するには、ライブCDやレスキューCDからシステムを起動したり、セーフモードで起動したり、別のユーザープロファイルでWindowsにログインしたり、といったことが必要でした。

しかし、ある程度駆除しやすいという「欠点」は、マルウェアの作りやすさで相殺されました。マルウェアの自動生成システムまであり、実質的に誰でも画面ロック型ランサムウェアを拡散できる状態でした。

画面ロック型ランサムウェアの中には、デスクトップ画面にポルノのバナーを表示し、禁じられたコンテンツを視聴したからこうなったのだと主張するものもありました(現在も使われている手口です)。何とか払える程度の金額が要求されたため、助けを求めるよりも、言われるままに要求金額を支払うことを選ぶ人は少なくありませんでした。

2010年:非対称鍵暗号化方式を使用した暗号化型ランサムウェア

2010年になると、暗号化型ランサムウェアの開発者たちは手口を大幅に進化させ、ユング氏とヤング氏が予測したとおり、非対称鍵暗号化方式を利用し始めます。「GpCode」という暗号化型ランサムウェアの亜種には、RSAアルゴリズムをベースにしたものもありました(リンク先は英語)。

2013年:ハイブリッド型ランサムウェア「CryptoLocker」

2013年後半には、画面ロック型と暗号化型が合わさったハイブリッド型のマルウェアが現れます(英語記事)。マルウェアを削除しても(つまり画面のロックを解いても)ファイルを開けないため、サイバー犯罪者が金銭を手に入れる機会が増加しました。このようなハイブリッド型の中で最も悪名高いのは、おそらくCryptoLockerでしょう。このマルウェアはスパムメールで拡散され、その背後にいるサイバー犯罪者はBitcoinで身代金を受け付けていました。

2015年:画面ロック型から暗号化型へ

2015年、Kasperskyでは、暗号化型ランサムウェアの感染の試みが雪だるま式に増えていくのを目の当たりにしました。攻撃の数は5.5倍となり、暗号化型が画面ロック型を凌駕し始めました。

暗号化型が優勢になったのには、いくつか理由があります。第1に、いつでも再インストールできるシステムファイルやアプリケーションよりも、個人的なデータの方がはるかに価値が高いこと。それを暗号化することで、サイバー犯罪者はかなり高額な身代金を要求できるようになり、実際に金銭を手にできる確率も上がりました。

第2に、2015年までには匿名での送金手段として暗号資産(仮想通貨)が広く利用されるようになっており、攻撃者としては追跡される心配がなくなったこと。Bitcoinその他の仮想通貨によって、気付かれることなく巨額の身代金を受け取ることが可能になりました。

2016年:大規模ランサムウェア

ランサムウェアはサイバーセキュリティにおける一大勢力として成長を続け、2016年になると、ランサムウェアの変種の数が11倍になりました(英語記事)。身代金の平均額は、0.5〜数百BTC(現在に比べるとわずかな額ですが)でした。主な標的は個人から企業に変わり、新たな犯罪産業が出現したと言われるようになりました。

サイバー犯罪者は、マルウェアを自作する必要がなくなりました。既製のマルウェアを購入すればよいのです。例えば、Stampadoというランサムウェアの「永久ライセンス」が売りに出された例がありました。Stampadoは、一定の時間が経過したらファイルを無作為に削除すると脅し、身代金を支払わせようとするランサムウェアです(英語記事)。

ランサムウェアはまた、RaaS(Ransomware-as-a-Service)モデルでの利用も可能になりました。「RaaS」は、Encryptor RaaSが登場したときに使われだした言葉です(リンク先は英語)。RaaSモデルによって、ランサムウェアはさらに広く拡散するようになりました。

企業や個人に加え、政府や自治体の組織も狙われるようになりました。最たる例がHDDCryptorです。サンフランシスコ市交通局にある2,000台以上のコンピューターが、このランサムウェアに感染しました。システムの復旧に100 BTC(当時の価格で約7万ドル)を要求されたものの、交通局のIT部門はなんとか自力で問題を解決することに成功しました。

2016年~2017年:Petya、NotPetya、WannaCry

2016年4月、Petyaという新しいマルウェアが頭角を現しました。それまでの暗号化型ランサムウェアは、OSにはダメージを与えずに身代金を支払わせていました。ところがPetyaは、ハードディスク上のファイルやフォルダーの構造全体を保管するデータベースであるMFT(マスターファイルテーブル)を攻撃し、感染先のマシンを完全に操作不能にしてしまったのです。

Petyaは、その破壊的な性質と同じくらい、侵入や配布の仕組みが雑でした。Petyaを稼働させるには、実行ファイルを手動でダウンロードして実行する必要があったのです。そのため、感染の可能性はそれほど高くありませんでした。WannaCry(上手く命名したものです)の存在がなければ、Petyaはあまり目立たなかったかもしれません。

2017年5月、ランサムウェアWannaCryが全世界の50万台を超えるデバイスに感染し、40億ドルもの被害をもたらしました。Windowsに存在する複数の非常に危険な脆弱性を悪用する、EternalBlueというエクスプロイトを利用したのです。EternalBlueはネットワークに侵入し、ネットワーク内部のコンピューターにWannaCryをインストールします。WannaCryは、ローカルネットワーク上のほかのデバイスに感染を広げていきました。WannaCryは、ファイルを暗号化して身代金を要求するという、典型的な暗号化型ランサムウェアの挙動を見せました。

WannaCryの発生から2か月も経たないうちに、別の暗号化型ランサムウェアが出現しました。こちらもEternalBlueを利用するランサムウェアで、NotPetya(別名:ExPetr)と名付けられました。NotPetyaは、ハードディスク全体を破壊するという挙動を見せました。

それだけでなく、NotPetyaは、身代金を支払った後でも復号ができないようにファイルテーブルを暗号化していました。そのため、エキスパートたちは、実際はランサムウェアを装ったワイパーであるという結論に至りました。NotPetyaによる被害額の合計は、100億ドルを超えています(英語記事)。

WannaCryの攻撃は非常に破壊的だったため、Microsoftはサポート期間が終了していたOSについても緊急パッチをリリースしました。サポート対象のOSの更新プログラムは、これらランサムウェアが流行するかなり前にリリースされていましたが、適用されていないOSも多々あったため、この2つのランサムウェアは、その後も長きにわたって存在感を見せることになりました。

2017年:復号と引き換えに巨額の支払い

前代未聞の被害に加え、2017年には別の記録が打ち立てられました。一組織が支払ったものとしては、知られている中で最高額の身代金が支払われたのです。韓国のWebホスティング会社Nayanaが、Erebusという暗号化型ランサムウェアに感染したコンピューターのブロックを解除するのに、100万ドル(10億円強)を支払うことに同意しました(英語記事)。これでも減額された金額で、元はこの4.5倍の額でした。

エキスパート界隈が何よりも驚いたのは、同社がこの支払いについて公表したことです。被害者の多くは、こういったことを公表したがらないものです。

2018年~2019年:社会に対する脅威

この頃は、公共事業や公共施設に対する大規模なランサムウェア攻撃が目立ちました。交通機関、水道会社、電力会社、医療機関を狙う攻撃が増えたのです(英語記事)。サイバー犯罪者たちは、これらの機関は要求額を支払うだろうと踏んでいました。要求された身代金の額が莫大だったとしても、無視すれば、大変な数の人々が困ることになるからです。

例えば2018年、英国のブリストル空港がランサムウェアの攻撃を受けました(英語記事)。フライトの表示スクリーンが丸2日にわたって使用できなくなり、空港職員はホワイトボードを使って急場をしのぎました。空港の名誉のために記すと、攻撃への対応は迅速かつ効果的でした。私たちの知るかぎり、欠航になったフライトはなく、身代金も支払われていません。

米国のHancock Health病院の場合、そうはいきませんでした。病院のシステムがSamSamというランサムウェアの攻撃を受けた後、同病院は4 BTC(当時のレートで55,000ドル、日本円で約600万円)を支払いました。同病院の最高経営責任者(CEO)であるスティーブ・ロング(Steve Long)氏は、身代金を支払うという決定に至った理由として、吹雪が迫っていただけでなく記憶にある限り最悪のインフルエンザシーズンを迎えていたことを挙げました(英語記事)。自分たちでコンピューターを復旧させる時間がなかったのです。

ランサムウェア被害を受けた米国地方自治体の数は、2013年以降2019年5月までの間に170を超え(英語記事)、要求された身代金の額は500万ドル(約5.4億円)に達しました。地方自治体ではOSの更新の実施が難しい場合があるため、こうした組織を狙う攻撃では古い(したがって入手しやすい)エクスプロイトが多く使用されました。

2020年:規模の拡大、データ漏洩を振りかざす脅迫

2020年になると感染の規模が拡大し、被害や身代金の額も増大しましたが、何といっても忘れられないのは、新たなハイブリッド型の手口が登場したことです。ただ単にデータを暗号化するのではなく、暗号化する前にデータを犯人グループへと送るランサムウェアが現れました。データを手に入れた犯人グループは「このデータを公にする」「競合他社へ漏らす」と脅迫して身代金の支払いを強要します。個人情報に関して世の中が過敏になっている今、そのようなことになればビジネスにとって致命的な問題になりかねません。この手口が最初に見られたのは2019年、Mazeというランサムウェアを操るサイバー犯罪グループによる攻撃活動の中でしたが、2020年になると正真正銘のトレンドになりました。

英国の美容整形外科チェーンであるTransform Hospital Groupは、2020年の中でもかなり目立った被害者となりました。ハッカーグループのREvilによって、同社のデータ900GB分が暗号化され、盗み取られたのです(英語記事)。その中には患者の手術前後の写真も含まれており、犯人グループはそれらの写真を公開すると脅しました。

暗号化型ランサムウェアを操る犯罪者たちは、このほかにもさまざまな戦術を新たに導入しました。例えばREvilグループは、盗んだ情報をオークション形式で販売するようになりました(英語記事)。また、サイバー犯罪者同士が手を組んでカルテルを形成するようになりました。ここでも先陣を切ったのはMazeグループで、ランサムウェアLockBitによって盗まれた情報をWebサイトに掲載し始めました。Mazeのメンバーはオンラインメディアの取材に対し、データ漏洩用プラットフォームの提供や知識の共有を行うなどしてLockBitと緊密に連携していると答えています(英語記事)。

Mazeグループはまた、間もなくRagnar Lockerもカルテルに加わるだろうと述べました。Ragnar Lockerは、標的企業へのさらなる圧力として、その企業のリソースにDDoS攻撃を仕掛けるという手口を先駆けて取り入れたサイバー攻撃グループです。

まとめ

30年前には比較的害のない存在だったランサムウェアは、いまやあらゆるプラットフォームの利用者、特に企業を脅かす、深刻な脅威に進化しました。被害に遭わないためには、こちらの記事で紹介したセキュリティのヒントをご確認ください。万一感染してしまった場合は、サイバー犯罪者らの言いなりになるのではなく、専門家の力を借りることが重要です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?