KSNレポート:ランサムウェアの脅威状況(2016~2017年)

Kaspersky Labは、2016~2017年のランサムウェアに関する状況をレポートにまとめました。攻撃を受けた端末の数などを前年度と比較するとともに、今後のトレンドを予測します。

「ランサムウェア」はマルウェアの一種で、使用しているPCやモバイルなどの端末に感染し、その端末自体や保存されているデータを使用不能な状態にし、アクセスをできないようにします。デバイスやデータを使用可能な状態に戻す(ロックを解除する)には、身代金を支払わなければなりません。ランサムウェアは、画面ロック型と暗号化型の2タイプに分類できます。また、ランサムウェアを感染させる為のダウンローダー型トロイの木馬もランサムウェアとして分類される傾向もあります。

このレポートの統計情報は、Kaspersky Security Network(KSN)によって収集された匿名データを基に作成しています。KSNは、Kaspersky Labのセキュリティ製品の各種コンポーネントから情報を収集するクラウドベースのセキュリティネットワークです。インターネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSNに接続されたすべての端末を保護します。KSNには全世界で数千万の個人および法人ユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。すべての情報は、ユーザーの同意を得て収集されています。KSN機能が有効化されたカスペルスキー製品のユーザーが利用する端末のうち、期間内に少なくとも1回、ランサムウェアの攻撃を検知した端末台数を測定基準としています。また、Kaspersky Labのエキスパートによるランサムウェアの脅威の状況に関する調査の結果も併せて使用しています。

このレポートでは、ランサムウェアの脅威の状況について調査しました。調査対象期間は2015年4月から2017年3月の2年間で、2016年度(2016年4月~2017年3月)と2015年度(2015年4月~2016年3月)のデータを比較します。

過去1年間におけるランサムウェアの進化の概況

Ransomware-as-a-Serviceの台頭

2016年5月、Kaspersky Labは、ハードディスクドライブのマスターブートレコード(MBR)を上書きし、感染したコンピューターのOSを起動できないようにするランサムウェア「Petya」を発見しました。

このマルウェアは、Ransomware-as-a-Service(サービスとしてのランサムウェア、以下RaaS)モデルとして注目に値する事例です。これは、ランサムウェア開発者が悪意ある製品を「オンデマンドで」提供し、複数の別の攻撃者が感染を拡大させ、ランサムウェアによって得た利益の一部を手に入れるといったビジネスモデルです。Petyaの開発者は、自分の取り分を確保するため、Petyaに「保護メカニズム」を組み込むことでサンプルを無断で使用できないようにしていました。

RaaSは新しいトレンドではありませんが、商品としてランサムウェアを提供する開発者もますます増え、この拡散モデルは進化を続けています。 このアプローチは、自分自身でマルウェアを開発するだけのスキルやリソースを持たない、または独自でマルウェアを開発する気のない 犯罪者 にとって魅力的なビジネスモデルであることを証明しています。

2016年に登場した、このようなビジネスモデル化しているランサムウェアは、「Petya/Mischa」や「Shark」(後に「Atom」という名前でリブランドされたもの)が有名です。

標的型攻撃の増加

2017年初め、Kaspersky Labの調査チームは、個人ユーザーへの攻撃から、企業を狙った標的型ランサムウェア攻撃(英語記事)に切り替えるサイバー犯罪者が増加しているという危険な傾向を見出しました。

このような攻撃の標的は主に世界各地の金融機関で、Kaspersky Labのエキスパートは要求された身代金の額が50万ドルを超えるケースを複数確認しています。

このような状況は、ランサムウェアを使用する犯罪者が、より多くの利益を見込める新たな標的に向けて攻撃を開始したものとして憂慮すべき傾向です。ランサムウェア対策のされていないさらに多くの潜在的標的があり、攻撃の結果がよりいっそう悲惨なものとなる可能性があります。

このレポートでは、攻撃の規模の把握と、世界的に新たな角度からランサムウェア開発が行われている理由について明らかにします。

主な調査結果

  • ランサムウェアの攻撃を検知した端末数は2,581,026台で、前年より11.4%増加しました(2015年度は2,315,931台)。
  • マルウェアの攻撃を検知した端末のうち、一度でもランサムウェアの攻撃を検知した割合は3.88%と、前年より0.4ポイント減少しました(2015年度は4.3%)。
  • ランサムウェアの攻撃を検知した端末のうち、暗号化型ランサムウェアだった割合は44.6%で、前年より13.6ポイント上昇しています(2015年度は31%)。
  • 暗号化型ランサムウェアの攻撃を検知した端末は1,152,299台で、前年の1.6倍に増加しました(2015年度は718,536台)。
  • モバイルランサムウェアの攻撃を検知したAndroid端末は130,232台で、前年より4.6%減少しています(2015年度は136,532台)。

結論と予測

本レポートで調査したデータと傾向に基づいて導き出された結論は次のとおりです。

  • ランサムウェアを使う犯罪者は、互いにつぶし合いを始めました。これは、ランサムウェア犯罪グループ同士の競争が激化していることを表しています。
  • 地理的分布は、攻撃者の標的が、ランサムウェア対策があまりできておらず、犯罪者間での競争がそれほど厳しくない国に切り替わったことを示しています。
  • 標的型ランサムウェア攻撃がますます増加し、世界中の金融インフラが襲われています。犯罪者は、個人ユーザーへの大規模攻撃よりも、標的型ランサムウェアで企業を攻撃する方が、より多くの利益を見込めると考えているためです。
  • 伸び率が悪くなっているとはいえ、Windowsを狙ったランサムウェアが依然として増え続けています。
  • 調査対象期間中にモバイルランサムウェアの攻撃を検知したAndroid端末の台数は減少しています。これは、セキュリティベンダーや司法当局などの関係者が共同で実施した対抗措置が成功した証だと思われます。大規模な攻撃を世界中のメディアが報道したことにより、サイバー脅威に対する世間の関心が高まったことも一役買っているでしょう。
  • 暗号化型ランサムウェアからユーザーを守るために、業界が連携して行った取り組みが発展したことも理由の1つです。
  • 統計は、ランサムウェアを使った攻撃が大規模に行われたことを示していますが、モバイル攻撃の大半は、ごく少数のマルウェアグループによって担われており、そのほとんどがアフィリエイトプログラム経由で拡散されています。一方、Windowsを狙うランサムウェアは違っており、野放しにされている多数の犯罪者が、場当たり的に攻撃を行っています。

以上の結論とランサムウェアの脅威の現状は、この脅威が将来どのような展開を見せるか、その予測を可能にする根拠を提供していると思われます。

予測

  • 身代金を要求するランサムウェアのモデルは今後も定着します。平均するとやや高い水準を維持した成長率は、憂慮すべき傾向かもしれません。これまでは、犯罪者が脅威の勢力図に加わるための足がかりを築くために、秩序なく、散発的に行っていましたが、今後は一定のペースを保った大量攻撃へ変化する可能性があります。
  • ランサムウェア市場の競争が激化している様子から考えると、RaaSがさらに普及し、新たな犯罪者の参入に影響を与えるでしょう。
  • ランサムウェアはより高度化し多様化され、スキルやリソース、時間が無くても手軽に使える攻撃サービスが多数提供されるようになります。そのような攻撃サービスが流通するアンダーグラウンドのエコシステムも拡大し、さらに効率が上がっています。
  • 犯罪者間のインフラが発展することで、標的型攻撃の実行や、金銭を窃取するために簡単に使えるツールの出現が進み、攻撃の範囲がさら広がります。この傾向はすでに確認されており、このまま続くと見ています。
  • 暗号化型ランサムウェアからユーザーを保護する世界的な取り組みは、ますます勢いを伸ばしていくでしょう。

Kaspersky Labが提供する対抗措置

テクノロジーを通じて
ランサムウェアから企業や組織を守るための補完的なセキュリティ機能を提供する無料のツール「Kaspersky Anti-Ransomware Tool for Business」を提供しています。すでにインストールされている他社セキュリティ製品をアンインストールすることなく使用できます。

コラボレーションを通じて:「No More Ransom」プロジェクト
2016年7月25日、オランダ警察、欧州刑事警察機構(ユーロポール)、Intel Security、Kaspersky Labは、No More Ransomプロジェクトの開始を発表しました。これは公共団体と民間団体が協力して、ランサムウェアの危険性を人々に知らせ、データの復元を支援することを目的とした非営利的な活動です。

現在、50種類の復号ツールが公開されており、そのうち7種類はKaspersky Labによって開発されたものです。すでに全世界の29,000人以上の人々が、Kaspersky Labの復号ツールを活用して、金銭を支払うことなくファイルのロックを解除しています。「No More Ransom」は現在、イタリア語、ウクライナ語、オランダ語、スペイン語、スロベニア語、ドイツ語、フィンランド語、フランス語、ヘブライ語、ポルトガル語、英語、韓国語、日本語の14か国語に対応しています。

本レポートの全文(日本語版)は、こちらよりご覧いただけます

ヒント