事実と数字が語るランサムウェアの歴史と進化

ランサムウェアが猛威を振るっています。このマルウェアの進化の歴史、被害状況などの数字、そして対策を紹介します。

ransomware-template-1-featured

最近、ニュースを大いに賑わせているランサムウェア。このマルウェアは一時的な話題にすぎず、新たな脅威の登場と同時に忘れられてしまうのでしょうか?残念ながら、そうではないようです。ランサムウェアの感染は世界中に蔓延していて、この手のマルウェアは当分なくなりそうもありません。みなさんを脅かすつもりはありません。いえ、怖がってもらいたいのですが、ふざけているわけでもないのです。Kaspersky Security Networkで収集された統計を見てください。私たちが極めて深刻な脅威に直面していることがわかります。

第1の波:画面ロック型ランサムウェア

ランサムウェアの歴史は、暗号化実装前と実装後に分けられます。暗号化機能を備えた今のランサムウェアの先祖にあたるのは、画面ロック型のランサムウェアです。OSやブラウザーへのアクセスを妨害し、ほどほどの金額の身代金を要求するタイプで、「blocker」(ブロッカー)と呼ばれることもあります。支払いに際しては、ショートコード(電話番号の代わりとなるもの。慈善事業への寄付に使われることが多い)宛にSMSを送信するか、電子ウォレットへ送金するのが普通でした。

かなり実入りのいい手段だったため、画面ロック型マルウェアは犯罪者に広く使われました。当然ながら、セキュリティエキスパートや警察当局は、この問題にすぐさま対応しました。

見出された対策は、電子決済システムの取締規則を変更することでサイバー犯罪者のビジネスに打撃を与える、というものでした。これでサイバー犯罪者側のうまみが減ると同時にリスクが高まり、多くの犯罪者が逮捕されるに至りました。

第2の波:暗号化型ランサムウェア

状況は数年前に一変しました。ビットコインが普及し、サイバー犯罪者の間で広まったのです。この仮想通貨はデジタル資産であると同時に、追跡や規制が不可能な決済システムでもあります。犯罪者がこれを見逃すわけがありません。さらに、犯罪者たちの手口も変化しました。ブラウザーやOSへのアクセスをブロックする代わりに、標的のハードディスクに格納されているファイルを暗号化し始めたのです。これが、次世代の暗号化型ランサムウェアです。「cryptor」(クリプター)と呼ばれることもあります。

暗号化の効果がこれほど高いのはなぜでしょう?プライベートなファイルは唯一無二のものなので、OSを再インストールしても取り戻せません。また、強力な暗号が使われていると、被害に遭ったファイルを元に戻す(復号する)ことは不可能です。これで自信を付けた犯罪者たちは、個人ユーザーから数百ドル、企業から数千ドル、と巨額の身代金を要求するようになりました。

当初は画面ロック型マルウェアほど広がらなかった暗号化型ランサムウェアですが、ほどなくして犯罪者たちは暗号化型に切り替え始めます。2015年末までには、ランサムウェアによる攻撃の数が劇的に膨れ上がりました。

JA_01

当社のクラウドネットワーク「Kaspersky Security Network」の統計に基づく分析によると、2014~2015年に131,111回だった攻撃数は2015~2016年には718,536回となり、1年間で攻撃数が5倍以上に増加しています。

攻撃の国別分布と活動が活発なランサムウェアファミリー

ランサムウェアの攻撃件数上位10か国は、インド、ロシア、カザフスタン、イタリア、ドイツ、ベトナム、アルジェリア、ブラジル、ウクライナ、米国です。しかし、インド、アルジェリア、ロシア、ベトナム、カザフスタン、ウクライナ、ブラジルの利用者を攻撃しているランサムウェアは、ほとんどが比較的性質が穏やかな旧バージョンの画面ロック型です。これに対し、米国のランサムウェア被害者の40%は、危険性の高い暗号化型によって攻撃されています。イタリアとドイツの場合、事態はさらに深刻で、「ランサムウェア」といえば暗号化型ランサムウェアを指すほどです。

2015から2016年にかけて最も活発に活動したのは、身代金恐喝目的のトロイの木馬でした。具体的には、TeslaCrypt(全攻撃の約半数、ただし復号ツールあり)、CTB-Locker、Scatter、Cryakl復号可能、リンク先は英語)の4種です。これら4ファミリーで、「ランサムウェア市場」の約80%を占有しています

JA_04

もう1つ、注目すべき事実があります。当初、ランサムウェアの主な標的は個人ユーザーでした。暗号化を採り入れた後は、企業も標的としています。ランサムウェアによる攻撃を受けた企業ユーザーの割合は、20142015年の6.8%から20152016年の13.13%2倍程度になりました

JA_07

2014~2016年のランサムウェアの進化については、securelist.comをご覧ください(英語記事)。

ランサムウェアから身を守るには

  1. 定期的にデータのバックアップを作成しましょう。
  2. 信頼できるセキュリティ製品を使用しましょう。たとえば、カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)をはじめとするカスペルスキー製品は、存在が知られているランサムウェアファミリーを検知し、ブロックします。また、まだ存在が知られていない新手の暗号化型ランサムウェアからユーザーを保護するためのモジュールも組み込まれています。
  3. 定期的にソフトウェアを更新しましょう。パッチはソフトウェアの脆弱性を修正します。バグが少ないシステムほど、マルウェアに感染しにくくなります。
  4. Kaspersky Daily(当ブログ)とthreatpost.comで、こまめに最新のサイバーセキュリティ情報を入手しましょう。今日は警告でも、明日には現実になるかもしれません。最新の脅威についての情報は、友達や家族や同僚にも伝えましょう。
  5. ランサムウェアにやられてしまったとしても、あっさり身代金を払わずに、さまざまな選択肢を試してみてください。画面ロック型ランサムウェアの場合は、無料で利用できるWindowsUnlockerツールをお試しください。暗号化型ランサムウェアの場合は、NoRansom.kaspersky.comをチェックして、解決策がないか確認しましょう。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?