変貌するランサムウェア、いま何が脅威か―2020年最新動向―

データ等を不正に暗号化し、「身代金（Ransom）」を支払うよう個人や企業を脅迫・恐喝するランサムウェア。近年世界各地で猛威を振るい、日本国内での被害も複数報じられています。本記事では、そのランサムウェアをめぐる最新情報をご紹介します。なお、ランサムウェアに関する基本的情報については、「ランサムウェアその被害と対応策、もし感染したら企業経営者はどう向き合うべきか」をご参考ください。

ランサムウェア特集2021年版を公開しました！
2021年の最新動向については、「ランサムウェア最新動向2021
―2020年振り返りとともに―」をご覧ください。

ランサムウェアの現状

現在のランサムウェアは、「Ransomware-as-a-Service」（通称「RaaS」）と呼ばれる形態、すなわち、ランサムウェアそのものを提供するのではなく、サービスとして犯罪行為を提供する形態が主流となっています。また、従来のメールのばらまきやワームによる拡散のように機械的にランサムウェアをばらまく方式に加えて、攻撃者が手動で侵入し、ネットワーク内で慎重に被害範囲を拡大させて攻撃の影響を最大化する「人手によるランサムウェア攻撃（human operated ransomware attacks/campaigns）」が増えています。人手によるランサムウェア攻撃の手法には、APT（Advanced Persistent Threat：持続的標的型攻撃）との類似点が多く、APTへの対策がそのままランサムウェア攻撃への対策となりつつあるという現状があります。

また、単に身代金の支払いを要求するだけではなく、身代金を支払わなかったらデータの暴露を行うと脅すタイプのランサムウェア（とその犯行グループ）もあり、身代金を支払ったにもかかわらずデータが暴露されてしまったケースも出ています（なお、こうした犯行では、データを暴露するサイトがダークウェブに開設されています）。さらに、一部のランサムウェアはデータ破壊の機能も備えているため、以前にもましてオフラインバックアップの重要性が増しているともいえます。

身代金の額も年々上昇しており、ENISA（欧州ネットワーク情報セキュリティ庁）の2020年版年次レポートによると、2019年に支払われたと推計される身代金は100億ユーロ（約1.2兆円）を超えました。その他、各種調査機関の四半期レポートでも、2020年はさらに身代金の支払い額が増えていることが報告されています。

このような状況下においては、サイバー保険が一層重要性を増し、多くの企業ではランサムウェア等の被害からの復旧を前提として契約を行っていると考えられます。しかし、スイスの保険会社の米法人がランサムウェア攻撃をサイバー保険の免責事項にあたる戦争に該当するとして支払いを拒否したことから、現在係争中となっているケースがあり、「サイバー保険を掛けていれば大丈夫」と言い切れない点に注意が必要です。

各種ランサムウェアの概要

現在、活況を呈しているともいえるランサムウェア。2020年の時点でどのようなランサムウェアが確認されているのでしょう。主なものを以下に紹介していきます（類似の特徴を持つランサムウェアは、ランサムウェアファミリーとして、まとめて解説しています）。

REVil/Sodinokibi

＜概要＞
REVil、またの名をSodinokibi（またはSodin）。当初はアジア圏を中心に、現在は地域を問わず多くの被害が確認されているRaaSです。アフィリエイトプログラムも盛んで、支払われた身代金の30%～40%をアフィリエイトに支払っているとも言われ、組織的な犯行であることが知られています。2019年に活動停止を宣言したランサムウェアGandCrabのコードとの類似性が高いこと、身代金の支払いを行わなかった場合にデータの暴露を行う脅迫を行うことでも知られています。このランサムウェアファミリーの初期アクセス活動は、標的型フィッシングメールによるもののほか、リモートデスクトップサービス（RDP）やVPNゲートウェイなどの脆弱性を悪用したケースもあります。

＜被害事例＞
2020年1月に英・外貨両替商が被害を受け、230万米ドル（約2億5千万円）の身代金が支払われました。この事例では、脆弱性が修正されていないVPNサーバ「Pulse Connect Secure」が攻撃の足掛かりにされたことが知られています。

Nephilim/Nefilim

＜概要＞
このランサムウェアは、身代金の支払いと、身代金の支払いを行わなかった場合のデータ暴露という二重の脅迫を行うことで知られています。2020年6月にニュージーランドのCERTが公開した注意喚起によると、Cirtix ADCなどの脆弱性（CVE-2019-19781、2020年1月に修正プログラム公開済み）を悪用したり脆弱な認証機構を突破したりすることにより不正アクセスを行った後、Mimikatz、psexec、Cobalt Strikeなどのツールを利用して権限昇格や横展開を行って永続性を確保し、その後、このランサムウェアによるファイルの暗号化と身代金の要求が行われます。

＜被害事例＞
日本企業の豪子会社で2020年1月と5月の二度にわたってランサムウェアの被害が発生しましたが、そのうち5月に発生した被害がNefilimによるものであるとされています。なお1月のランサムウェア被害は、次に紹介するNetWalkerによるものでした。

NetWalker/Mailto

＜概要＞
主に欧米諸国とオーストラリアの企業をターゲットとしたランサムウェアで、他のランサムウェア同様に、身代金の支払いと、身代金の支払いを行わなかった場合のデータ暴露という二重の脅迫を行います。初期アクセスはRDP、標的型フィッシングメール、古いバージョンのApache TomcatやOracle WebLogic Serverへの攻撃により行われます。一方、侵入後の権限昇格にはSMBv3の脆弱性（CVE-2020-0796）などの脆弱性が用いられます。

＜被害事例＞
直近の事例では2020年10月にイタリアのエネルギー会社が被害を受け、1400万米ドル（約1億5千万円）の身代金を要求されたという報道*1があります。5TBほどのデータが暗号化されたうえ、持ち出された可能性があり、身代金を支払わない場合にはデータを暴露するという脅迫も受けています。

Ryuk/Conti

＜概要＞
Ryukは2019年に猛威を振るったランサムウェア、Contiは2020年に登場したランサムウェアで、類似性が指摘されています。いずれも北米での被害、それも公的機関や医療機関での被害が多い点に特徴があり、他のマルウェア（Trickbotなど）を介して侵入したのちデータの暗号化と持ち出し、身代金の要求を行います。Contiについては、身代金の支払いを拒否した組織のデータの暴露を行っており、EDRのフッキングをバイパスすることも報告されています。

＜被害事例＞
Contiについては2020年10月に米マサチューセッツ州とジョージア州の医療機関で被害があり、データの暴露が行われたことが確認されています。Ryukに関しては、米CISAが、医療機関での被害を受け、TrickbotおよびバックドアマルウェアであるBazarLoader/BazarBackdoorと合わせての注意喚起を行っています。

ChaCha/Maze/Sekhmet/Egregor

＜概要＞
ChaChaにルーツを持つランサムウェアがMazeで、SekhmetやEgregorはその亜種として位置づけられています。REVil/Sodinokibi同様にアフィリエイトモデルを採用している点に特徴があり、複数のグループが連動して動いているとされています。2020年11月、国内大手企業の被害により日本でも名を知られるようになったRagnar Lockerも、過去にアフィリエイトとして協力関係にあったといわれています。身代金の要求に加えて、支払いを拒否した場合のデータ暴露の脅迫を行う点もREVil/Sodinokibiと共通する点です。被害が発生しているのは特定の地域に限らず、世界規模と言っていいでしょう。Mazeでは、多様なエクスプロイトツールやマルウェアとの組み合わせで初期アクセスや横展開などが行われています。

＜被害事例＞
スイスのサイバー保険大手が2020年3月に被害を受けた事例や、2020年4月の米国の航空機メンテナンス会社の事例などが挙げられます。後者については、Mazeによるデータの窃取と公開を行ったうえで、攻撃後もターゲットのネットワーク内に潜伏し、データを摂取し続けていたことが判明しています。

その他のランサムウェア

Avaddon：botnetによりフィッシングメールが送信される点に特徴があるランサムウェア。RaaS。身代金要求に加えてデータ暴露の脅迫も行う。
CL0P：オランダの大学などが被害に遭ったランサムウェア。データ暴露のためのサイトを持っている。なおオランダの大学では身代金を支払ったことで復号鍵を入手し、データを復号化できた。
Dharma：侵入経路がRDPというオーソドックスなRaaS。MimikatzやLaZagneなどの追加のツールを使い、横展開する。
DopplePaymer：ランサムウェア「BitPaymer」をルーツに持つ。新型コロナウイルス（COVID-19）に関連したフィッシングメールを用いること、botnetやマルウェア感染させたインストーラなど多様な初期アクセスが確認されている点などが特徴。
Ragnar Locker：2020年11月に国内大手企業が被害を受けたランサムウェア。他のランサムウェアオペレータと協力して攻撃が行われる点に特徴がある。
WastedLocker：2020年7月、ウェアラブルデバイスやGPSの測位システムを提供する米企業への攻撃に用いられたランサムウェア。ロシアのサイバー犯罪組織・Evil Corpとの関連が指摘されている。

今後求められるランサムウェア対策とは

冒頭でも触れたとおり、今やランサムウェア攻撃はAPT（持続的標的型攻撃）と同様の戦術を用いるものとなっています。ランサムウェア攻撃とAPTの違いはもはや、攻撃者の最終的な目標が身代金をはじめとする金銭か、そうでないのか、という1点にしか過ぎないといえます。

「APTは国レベルのサイバー攻撃だから自分たちには関係ない」と思っていたとしたら、その認識を改める必要があります。今はランサムウェア攻撃でAPTと同じ手法が使われ、長期にわたる準備期間を経てデータを人質に取られ、身代金を要求される可能性がある―そんな時代になってしまったのです。

人手によるランサムウェア攻撃やAPTに対する対策は非常に複雑です。「今後いつ攻撃を受けることになるかわからない」という前提で、まずは自組織のシステムが攻撃者から見てどのような状態にあるか、現状を知ることが必要になります。セキュリティコンサルタントによるリスクアセスメントやペネトレーションテストによるリスクの洗い出しを行って、攻撃を受けた場合にどのような影響が起こりうるかを把握することを推奨します。

リスクアセスメントやペネトレーションテストなど今すぐには難しい、という場合は、初期アクセスに最も頻繁に用いられる標的型攻撃メールの訓練、公開Webアプリケーションの脆弱性診断、侵入された後の対策として重要なマルウェアによる横展開リスクの診断など、できることから少しずつでも手を付けていくアプローチをぜひ検討してください。