ランサムウェアの流れ

学習のねらい

マルウェアの一種であるランサムウェアは、近年特に被害が拡大しており、 企業だけでなく個人にとっても大きな脅威となっています。 このレッスンでは、ランサムウェアがどのように機能し、どのような被害をもたらすのか、 そして現代のランサムウェアの傾向について理解を深めます。

ランサムウェアとは？

ランサムウェア (Ransomware) は、「Ransom (身代金)」と「Software (ソフトウェア)」を組み合わせた造語です。 感染すると、パソコン内のファイルやシステムを暗号化したり、アクセスできなくしたりして、 元の状態に戻すことと引き換えに金銭（身代金）を要求するマルウェアです。

ランサムウェアの典型的な4段階

ランサムウェアの攻撃は、一般的に次の4つの段階で進行します。

1. 侵入 (Initial Access): 攻撃者は、メールの添付ファイル、不正なWebサイト、脆弱性のあるソフトウェア、 あるいはリモートデスクトップ接続のパスワード突破など、様々な方法でシステムに侵入します。 これが最初の「入り口」となります。

2. 権限昇格・横展開 (Privilege Escalation & Lateral Movement): 侵入に成功すると、攻撃者はより高い権限（管理者権限など）を奪おうとします。 そして、ネットワーク内の他のパソコンやサーバーにも感染を広げ、 企業全体のシステムを掌握しようとします。これを「横展開」と呼びます。

3. ファイル暗号化 (Data Encryption): 十分な権限と範囲を確保すると、攻撃者はターゲットとなるファイル（文書、写真、データベースなど）を暗号化します。 暗号化されたファイルは、特別な鍵がなければ開くことができなくなります。 この段階で、身代金要求のメッセージが表示されることがほとんどです。

4. 身代金要求 (Ransom Demand): 暗号化後、攻撃者は復号（暗号を元に戻すこと）のための鍵と引き換えに、 仮想通貨などで身代金を要求してきます。 支払期限を設けたり、支払わなければファイルを完全に削除すると脅したりすることもあります。

現代のランサムウェア — 二重恐喝が主流

かつてのランサムウェアは「ファイルを暗号化して、復号のためにお金を要求する」というシンプルなものでした。 しかし、企業がバックアップからの復旧を進めるようになったため、 攻撃者は新たな手口を使うようになりました。それが 二重恐喝 (Double Extortion) です。

二重恐喝とは、ファイルを暗号化するだけでなく、 暗号化する前に機密データを盗み出し、 「身代金を支払わなければ、盗んだデータをインターネット上に公開する」と脅迫する手口です。

これにより、たとえバックアップからデータを復旧できたとしても、 データ流出による企業の信用失墜や、個人情報保護法違反などのリスクが生じるため、 被害企業はより身代金支払いを迫られやすくなります。

身代金を支払うリスク

「身代金を払えばデータが戻るなら…」と思うかもしれませんが、 多くのセキュリティ専門機関（IPA、JPCERT/CC、CISAなど）は、 身代金を支払わないことを強く推奨しています。その理由はいくつかあります。

• 復旧の保証がない: 身代金を支払っても、必ずデータが復旧するとは限りません。攻撃者が約束を破ったり、復号ツールが正常に動作しなかったりするケースがあります。
• 再被害のリスク: 一度支払ってしまうと、「この組織はお金を払う」と認識され、再びターゲットにされやすくなります。
• 犯罪組織への資金提供: 身代金は犯罪組織の活動資金となり、さらなる攻撃を助長することになります。

ランサムウェアの被害に遭わないためには、事前の対策が非常に重要です。