マカフィーセキュリティニュース
歴史から今後の展望まで
近年、被害の拡大が続くランサムウェア。2016年は国内外を問わず、過去最大規模の大流行となった年でした。ランサムウェアは、不正なコードによりスマホをロックしてしまったり、ハードディスク内のデータを読み取れなくしたりと、デバイスやデータを“人質”に取って“身代金”を要求するというものです。世界的に個人はもちろん、企業や医療機関が業務に支障をきたし、社会に深刻な不安を与える事例も多発しています。ところが、私たちとランサムウェアとの戦いには長い歴史があることをご存知でしょうか。今回はその歴史を振り返るとともに、今後への流れを展望してみましょう。
デジタルデバイスや、そこに保存されたデータを一時的に使用不能にし、復活するためのランサム(身代金)をせしめようとするランサムウェア。近年被害が拡大し、しばしば一般メディアをも賑わすようになっています。
といってもランサムウェアは、決して新しいタイプの犯罪というわけではありません。最も古いものとしては「AIDS」という、フロッピーディスクを介したランサムウェアが1989年に発見されています。そして1990年代には、現在の原形となる「公開鍵暗号化」という方法を用いたランサムウェアの第1号が誕生。少なくとも1996年に実証実験が成功しているのです。
一方で、こうした20世紀のランサムウェア作成者には大きな課題がありました。現実空間での誘拐と同じく、サイバー犯罪においても、身代金を受け渡す場所が最も“危険”なのです。結局、足の付かない方法はなく、AIDSの作成者も逮捕に至ったことが知られています。
21世紀に入ると、ランサムウェアは次第に高度化していきます。2005年頃から「GPCODE」というトロイの木馬型ランサムウェアが流行し、多くの亜種も生まれましたが、身代金を払わなくてもファイルを復号できたりと多くの“欠陥”があり、対策も進みました。
今から振り返れば、2009年のビットコイン(※)誕生が、大きなターニングポイントとなりました。従来の仮想通貨に比べて高度な技術が投入され、匿名性の高い取引が可能になったのです。
そしてビットコインによる経済が拡大していた2013年に、史上初めてビットコインで身代金を要求するランサムウェア「CryptoLocker」が登場。強力な非対称鍵暗号の手法やセキュリティ製品での検出を避ける難読化、匿名性の高いビットコインの組み合わせで、追跡をより困難にしているものでした。当局などが「CryptoLocker」を拡散しているボットネットを停止するまでに、270万ドルを荒稼ぎしたといわれています。
「CryptoLocker」から派生した“子孫”たちを筆頭に、ランサムウェアは今もうごめいています。2015年頃に爆発的な増加をみせはじめ、今なお、私たちのデジタルデバイスやデータを脅かしているのです。
爆発的な増加の背景には何があるのか――。サイバー犯罪者は、何ら特別なスキルがなくてもランサムウェアを作れる「ツールキット」を作成し、次なる犯罪者とランサムウェアを増殖させたのです。日々生まれる膨大なマルウェアをMcAfee Labsが分析(2015年)したところ、大元をたどるとわずか12〜15種のツールキットで作られたことが分かっています。
※ ビットコイン:インターネット上で流通する仮想通貨の一種で、金融機関を通さずにP2Pネットワーク上で決済するため、手数料などが抑えられ、国境を越えた取引にも利便性が高いのが特徴です。通貨単位は「BTC」。
そして2016年は、ランサムウェアとの戦いがますます激しくなった1年でした。
大きな変化として、サイバー犯罪者はランサムウェアによって不特定多数の個人だけではなく、企業や医療機関を狙うケースが明らかに増えたことが挙げられます。企業内の共有ファイルが暗号化され業務に支障をきたしたケースはもちろん、医療機関や市営地下鉄などのコンピュータシステムがランサムウェアに感染し、社会インフラとしての機能が損なわれた事件は、今後も深刻化する可能性があるでしょう。
手口もさらに多様化し、画像やドキュメントファイルを開けなくするタイプだけではなくなっています。2016年に猛威を振るった「Petya」はマスターブートレコードとファイルシステムを、「Mamba」はディスクパーティション全体を暗号化し、システムの起動そのものを妨げる悪質なものです。さらには被害者のパソコンではなくWebサイトを暗号化し、オンラインストアの営業を妨げる「KimcilWare」の事例も報告されています。
ランサムウェアは、良くない意味で洗練されてきているといえます。感染ルートは脆弱性があるウェブサイトや不正広告の閲覧、メール経由など複雑になっています。どんなに用心していても、思わぬ手口で感染してしまうかもしれません。
思い出深い写真や重要書類のドキュメントが開けなくなったとしたら。勤務先の共有ネットワーク内のデータが、続々と暗号化されていったとしたら。想像するだけで背筋が寒くなるのではないでしょうか。ランサムウェアに感染すると自力での解決は難しく、多くの人がサイバー犯罪者に身代金を支払って、解決しようとしているのが現状です。
一方で2016年7月には、セキュリティ企業と捜査機関が連携したランサムウェア対策の取り組み「No More Ransom」が始まりました。ユーロポール(欧州刑事警察機構)とマカフィー(Intel Security:当時)が中心となり、ウェブサイトを通じて、ファイルの復号方法や被害の予防についてなど、多様な情報を発信しています。
国際的な活動の広がりもあって、2016年はいくつかのランサムウェアシステムを閉鎖させることにも成功しています。マカフィーは、こうした積極的な対策や取り締まりの成果が出てきていることから、2017年後半にはランサムウェアの勢いはピークを過ぎ、減り始めるとみています。
今後についてはIoTデバイスやドローンが急増しているだけに、そこを狙ったランサムウェアの増加も予測されます。それらの機器はセキュリティ対策がなされていない場合も多いことから、初期設定のパスワードは使用しない、なるべく予測しにくいパスワードを設定する、OSやソフトウェアをアップデートするという基礎対策が改めて求められるでしょう。
Twitterで最新の更新情報やおすすめQ&A、アドバイスをお届けしています。