ランサムウェアとは 歴史から振り返る
ランサムウェアという単語はよく聞きますが、いつから悪用されどういった流れで現在の状況になったかは情報が広がっていません。この記事ではランサムウェアの歴史からランサムウェアとは どういった流れで現在の状況になっていったのかを解説します。
目次
ランサムウェアの起源は1980年代
実はランサムウェアの起源は古く、1980年にまで遡り、ハーバード大学で博士号を取得した進化生物学者であるジョセフ・ポップ博士が開発したAIDS(エイズ) Aids Info Disk、PC Cyborg Trojanと呼ばれるマルウェア(トロイの木馬)が起源となります。
1980年代にAIDSは金融系のシステム責任者へフロッピーディスクへ混入し配布されました。フロッピーディスクのラベルには「エイズ情報入門」と書かれており、プログラムをインストールするとエイズに関する質問が行われて、感染する危険性の診断が行わます。
その後90回パソコンを起動すると殆どのファイルが暗号化され、暗号化された後にデータを取り戻すために189ドルまたは378ドルをパナマの私書箱に送ることを要求しました。
開発したジョセフ・ポップ博士は、博士はケニアでエイズに関する会議を主催したWHOのコンサルタントでもあり、後に逮捕された際に「送金されたお金はエイズの研究に利用した」と主張しています。
インターネットの発達によりランサムウェアのバラマキが始まる
2000年代ではインターネットの発達によりメールを利用したランサムウェアのバラマキが行われるようになりましたが、あまり洗練された攻撃はされず、あくまで個人をターゲットとしていました。
2005年には「Gpcode」というランサムウェアは、ファイルを暗号化し積極的に身代金支払いを要求する
ランサムウェアでしたが、暗号化が稚拙だったため、直ぐに複合化されました。
2006年には「Archiveus」というランサムウェアが猛威を振るいましたが、暗号化の複雑さが高度化し
複合化まで時間が必要になってきました。
そして2008年の「Gpcode.AK」というランサムウェアは、RSA-1024というアルゴリズムで暗号化してしまう為、複合化するには困難を極めました。
そして2010年になるとビットコインなどの仮想通貨の発達により、身代金を受け取っても追跡がされ辛くなり、ランサムウェア攻撃は急激に発達していきます。
暗号化技術の高度化と仮想通貨の登場により攻撃対象が多様化していく
2010年から暗号化技術の向上と仮想通貨の登場、IT技術の発展により、サイバー攻撃者の追跡が難しくなり結果的に攻撃側のメリットが急増し、ランサムウェのターゲットが医療施設や官公庁、企業など多様化していきました。
2013年に登場した「CryptoLocker」
2013年に登場した「CryptoLocker」は暗号化の高度さと支払いをビットコインで求めるところが特徴的なランサムウェアでし、攻撃者は約300万ドル稼いだとされています。
CryptoLockerの感染経路と特徴
「CryptoLocker」はボットに感染した感染端末からのメールや無害の企業を装ったフィッシングメールで配信され、ファイルに添付されているファイルを誤って開くと感染し、300ドルの身代金支払いを求められます。身代金支払いの手段はビットコインやプリペイド決済を求めていました。
CryptoLockerは暗号化すると複合化が困難である事と、踏み台端末を用いた無差別な大量拡散、支払いやすい身代金設定から、個人だけでなく企業での被害も大量に発生しました。
2017年にウクライナへの攻撃を目的とした「NotPetya(ノットペトヤ、ノットペチャ)」
NotPetya(ノットペトヤ、ノットペチャ)はウクライナの税務申告パッケージソフトのMeDocの自動アップーデート機能を悪用され自己増殖型のため、世界各地へ拡散していきました。
感染すると身代金を支払うメッセージが表示されますが、身代金の支払いは不可能で、どちらかというとマルウェアで、ウクライナのインフラ施設を停止させるほどの脅威があり、実際感染の90%はウクライナでした。
このマルウェアはロシアの中央か情報局(GRU)設計したと言われ、ロシアのクリミア併合後の分離主義者の反乱支援のため、非正規戦とサイバー攻撃、プロパガンダを組み合わせる「ハイブリッド戦争」の手段として利用され、軍事的な転換の起点となったマルウェアとなりました。
日立、JR東、イオントップバリュも感染した2017年「WannaCry」
「WannaCry(ワナクライ)」は自己増殖型のランサムウェアで、2017年に猛威を振るい、150か国で23万以上の端末が感染しました。
「WannaCry」の特徴
・未対応の脆弱性を利用したゼロデイ攻撃
・サイバー攻撃を行う機能をツールとしている、EternalBlueと呼ばれるエクスプロイトキットを利用している、
・自己増殖型のランサムウェアを抵抗
上記が「WannaCryの特徴となります。
「WannaCry」はWindowsのSMBv1の脆弱性MS17-010を利用して感染するもので、未対応の脆弱性を突いていました。しかしその後パッチが適用されましたが、古いOSにはパッチが提供されておらず、被害に遭遇した端末のほとんどのOSはWindows7でパッチが提供されていませんでした。
その為マイクロソフトは、緊急的にパッチを提供しています。
「WannaCry」はドロップボックスの短縮URLを悪用してい感染していきましたが、自己増殖型のため
1つの端末が感染すると、同じネットワークの端末へ感染を拡げていきます。
WannaCryの被害を受けた日本企業
ホンダ
ホンダは埼玉の狭山工場の端末がWannaCryに感染し、自動車の1000台の生産ができなくなりました。
日立製作所
ドイツの関連会社の顕微鏡の検査機器が、パッチを適用されておらず感染。その後自己増殖型に増えていき、日立製作所のネットワークに拡がっていきました。
WannaCryの感染に伴い、工場の操業が停止され影響が判断されたことから、同グループの病院も一時的に外来を停止しました。
JR東
群馬県高崎支社内の駅に設置したインターネット閲覧専用端末がWannaCryに感染。
電車の運行システムには感染しておらず、被害は軽微でした。
イオントップバリュ
店舗の商品ディスプレイ端末がWannaCryに感染。
分業制とRaaSを利用したロックビット(LockBit)
ロックビット(LockBit)はランサムウェア攻撃を行うサイバー攻撃集団ロックビット(LockBit)が利用しているランサムウェアで、は2019年から活動を開始し、世界的なコロナウイルスの流行による
リモートワークや加速するIT化によって様々な企業が被害を受けました。
ロックビット(LockBit)の特徴
ロックビットはバグの買取、分業制、ランサムウェア・アズ・ア・サービス(RaaS)を利用した攻撃といった特徴があり、過去のランサムウェア攻撃グループと違い、組織的に効率よく情報と金銭を窃取していました。
世界的に猛威を振るいましたが2023年にテイクダウンされ、2024年にリーダーとされるドミトリー・コロシェフ(Dmitry Khoroshev)が逮捕されました。
2024年もサイバー攻撃に利用されるランサムウェア
2023年3月以降250回の攻撃で4200万ドル「Akira」や500以上の組織が被害を受けている「Black Basta 」、Hoyaのサイバー攻撃に関与している可能性のあるHunters International (ハンターズ インターナショナル)など引き続き、様々なランサムウェアが発生しています。