ランサムウェアの誕生から現在に至るまでの進化を紹介し、企業や政府、個人に与える影響を解説します。
ランサムウェアの起源:1980年代の「AIDS Trojan」
ランサムウェアの最初の事例は1989年に登場した「AIDS Trojan」(AIDS Info Disk、PC Cyborg Trojan)です。これは、進化生物学者ジョセフ・ポップ博士が開発したトロイの木馬型のマルウェアでした。
- 感染経路:エイズ関連の会議に参加した金融機関担当者にフロッピーディスクで配布
- 動作:パソコンを90回起動後にファイルを暗号化
- 要求:189ドルまたは378ドルをパナマの私書箱に送金するよう要求
ポップ博士は逮捕後、「研究資金を集めるため」と主張しましたが、これがランサムウェアの始まりでした。
2000年代:インターネットの普及とメールによる攻撃拡大
2000年代に入ると、インターネットの普及によりメールを利用したランサムウェアの拡散が始まりました。
- 2005年:「Gpcode」登場。ファイルを暗号化して身代金を要求するも、暗号が簡単に解除され失敗。
- 2006年:「Archiveus」が複雑な暗号化手法を採用し、解読が難しくなりました。
- 2008年:「Gpcode.AK」はRSA-1024暗号化を採用し、完全な復号が困難に。
2010年代:仮想通貨の登場と攻撃対象の多様化
2010年代には、ビットコインなどの仮想通貨が普及し、ランサムウェアが急速に進化しました。仮想通貨の匿名性が攻撃者の追跡を困難にし、標的は医療機関や企業、官公庁に広がりました。
CryptoLocker(2013年)
- 特徴:暗号化技術の高度化とビットコインでの支払い要求
- 感染経路:ボットネットやフィッシングメール
- 影響:個人と企業が多額の被害を受け、約300万ドルの収益を攻撃者に与えました。
WannaCry(2017年)
「WannaCry」は自己増殖型ランサムウェアで、感染すると他の端末にも連鎖的に広がりました。
- 感染経路:Windowsの**SMBv1の脆弱性(MS17-010)**を利用
- 影響:150か国で23万台の端末が感染
- ホンダ:工場が停止し、自動車の生産に影響
- 日立:ドイツの関連会社が感染、外来診療を停止
- JR東日本:一部端末が感染するも運行システムへの影響は回避
NotPetya(2017年)
- 目的:ウクライナの税務申告ソフト「MeDoc」の自動更新を悪用
- 特徴:実際にはランサムウェアではなくマルウェアで、支払い手段が存在せず、データ復元が不可能
- 影響:インフラや政府機関に多大な被害を与え、感染の90%はウクライナ国内
この攻撃は、ロシアの情報機関が設計したとされ、「ハイブリッド戦争」の一環として利用されました。
2019年以降:RaaSと分業体制の進化
**LockBit(ロックビット)**とRaaS(ランサムウェア・アズ・ア・サービス)
- 活動開始:2019年
- 特徴:分業体制での攻撃、バグの買取、RaaSモデルを活用
- 攻撃の自動化と効率化を図り、多数の組織を標的に
- 逮捕:2024年にリーダーとされるドミトリー・コロシェフが逮捕
最新のランサムウェア攻撃(2023年~2024年)
- Akira:2023年3月以降、250回の攻撃で4200万ドルの身代金要求
- Black Basta:500以上の組織が被害を受ける
- Hunters International:Hoyaへの攻撃に関与した疑い
これらのランサムウェアは依然として企業や公共機関を狙ったサイバー攻撃を続けており、対策の重要性が増しています。
ランサムウェアへの対応と今後の展望
効果的な対策
- バックアップの徹底:定期的なバックアップを取り、オフライン環境に保管する。
- セキュリティパッチの即時適用:OSやアプリケーションの脆弱性を修正する。
- 多層防御の導入:ファイアウォール、エンドポイント保護、侵入検知システムの活用。
- 教育と啓発:フィッシングメールに対する社員教育の徹底。
まとめ
ランサムウェアは1980年代に登場して以来、暗号化技術の高度化と仮想通貨の普及により、進化を遂げてきました。近年ではRaaSモデルによる組織的な攻撃が増加し、公共機関や医療機関、企業がターゲットとなっています。
ランサムウェアの脅威は今後も続くと予想されるため、企業や個人は多層的なセキュリティ対策を講じ、被害を未然に防ぐことが求められます。
