JP
ランサムウェアの被害が増加している
企業や団体が保有するデータを暗号化して人質に取り、身代金を要求する不正なプログラム「ランサムウェア」(Ransomware)の被害が増え続けています。
チェック・ポイント・ソフトウェア・テクノロジーズ社の調査によると、2024年は世界中で5,414件のランサムウェアによる攻撃が報告されたといいます。これは2023年よりも11%高い数値です。
日本でもランサムウェアの被害は高水準で推移しています。警察庁が2024年9月に発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」という資料によれば、2024年度上半期は114件で、2023年下半期の94件から20件増えています。データの暗号化を行わずに対価を要求する「ノーウェアランサム」の件数も含めると、件数は115件→128件まで増加します(2023年下半期→2024年度上半期)。
業界でもランサムウェアに対する警戒が高まっています。IPA(独立行政法人 情報処理推進機構)が2025年1月末に発表した「情報セキュリティ10大脅威 2025」では、組織編の1位に「ランサム攻撃による被害」が選出されています。さらに特定非営利活動法人 日本セキュリティ監査協会でも、「情報セキュリティ監査人が選ぶ情報セキュリティ十大トレンド(2025年予測)」の1位に、「組織化、ビジネス化するランサムウェア攻撃」が選ばれています。
ランサムウェアが“稼ぐ”ビジネスに。「RaaS」の脅威
このようにランサムウェアの被害が拡大している背景のひとつに、「RaaS」の存在があります。
RaaS(ラース)とは「Ransomware as a Service」の略語で、ランサムウェアをサービスとして提供するビジネスモデルのことを指します。ソフトウェアを利用する期間だけ利用料金を支払う「SaaS(Software as a Service)」と似た仕組みであることから、このように呼ばれています。
先に挙げた警察庁の資料によると、RaaSの座組みは、大きく開発・運営者(Operator:オペレーター。以下、運営者)と攻撃の実行者(Affiliate:アフィリエイト。以下、実行者)という役割に分かれます。
運営者は主にランサムウェアの開発と被害者との連絡を担当します。一方の実行者は、運営者からランサムウェアのツールの提供を受け、実際に攻撃を行います。たとえ実行者の知識が浅く、ランサムウェアや不正アクセスに関する技術が未熟であっても、RaaSの提供者にランサムウェアツールの利用料を支払えば、簡単にランサムウェアが使用できます。攻撃が成功し、身代金が振り込まれた場合、見返りとして実行者に身代金の一部が分配されることもあるといいます。
RaaSには運営者と実行者以外にも、「IAB」(イニシャルアクセスブローカー:Initial Access Broker)というメンバーが加わることもあります。IABは標的となる企業に侵入するための認証情報を売買する役割を担います。
(警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」7ページより引用)
こうしたRaaSの座組みは、サイバー攻撃者側に多くのメリットをもたらします。運営者側は自分一人で攻撃するよりも、実行者を巻き込むことでさまざまな企業や団体に攻撃を仕掛けることができ、身代金を得るチャンスが増やせます。加えて、実行者に提供しているRaaSツールの利用料で収益を得ることも可能です。
実行者側も、運営者側の指示に従いツールを利用すれば、難しい知識を持つことなくサイバー攻撃が可能になります。もし自分の攻撃が身代金の支払いに結び付けば、その報酬を得ることも可能です。
もちろん攻撃を受ける側である企業や団体にとっては、RaaSの存在は脅威でしかありません。先に挙げた日本セキュリティ監査協会のランキングでも、RaaSが広がることで、サイバー攻撃の技術的なハードルが下がり、攻撃の裾野も広がることで、被害はさらに拡大すると予測されています。
テレワーク用の機器が、ランサムウェアの被害を招いている!?
RaaSによるサイバー攻撃の脅威から逃れるために、企業や団体はどうすれば良いのでしょうか?
警視庁の「マルウェア『ランサムウェア』の脅威と対策(対策編)」というサイトでは、対策の基本ルールとして「OSやソフトウェアを常に最新の状態にする」「ウイルス対策ソフトを導入する」「パスワードを強化する」「(機密データの)共有設定を見直す」「脅威や攻撃の手口を知る」ことを挙げています。
特にランサムウェアの感染経路が高いポイントとしては、VPN機器やリモートデスクトップなどテレワークに利用されることが多い機器があり、全体の83%を占めているといいます。警視庁ではそれらの機器の脆弱性について、確実に修正プログラムを適用することを呼びかけています。
これらの対策を行ったとしても、ランサムウェアに感染し、システムが使えなくなることは起こり得ます。しかしIPAでは、RaaSの運営者側から身代金が要求されたとしても、データの復元や流出を防げるとは限らないため、身代金は原則支払うべきでないとしています。加えて、システムの復旧を外部の業者に依頼した場合、その業者がRaaS側と裏取引をする恐れもあるため、業者の選定には注意すべきとしています。
警視庁では、もしランサムウェアに感染してしまった場合は、さらなる感染拡大を防ぐため、感染した端末をネットワークから隔離すること、当該端末の電源を切らないこと(感染原因の調査に必要なログが消える可能性があるため)、最寄りの警察署やサイバー犯罪相談窓口に通報・相談することを呼びかけています。
サイバー攻撃者側がRaaSという座組を作り、組織として攻撃を仕掛けてきている以上、対抗する企業・団体側も、組織として対抗する必要があります。警視庁も「企業の規模を問わず、全ての企業において自社を守る対策が求められます」と、ランサムウェア対策の必要性を訴えています。もし対策が不十分であるならば、早急に策を講じるべきでしょう。
