代表的なランサムウェアの種類と対策（予防対策・検知対策・復旧対策・組織的な対策）

近年、ランサムウェア攻撃は世界中で増加しており、個人から企業、公共機関に至るまで幅広いターゲットが被害を受けています。ランサムウェアは、感染したシステム内のデータを暗号化し、復号のための金銭を要求する悪意のあるソフトウェアです。その種類は多岐にわたり、それぞれ異なる攻撃手法や目的を持っています。

この脅威に対抗するためには、ランサムウェアの代表的な種類を理解し、適切な対策を講じることが重要です。本記事では、ランサムウェアの代表例を挙げるとともに、予防対策・検知対策・復旧対策、そして組織的な取り組みについて詳しく解説します。

ランサムウェアの被害を未然に防ぎ、万が一の際にも迅速に対応できる知識と手段を備えましょう。

1.暗号化型ランサムウェア（Encrypting Ransomware）

感染したデバイス内のファイルを暗号化し、復号キーの提供を条件に金銭を要求する。

例

CryptoLocker: 初期のランサムウェア。感染者のファイルを暗号化し、ビットコインでの支払いを要求。

Locky: 電子メールの添付ファイルから感染し、医療機関を含む多くの組織をターゲットに。

WannaCry: SMBプロトコルの脆弱性を利用し、世界的な被害を引き起こした。

Ryuk: 主に企業を標的とし、重要なシステムのファイルを暗号化。

2. ロッカー型ランサムウェア（Locker Ransomware）

デバイス全体をロックし、使用不能にして金銭を要求。

例

Reveton: 偽の法執行機関の警告を装い、罰金を要求する。

WinLocker: デスクトップをロックして操作を妨害。

3. データ漏えい型ランサムウェア（LeakwareまたはDoxware）

データを暗号化するだけでなく、被害者の機密情報を漏えいすると脅迫。

例

Maze: データを暗号化し、支払いがない場合にデータを公開すると脅す。

REvil（Sodinokibi）: 被害者のデータを暗号化し、データの公開や売却を警告。

4. ファイルレスランサムウェア（Fileless Ransomware）

従来の実行可能ファイルを使用せず、システムのメモリや既存の正規プロセスを悪用。

例

PowerShellやWMIを利用するタイプが多く、検出が困難。

5. モバイルランサムウェア（Mobile Ransomware）

モバイルデバイスをロックし、アクセス権を奪う。

例

Svpeng: Androidデバイスをロックし、銀行アプリの情報を盗む。

Koler: モバイルブラウザをロックし、偽の警察メッセージで金銭を要求。

6. パーティションクリプター型ランサムウェア

システム全体やハードドライブのパーティションを暗号化し、OSへのアクセスを妨害。

例

Petya: マスターブートレコード（MBR）を上書きしてシステムをロック。

7. RaaS（Ransomware-as-a-Service）型

ランサムウェアをサービスとして提供し、技術のない攻撃者でも簡単に攻撃可能。

例

GandCrab: サービス提供者と攻撃者で利益を分け合うモデル。

DarkSide: RaaSとして展開し、企業に特化した攻撃。

8. IoTランサムウェア（Internet of Things Ransomware）

IoTデバイス（スマート家電やカメラなど）をターゲットにしたもの。

例

Mirai派生型: IoTデバイスを乗っ取り、金銭を要求。

9. デュアルランサムウェア

複数の種類を組み合わせた攻撃で、暗号化とデータ漏えいを同時に行う。

例

SunCrypt: 暗号化後、支払いがなければデータ公開を行う。

10. 偽装型ランサムウェア（Scareware型）

実際にはファイルを暗号化しないが、暗号化したかのように見せかけて金銭を要求。

例

Rogue Security Software: セキュリティソフトを装い、偽の脅威を表示。

11. メールスパム型ランサムウェア

フィッシングメールやスパムメールを通じて感染する。

例

TeslaCrypt: スパムメールの添付ファイル経由で感染。

12. 特定業界ターゲット型

特定の業界を狙った攻撃。

例

Clop: 医療、教育、金融機関を重点的に狙う。

Egregor: 物流やサプライチェーンをターゲット。

13. Macランサムウェア

MacOSをターゲットにしたランサムウェア。

例

KeRanger: MacOS向けの初期のランサムウェア。

これらのランサムウェアの対策

ランサムウェアの対策は、予防・検知・復旧の3つの段階で行うのが効果的です。以下に、それぞれの具体的な方法をまとめました。

1. 予防対策

ランサムウェアに感染しないようにするための対策です。

OSやソフトウェアの更新

目的: ランサムウェアは、システムの脆弱性を利用して感染します。

対策

OS、ブラウザ、Adobe製品などを常に最新バージョンに更新。

特に、WannaCryのように「SMBプロトコル」の脆弱性を狙う攻撃に備えるため、脆弱性修正パッチを適用。

 セキュリティソフトの導入

目的: ランサムウェアを含むマルウェアの侵入を検知・ブロック。

対策

信頼性のあるセキュリティソフトをインストール。

リアルタイム保護を有効化。

フィッシングメールへの注意

目的: メールを経由した感染を防止。

対策

• • 不審なメールや添付ファイルを開かない。
  • URLをクリックする前に確認（例: ホバーでリンク先を確認）。

アクセス制御

目的: 不正アクセスや権限の乱用を防ぐ。

対策

必要最小限のアクセス権を付与。

管理者権限を一般ユーザーで使用しない。

定期的なバックアップ

目的: 万が一ランサムウェアに感染しても、データを復旧可能にする。

対策

オフラインストレージやクラウドにデータを定期的にバックアップ。

バックアップデータを検証して、正常に復元できるか確認。

ネットワークのセグメント化

目的: 感染が広がるのを防ぐ。

対策

ネットワークを分割して、感染時の影響を局所化。

2. 検知対策

ランサムウェアの兆候を早期に発見するための対策です。

異常な動作の監視

目的: ランサムウェアがファイルを暗号化する前に検知。

対策

ファイルシステムの動作やアクセスパターンを監視。

大量のファイルが短時間で変更される場合は警告を発する。

IDS/IPSの導入

目的: ネットワークレベルで攻撃を検知・防御。

対策

侵入検知システム（IDS）や侵入防止システム（IPS）を導入。

SMBプロトコルへの異常なトラフィックをブロック。

メールゲートウェイの強化

目的: ランサムウェアを含むスパムメールを遮断。

対策

メールの添付ファイルをスキャン。

添付ファイルの自動ダウンロードを無効化。

3. 復旧対策

感染後に被害を最小限に抑えるための対策です。

感染デバイスの隔離

目的: 感染の拡大を防ぐ。

対策

感染が疑われるデバイスをネットワークから切断。

データの復元

目的: ランサムウェアにより暗号化されたデータを復旧。

対策

事前に作成したバックアップから復元。

データ復旧ツールの使用（例: KasperskyやEmsisoftの復号ツール）。

セキュリティ専門家への相談

目的: 感染状況を適切に分析し、最善の対応を選択。

対策

セキュリティ会社や専門家に依頼。

必要に応じて警察やサイバーセキュリティ機関に通報。

身代金の支払いについて

目的: データを取り戻す選択肢の1つ。

注意点

支払いは推奨されない（支払ってもデータが復元されないリスクが高い）。

攻撃者を資金提供することでさらなる攻撃を助長する可能性がある。

4. 組織的な対策

特に企業や団体では、組織全体で取り組む必要があります。

セキュリティ教育

目的: 社員のリスク意識を高め、人的ミスを防ぐ。

対策

フィッシングメール対策トレーニング。

ランサムウェア感染時の対応手順を共有。

 インシデント対応計画

目的: 迅速かつ効果的に感染対応を行う。

対策

インシデントレスポンスチーム（IRT）の設置。

感染後の手順を明確化した計画を作成。

5. 追加のツールとサービス

ランサムウェア対策専用ツール

Bitdefender Ransomware Remediation。

Malwarebytes Anti-Ransomware。

オンラインリソース:

No More Ransom: 無料の復号ツールや情報提供サイト。

まとめ

ランサムウェアは進化を続けており、新しい亜種や攻撃手法が次々に登場しています。ランサムウェアの対策は、多層的なアプローチが必要です。特に、予防に注力し、感染時の復旧計画を用意しておくことが重要です。定期的なバックアップとセキュリティ教育の徹底が被害を最小限に抑える鍵となります。