コラム

一田和樹デジタル権威主義とネット世論操作

ランサムウェア犯罪の現状とは──在宅勤務が加速させ、中学生から外国政府ハッカーまで広がる

2020年11月27日（金）01時59分

内部から組織を破壊するランサムウェア犯罪が問題に...... 　mikkelwilliam-iStock

＜ランサムウェアが話題になっているが、ここ数年で2つの大きな進化を遂げたことが原因で被害が拡大している......＞

ランサムウェアが話題になっている。ランサムウェアが登場したのはだいぶ昔のことだが、ここ数年で2つの大きな進化を遂げたことが原因で被害が拡大してる。ご存じない方のために簡単に説明すると、ランサムウェアとはコンピュータのデータを暗号化し、元に戻（復号）してほしければ身代金を支払えと脅迫するマルウエアである。データを人質にして脅迫するので、リアルな誘拐になぞらえてランサム（身代金）ウェアと呼ばれている。ビットコインなどの追跡されにくい仮想通貨で身代金を要求することが多い。

進化したランサムウェアは、特別な知識なしでも手軽に儲けることができる仕組みになっているうえ、逮捕される可能性が低い。そのため内部犯行を誘発し、在宅勤務者から企業内に侵入する危険がある。企業などの組織を内側から破壊する危険なものに変貌しているのだ。

二重恐喝型ランサムウェアの標的になったカプコン

最近ではカプコンが被害に遭った事件が有名だ。身代金の要求金額は11億円だったが（BLEEPING COMPUTER、2020年11月5日）、カプコンが支払いを拒否したため、犯人グループは無責任な行為と責め、盗み出したデータを公開した。要求に応じなければデータをネットに晒すという手口は「二重恐喝型」と呼ばれ、最近増加しているものだ。ランサムウェア進化のひとつ目が「二重恐喝型」だ。

ランサムウェアの犯行グループはターゲット（彼らはクライアントと呼ぶことが多い）のデータを暗号化すると同時に盗み出し、犯行声明を出し、データを持っていることを明かし、要求に従わなければデータをネットに晒すと脅す。犯行声明はダークウェブにある彼らのサイト上で行われることが多い。カプコンを襲った犯行グループRagnar Lockerの場合、サイトに「WALL OF SHAME」というページがあり（たいていはトップに表示されている）、そこに多数の被害企業＝クライアントが掲示されている。クライアント名をクリックすると、詳細な内容および彼らが盗み出したデータを確認することができる。

カプコンの場合、「WALL OF SHAME」に盗み出されたデータが公開され、機密契約や財務データ、従業員のパスポートや電子メールなどが掲載され、ダウンロード可能となっている。

恐喝の方法はさまざまで、支払いの締切に近づくにつれて公開するデータ増やしていったり（情報処理推進機構セキュリティセンター、2020 年8月20日）、オークションにかけてしまうこともある。

手軽にビジネスできる仕組みRaaS（ランサムウェア・アズ・ア・サービス）

ランサムウェアの進化のもうひとつはRaaS（ランサムウェア・アズ・ア・サービス）である。以前のランサムウェアは犯行グループが感染から脅迫、身代金回収まで全てを行っていたが、RaaSでは第三者にサービスとしてランサムウェアを提供し、感染まで行わせている。その後の脅迫と身代金の回収は犯行グループが行う。そして、稼いだ身代金の一部を第三者に分け与える。いわばアフィリエイトのようなもので、利用者の取り分はどこまでなにかをするかによって変動する。

犯行グループは幅広く感染させることができ、アフィリエイターはランサムウェアの開発、脅迫、身代金の回収を行わず手軽に金を稼ぐことができる。アフィリエイターになるには特別な技術が不用のため、今後さらに参加者が増加すると考えられる。

次のページ拡大するランサムウェア市場