ランサムウェアエコシステムの理解
RaaS(Ransomware as a Service)モデル
現代のランサムウェア攻撃の大部分は、RaaS(Ransomware as a Service)というビジネスモデルに基づいて実行されています。これは、ランサムウェアを「サービス」として提供するもので、合法的なSaaS(Software as a Service)ビジネスに類似した構造を持っています。
| 役割 | 担当者 | 責任範囲 | 収益分配(目安) |
|---|---|---|---|
| 開発者/オペレーター | RaaSプラットフォーム運営者 | マルウェア開発、インフラ運用、復号鍵管理 | 20-30% |
| アフィリエイト | 実行犯 | 初期侵入、横展開、暗号化実行 | 70-80% |
| 初期アクセスブローカー | 専門業者 | 侵入経路の販売 | 固定料金または成功報酬 |
| 交渉代行 | 専門業者 | 被害者との身代金交渉 | 交渉成功時の手数料 |
RaaSモデルにより、高度なプログラミングスキルがなくても、ランサムウェア攻撃を実行することが可能になりました。これが攻撃の裾野を広げ、マルウェア感染被害の増加につながっています。
アンダーグラウンドマーケット
ランサムウェアエコシステムは、様々な専門的役割を持つプレイヤーで構成されています。
- 初期アクセスブローカー(IAB)
- 企業ネットワークへの侵入経路(VPN認証情報、RDPアクセス、フィッシングで取得した認証情報など)を販売する専門業者です。ダークウェブのマーケットプレイスで、企業規模や業種に応じた価格で取引されます。
- データリークサイト
- 多くのランサムウェアグループは、身代金を支払わない被害者のデータを公開するための専用サイト(多くはTorネットワーク上)を運営しています。これにより二重恐喝が成立します。
- 暗号通貨ロンダリング
- 身代金は通常、追跡が困難な暗号通貨(Bitcoin、Moneroなど)で支払われます。これを「洗浄」して現金化するサービスが存在します。
- 交渉代行サービス
- 被害者との身代金交渉を代行するサービスがあります。被害者側にも、身代金交渉を支援する専門企業が存在します。
攻撃者のプロファイル
ランサムウェアグループの構成員は多様です。
- 技術力の多様性
- RaaSオペレーターは高度な技術力を持つ開発者で構成されますが、アフィリエイトは必ずしも高い技術力を必要としません。提供されるツールとマニュアルに従って攻撃を実行します。
- 動機
- 主な動機は金銭的利益ですが、一部のグループは政治的動機を持つとされています。また、国家支援の可能性が指摘されるグループも存在します。
- 地理的分布
- 多くの主要グループは、ロシアおよび旧ソビエト連邦諸国(CIS)に拠点を置くとされています。これらの地域では、自国民を標的としない限り、法執行機関による追及を受けにくいとされてきました。
主要ランサムウェアグループ詳細
LockBit
LockBitは、2019年9月に活動を開始し、長期間にわたり最も活発なランサムウェアグループの一つとして知られています。
| 項目 | 詳細 |
|---|---|
| 活動開始 | 2019年9月(当初は「ABCD」として知られていた) |
| バージョン変遷 | LockBit → LockBit 2.0 → LockBit 3.0(LockBit Black)→ LockBit Green |
| 技術的特徴 | 高速暗号化、自己拡散機能、多プラットフォーム対応 |
| RaaSモデル | 広範なアフィリエイトプログラム、アフィリエイトに有利な収益分配 |
| 法執行機関の対応 | 2024年2月「Operation Cronos」でインフラ押収、その後活動再開 |
- LockBitの進化
- LockBit 2.0では暗号化速度を大幅に改善し、「最速のランサムウェア」を標榜しました。LockBit 3.0(LockBit Black)では、バグ報奨金プログラムを導入するなど、正規のソフトウェア企業を模倣した運営を行いました。LockBit Greenは、解散したContiのコードベースを取り込んだとされています。
- 2024年の動向
- 2024年2月、国際的な法執行機関による「Operation Cronos」でLockBitのインフラが押収され、一部のアフィリエイトが逮捕されました。しかし、グループは活動を再開し、依然として脅威となっています。この事例は、法執行機関の取り締まりがあっても完全な排除が困難であることを示しています。
BlackCat/ALPHV
BlackCat(別名:ALPHV)は、2021年11月に登場した高度なランサムウェアグループです。
- 技術的革新
- Rust言語で開発された初の本格的なランサムウェアとして注目されました。Rustは安全性と性能に優れたプログラミング言語であり、従来のランサムウェア(C/C++製が多い)よりも安定性が高いとされます。また、Windows、Linux、VMware ESXiなど複数のプラットフォームに対応しています。
- 恐喝戦術
- 被害者の顧客や従業員に直接連絡する、SEC(米国証券取引委員会)への報告を脅迫に使用するなど、革新的な恐喝戦術を採用しました。
- 2024年の動向
- 2024年初頭、FBIによる摘発後に「Exit Scam(出口詐欺)」を行い、アフィリエイトへの支払いを停止して活動を停止したと報じられました。しかし、メンバーが他のグループに移動または新グループを結成している可能性があります。
Cl0p
Cl0pは、大規模なサプライチェーン攻撃で知られるランサムウェアグループです。
| 年 | 主要な攻撃キャンペーン | 悪用された脆弱性 |
|---|---|---|
| 2021年 | Accellion FTA攻撃 | ファイル転送アプライアンスの脆弱性 |
| 2023年 | GoAnywhere MFT攻撃 | CVE-2023-0669 |
| 2023年 | MOVEit Transfer攻撃 | CVE-2023-34362 |
- ゼロデイ活用戦略
- Cl0pは、ファイル転送ソリューションのゼロデイ脆弱性を悪用した大規模攻撃を特徴としています。特に2023年のMOVEit攻撃では、世界中で2,000以上の組織が影響を受けたとされています。
- データ窃取重視
- 従来のランサムウェアが暗号化を主軸とするのに対し、Cl0pはデータ窃取と公開の脅迫に重点を置いています。暗号化を行わないケースも報告されています。
Play
Playランサムウェアは、2022年6月に登場し、急速に活動を拡大しています。
- 特徴
- 拡張子「.play」を暗号化ファイルに付加することからこの名称で呼ばれています。Microsoft Exchangeの脆弱性(ProxyNotShell)やFortinetの脆弱性を悪用した侵入が多く報告されています。
- 攻撃対象
- 北米、南米、ヨーロッパの中堅企業を主な標的としています。政府機関への攻撃も報告されています。
その他の注目グループ
| グループ名 | 活動開始 | 特徴 | 現在の状況(2024年時点) |
|---|---|---|---|
| Royal/BlackSuit | 2022年 | Conti派生、医療機関を標的 | BlackSuitに改名して活動 |
| Akira | 2023年 | Contiとの関連指摘、中小企業標的 | 活発に活動中 |
| 8Base | 2023年 | 二重恐喝、中小企業標的 | 活発に活動中 |
| Rhysida | 2023年 | 医療・教育機関を標的 | 活発に活動中 |
| Hunters International | 2023年 | Hive派生とされる | 活発に活動中 |
解散・活動停止したグループ
Conti
Contiは、2020年から2022年にかけて最も活発だったランサムウェアグループの一つです。
- 活動概要
- Contiは高度に組織化されたグループで、企業のような階層構造を持っていたことが、内部文書の流出(Conti Leaks)で明らかになりました。従業員は給与を受け取り、勤怠管理が行われていたとされています。
- ウクライナ侵攻後の分裂
- 2022年2月のロシアによるウクライナ侵攻後、Contiはロシア政府への支持を表明しました。これに反発したウクライナ系とみられるメンバーが、グループの内部チャットログやソースコードを流出させました。この「Conti Leaks」により、ランサムウェアグループの内部構造が初めて詳細に明らかになりました。
- 派生グループ
- Conti解散後、そのメンバーは複数の新グループに分散しました。Royal(後のBlackSuit)、Black Basta、Akiraなどは、Contiとの関連が指摘されています。
REvil/Sodinokibi
REvil(別名:Sodinokibi)は、2019年から2022年にかけて活動した有力なランサムウェアグループです。
- 大規模攻撃
- 2021年のJBS(食肉加工大手)攻撃では1,100万ドルの身代金が支払われ、Kaseya VSA攻撃では1,500以上のMSPクライアントに影響を与えました。
- 法執行機関の介入
- 2021年、米国とロシアの協力により、グループメンバーの一部が逮捕されました。その後、一時的に活動を再開しましたが、2022年には完全に活動を停止したとみられています。
DarkSide
DarkSideは、2021年のColonial Pipeline攻撃で世界的な注目を集めました。
- Colonial Pipeline攻撃
- 2021年5月、米国最大の燃料パイプライン運営会社Colonial Pipelineがランサムウェア攻撃を受け、操業を停止しました。米国東海岸で燃料不足が発生し、ランサムウェアが社会インフラに与える影響の深刻さを示しました。
- 活動停止
- この攻撃による国際的な注目と圧力を受け、DarkSideは活動停止を発表しました。しかし、メンバーはBlackMatterとして再編成し、さらにその後ALPHV/BlackCatに移行したとする分析があります。
グループの変遷パターン
ランサムウェアグループは、法執行機関の圧力、内部紛争、利益確保などの理由で解散しますが、完全に消滅することは稀です。
| 元グループ | 派生・後継グループ | 変遷の理由 |
|---|---|---|
| GandCrab | REvil/Sodinokibi | 計画的な引退と再編成 |
| DarkSide | BlackMatter → ALPHV/BlackCat | 法執行圧力による再ブランディング |
| Conti | Royal, Black Basta, Akira他 | 内部分裂による分散 |
| Hive | Hunters International | FBI摘発後の再編成 |
攻撃手法の分析
初期侵入
ランサムウェアグループは、様々な方法でターゲット組織に侵入します。
| 侵入経路 | 割合(推定) | 対策 |
|---|---|---|
| フィッシングメール | 約30% | メールフィルタリング、ユーザー教育 |
| 脆弱性悪用(VPN、RDP等) | 約25% | パッチ管理、脆弱性スキャン |
| RDPブルートフォース | 約15% | MFA、接続制限、VPN経由に限定 |
| 初期アクセスブローカー | 約15% | 認証情報監視、ダークウェブ監視 |
| サプライチェーン | 約10% | サプライヤー評価、SBOM |
| その他 | 約5% | 多層防御 |
フィッシング詐欺は依然として主要な侵入経路ですが、VPNやリモートアクセスサービスの脆弱性悪用も増加しています。特にFortinet、Citrix、Pulse Secureなどの製品の脆弱性が標的となっています。
横展開と権限昇格
侵入後、攻撃者はネットワーク内を移動し、より高い権限を取得します。
- 認証情報窃取
- MimikatzなどのツールでWindowsの認証情報(パスワードハッシュ、Kerberosチケット)を窃取します。これにより、正規ユーザーになりすましてネットワーク内を移動できます。
- Active Directory攻撃
- ADの設定ミスや脆弱性を悪用し、ドメイン管理者権限を取得することを目指します。ドメイン管理者になれば、ネットワーク内のほぼすべてのシステムにアクセスできます。
- 正規ツール悪用(Living off the Land)
- PowerShell、WMI、PsExecなど、OSに標準搭載されているツールを悪用して検知を回避します。詳細はLiving off the Land攻撃を参照してください。
データ窃取と暗号化
- 窃取対象の選定
- 攻撃者は、機密性が高く、公開されると被害者にダメージを与えるデータを選定して窃取します。財務情報、顧客データ、知的財産、従業員の個人情報などが対象となります。
- 暗号化の実行
- データ窃取後、ファイルの暗号化を実行します。最新のランサムウェアは高速暗号化アルゴリズムを使用し、短時間で大量のファイルを暗号化します。また、バックアップの削除、シャドウコピーの削除、セキュリティソフトの無効化なども行います。
恐喝戦術
ランサムウェアグループは、複数の恐喝戦術を組み合わせて圧力をかけます。
- 身代金交渉
- 暗号化後、身代金要求のメッセージ(ランサムノート)を残します。通常、Torネットワーク上の専用サイトで交渉が行われます。期限を設けて圧力をかけることが一般的です。
- リークサイト公開
- 身代金が支払われない場合、窃取したデータの一部をリークサイトで「サンプル」として公開します。これにより被害者に支払いを促します。
- 二次恐喝
- 被害者の顧客、取引先、従業員に直接連絡し、データが公開されることを通知します。これにより、被害者への圧力を高めます。
防御と対応
グループ別の対策ポイント
各グループの特徴に応じた対策が有効です。
| グループ | 主な侵入経路 | 重点対策 |
|---|---|---|
| LockBit | RDP、フィッシング | RDP保護、MFA、メールセキュリティ |
| Cl0p | ゼロデイ脆弱性 | 迅速なパッチ適用、脆弱性監視 |
| Play | Exchange/Fortinet脆弱性 | VPN/メールサーバーの脆弱性管理 |
| Akira | VPN認証情報 | VPN MFA、認証情報監視 |
脅威インテリジェンスの活用
ランサムウェアグループに関する情報を収集・活用することで、先手の防御が可能になります。
- 情報収集源
- セキュリティベンダーのレポート(Mandiant、CrowdStrike、Recorded Futureなど)、公的機関の注意喚起(IPA、JPCERT/CC、CISA)、脅威インテリジェンスプラットフォームなどから最新情報を収集します。
- IOC(Indicator of Compromise)の活用
- マルウェアのハッシュ値、C&Cサーバーのドメイン/IP、攻撃で使用されるファイル名などを、セキュリティ製品で検知できるよう設定します。
- TTP(Tactics, Techniques, Procedures)の理解
- 攻撃者の戦術・技術・手順を理解し、MITRE ATT&CKフレームワークに沿って自組織の検知能力を評価・強化します。
法執行機関との連携
ランサムウェア被害に遭った場合、法執行機関への報告が重要です。
- 被害届の提出
- 警察のサイバー犯罪相談窓口(#9110)や、都道府県警察のサイバー犯罪対策課に被害届を提出します。これにより、捜査が開始され、他の被害者への波及防止にも貢献できます。
- 国際連携の動向
- ランサムウェアは国際的な犯罪であり、各国の法執行機関が連携して対処しています。Operation Cronos(LockBit対策)のような国際協調作戦により、グループの摘発が進んでいます。
- 復号ツールの入手
- 法執行機関やセキュリティ研究者により、一部のランサムウェアの復号ツールが公開されています。「No More Ransom」プロジェクト(nomoreransom.org)で確認できます。
よくある質問
- Q: ランサムウェアグループに身代金を支払うと再攻撃されますか?
- A: 再攻撃のリスクは高いです。支払った組織は「支払う意思がある」とマークされ、他のグループからも狙われやすくなります。調査によると、身代金を支払った組織の約80%が再攻撃を経験しています。支払いは最終手段とし、まずはバックアップからの復旧、復号ツールの確認、専門家への相談を優先してください。
- Q: 身代金を支払えばデータは確実に復旧できますか?
- A: 保証はありません。調査によると、身代金を支払っても約30%は完全なデータ復旧ができなかったと報告されています。復号ツールが機能しない、一部のファイルが破損している、攻撃者が復号鍵を提供しないなどのケースがあります。また、支払いは犯罪組織への資金提供となり、次の攻撃を助長することにもなります。
- Q: 日本企業も海外のランサムウェアグループに狙われますか?
- A: はい、狙われます。ランサムウェアグループは国境を越えて活動しており、日本企業も多数の被害を受けています。警察庁の統計によると、ランサムウェア被害は毎年報告されており、LockBit、BlackCatなど主要グループによる日本企業への攻撃が確認されています。言語の壁は攻撃者にとって大きな障害ではなく、翻訳ツールや日本語話者のアフィリエイトを使用しています。
- Q: 中小企業もランサムウェアグループの標的になりますか?
- A: はい、むしろ中小企業は標的になりやすいです。セキュリティ対策が不十分であることが多く、攻撃の成功率が高いためです。また、大企業へのサプライチェーン攻撃の踏み台として狙われることもあります。8Base、Akiraなどのグループは中小企業を主な標的としています。企業規模に関わらず、基本的なセキュリティ対策(バックアップ、パッチ管理、ユーザー教育)は必須です。
まとめ
ランサムウェア攻撃は、RaaSビジネスモデルのもとで組織化されたサイバー犯罪グループによって実行されています。LockBit、BlackCat/ALPHV、Cl0pなどの主要グループは、それぞれ独自の技術的特徴と恐喝戦術を持ち、継続的に進化しています。
法執行機関による摘発が進む一方、グループの再編成や派生が繰り返されており、脅威は継続しています。効果的な防御のためには、脅威インテリジェンスの活用、初期侵入経路の遮断、横展開の防止、データ窃取の検知、堅牢なバックアップなど、多層的な対策が必要です。
ランサムウェア被害に遭った場合は、ランサムウェア対応プレイブックに従って対応し、法執行機関への報告も検討してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- ランサムウェアグループに関する情報は公開情報に基づいており、状況は常に変化しています。
- 実際にランサムウェア被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 身代金の支払いや法的対応については、弁護士などの専門家にご相談ください。
更新履歴
- 初稿公開
