世界初のランサムウェア「AIDS Trojan」(1989年)
AIDS Trojanとは
世界初のランサムウェアは、1989年に登場した「AIDS Trojan」(別名:PC Cyborg)です。作成したのは、進化生物学者のジョセフ・ポップ博士でした。
ポップ博士は、WHO(世界保健機関)のAIDS会議に出席した研究者約2万人に対し、「AIDS Information Introductory Diskette」と題したフロッピーディスクを郵送しました。このディスクには「AIDSに関する情報」が入っているとされていましたが、実際には悪意のあるプログラムが含まれていました。
インストール後、パソコンを90回再起動すると、プログラムが起動してファイル名を暗号化し、コンピュータを使用不能にします。そして画面には、ソフトウェアの「ライセンス料」を支払うよう要求するメッセージが表示されました。
身代金要求の内容
AIDS Trojanの身代金要求は、現代のランサムウェアとは大きく異なっていました。要求された金額は189ドルで、支払い先はパナマの私書箱でした。
現代のビットコインによる匿名送金とは異なり、物理的な住所への送金を要求したのです。これは追跡が容易であり、実際にポップ博士は逮捕されました。ただし、精神疾患を理由に裁判は行われませんでした。
また、AIDS Trojanの暗号化は対称鍵暗号を使用しており、比較的簡単に解除できました。セキュリティ企業がすぐに復号ツールを開発し、被害者はデータを取り戻すことができました。
歴史的意義
AIDS Trojanは技術的には未熟でしたが、「データを人質に取り、身代金を要求する」というビジネスモデルの原型を示しました。この考え方は、20年以上の時を経て、より洗練された形で復活することになります。
当時はまだインターネットが普及しておらず、マルウェアの配布手段も限られていました。そのため、ランサムウェアはすぐには大きな脅威とはなりませんでした。しかし、この「身代金モデル」のアイデアは、後の攻撃者たちに受け継がれていくことになります。
CryptoLocker登場と暗号化型の台頭(2013年)
CryptoLockerの特徴
2013年9月、現代的なランサムウェアの原型となる「CryptoLocker」が登場しました。AIDS Trojanから24年、技術環境は大きく変化していました。
CryptoLockerは、RSA-2048という非常に強力な暗号化アルゴリズムを採用しました。この暗号化は、当時の技術では事実上解読不可能でした。AIDS Trojanのように簡単に復号ツールを作成することはできなくなったのです。
さらに革新的だったのは、身代金の支払いにビットコインを採用したことです。ビットコインは2009年に誕生した暗号資産で、送金者の匿名性を保ちながら国境を越えた送金が可能でした。これにより、攻撃者は追跡のリスクを大幅に減らすことができました。
革新的だった点
CryptoLockerが現代のランサムウェアの原型となった理由は、以下の3つの革新にあります。
- 事実上解読不可能な暗号化
- RSA-2048による暗号化は、復号キーなしでは解読できません。被害者は攻撃者に頼らざるを得なくなりました
- 暗号資産による匿名送金
- ビットコインの採用により、身代金の受け取りが匿名で可能になりました。銀行口座のような身元確認が不要です
- ボットネットによる大規模配布
- Gameover Zeusというボットネットを利用し、大量のフィッシングメールを送信。短期間で多くの感染を引き起こしました
被害規模と終息
CryptoLockerによる推定被害額は2,700万ドル以上とされています。数か月の間に数十万台のコンピュータが感染し、多くの個人や企業が被害を受けました。
しかし2014年、米国FBIと国際的な法執行機関が協力した「Operation Tovar」により、CryptoLockerの基盤となっていたGameover Zeusボットネットが解体されました。これにより、CryptoLocker自体の活動は終息しました。
CryptoLocker以降の派生
CryptoLockerは終息しましたが、そのビジネスモデルは多くの模倣者を生みました。CryptoWall、TeslaCrypt、Lockyなど、同様の手法を用いたランサムウェアが次々と登場しました。
「強力な暗号化+ビットコイン要求」という形式は、ランサムウェアの標準的なモデルとなりました。2013年は、ランサムウェアが「本格的なビジネス」として確立した年といえます。
WannaCry世界同時多発攻撃(2017年)
WannaCryとは
2017年5月12日金曜日、世界中で同時にランサムウェア攻撃が発生しました。「WannaCry」(別名:WannaCrypt、WanaCrypt0r)と呼ばれるこのランサムウェアは、わずか数時間で世界中に拡散しました。
WannaCryが急速に拡散した理由は、「ワーム」の機能を持っていたことです。通常のランサムウェアは、メールの添付ファイルを開くなど、人間の操作によって感染が広がります。しかしWannaCryは、ネットワーク経由で自動的に他のコンピュータに感染を広げることができました。
WannaCryが悪用したのは、「EternalBlue」と呼ばれるWindowsの脆弱性でした。この脆弱性は、米国NSA(国家安全保障局)が開発したハッキングツールから流出したものでした。
被害規模
WannaCryの被害規模は、過去最大級のものでした。
| 項目 | 数値・内容 |
|---|---|
| 感染国数 | 150カ国以上 |
| 感染台数 | 23万台以上(推定) |
| 被害総額 | 数十億ドル(推定) |
| 主な被害組織 | 英国NHS、ルノー、FedEx、中国の大学など |
特に深刻だったのは、英国の国民保健サービス(NHS)への被害です。病院のコンピュータシステムが使用不能となり、手術や診療の延期が相次ぎました。人命に関わる医療システムが攻撃対象となったことで、ランサムウェアの危険性が世界中に認識されました。
日本での影響
日本でも複数の企業や組織で感染が報告されました。日立製作所では社内システムに影響が出て、一部の業務に支障が生じました。また、JR東日本の一部の券売機が影響を受けたとの報告もありました。
WannaCryをきっかけに、日本企業のサイバーセキュリティへの意識は大きく向上しました。「サイバー攻撃は海外の話」という認識が、「自分たちも標的になりうる」という認識に変わった転換点といえます。
教訓
WannaCryから得られた最大の教訓は、パッチ適用の重要性です。実は、WannaCryが悪用したEternalBlueの脆弱性に対するパッチは、攻撃の2か月前にMicrosoftから提供されていました。パッチを適用していた組織は、WannaCryの被害を受けませんでした。
また、サポートが終了したWindows XPを使い続けていた組織が大きな被害を受けました。これにより、サポート終了OS(EoL/EoS)を使い続けるリスクが改めて認識されました。
詳しい対策については対策完全ガイドをご覧ください。
二重恐喝の登場と標的型攻撃の増加(2019年〜)
二重恐喝(Double Extortion)の登場
2019年末、ランサムウェアの脅威は新たな段階に入りました。「Maze」と呼ばれるグループが、「二重恐喝(Double Extortion)」という新しい手法を始めたのです。
従来のランサムウェアは、ファイルを暗号化して身代金を要求するだけでした。しかし二重恐喝では、暗号化する前にデータを盗み出し、「身代金を払わなければデータを公開する」と脅迫します。
これにより、バックアップからの復旧だけでは問題が解決しなくなりました。たとえファイルを復元できても、盗まれたデータの公開を止めることはできないからです。
なぜ二重恐喝が増えたのか
二重恐喝が登場した背景には、バックアップ対策の普及があります。
WannaCryなどの大規模攻撃を経験した企業は、バックアップの重要性を認識し、対策を強化しました。その結果、ランサムウェアに感染しても、バックアップから復旧して身代金を払わない企業が増えました。
攻撃者にとって、これは収益の減少を意味します。そこで考え出されたのが、「データ公開」という新たな脅迫カードです。
- バックアップで復旧されても
- 盗んだデータを公開すれば、被害者に損害を与えられる
- 情報公開の影響
- 顧客情報の流出は法的責任や信用失墜につながり、企業にとって深刻な問題
- 支払い圧力の増加
- 「暗号化」だけでなく「情報公開」も防ぐため、支払い率が向上
標的型攻撃への移行
この時期、攻撃の手法も大きく変化しました。不特定多数にばらまく「ばらまき型」から、特定の組織を狙い撃ちにする「標的型」への移行です。
標的型攻撃(APT)の手法を取り入れたランサムウェア攻撃では、攻撃者は事前にターゲットを調査します。財務状況、使用しているシステム、セキュリティの弱点などを把握した上で、カスタマイズされた攻撃を仕掛けます。
身代金の額も、被害者の「払える金額」に合わせて設定されるようになりました。中小企業には数百万円、大企業には数億円という具合です。これにより、攻撃者の収益効率は大幅に向上しました。
RaaS(Ransomware as a Service)の普及
RaaSとは
2020年代に入り、ランサムウェアのビジネスモデルはさらに進化しました。「RaaS(Ransomware as a Service)」の普及です。
RaaSとは、ランサムウェアを「サービス」として提供するビジネスモデルです。一般的なSaaS(Software as a Service)と同様に、ランサムウェアの開発者が攻撃ツールをサービスとして提供し、実際の攻撃は別の「アフィリエイト」が行います。
- 開発者(オペレーター)
- ランサムウェアの開発、インフラの維持、身代金交渉のサポートなどを担当
- アフィリエイト(攻撃実行者)
- 実際に侵入先を見つけ、ランサムウェアを展開する。得られた身代金の一部を受け取る
RaaSビジネスモデル
RaaSのビジネスモデルは、驚くほど「ビジネス的」です。身代金が支払われると、その収益は開発者とアフィリエイトで分配されます。典型的な分配比率は、開発者30%、アフィリエイト70%程度です。
このモデルの最大の特徴は、技術力がなくても攻撃に参加できることです。ランサムウェアを自分で開発する能力がなくても、RaaSに「加入」すれば攻撃を実行できます。開発者は、初心者でも使えるようなツールやマニュアル、さらにはサポートまで提供しています。
その結果、ランサムウェア攻撃への参入障壁は大幅に下がりました。かつては高度な技術者集団だけが行えた攻撃が、今では「誰でも」行える状況になっています。
主要なRaaSグループ
2020年代には、複数の大規模なRaaSグループが活動しました。
| グループ名 | 活動期間 | 特徴 |
|---|---|---|
| REvil(Sodinokibi) | 2019-2022 | 大規模サプライチェーン攻撃で有名。Kaseya攻撃など |
| Conti | 2020-2022 | 高い組織化。ロシアのウクライナ侵攻時に内部分裂 |
| LockBit | 2019-現在 | 最大規模のRaaS。2024年に摘発されるも復活 |
| BlackCat(ALPHV) | 2021-2024 | 高度な技術力。医療機関への攻撃で問題に |
これらのグループは、法執行機関の摘発を受けて活動停止することもありますが、別の名前で復活したり、メンバーが別のグループに移ったりすることがあります。
詳しくはRaaSエコシステムの実態をご覧ください。
2025年:AI活用と新興グループの台頭
AI駆動型ランサムウェア
2024年から2025年にかけて、生成AIの悪用が急速に進んでいます。攻撃者はAIを活用して、攻撃の効率化と高度化を図っています。
- フィッシングメールの高度化
- 生成AIにより、文法的に正しく自然な日本語のフィッシングメールが大量生産されるようになりました。以前のような「不自然な日本語」による判別が困難になっています
- 攻撃コードの生成支援
- AIを使って脆弱性を悪用するコードの作成を支援。攻撃の開発速度が向上しています
- ソーシャルエンジニアリングの強化
- SNSの情報を分析し、ターゲットに合わせたパーソナライズされた攻撃が可能に
詳しくはAI駆動型ランサムウェアをご覧ください。
新興攻撃グループの台頭
2024年は、ランサムウェアエコシステムに大きな変動があった年でした。セキュリティ企業の調査によると、2024年だけで31の新しい攻撃グループがエコシステムに参入しました。
LockBitやBlackCatといった大手グループが法執行機関の摘発を受けた一方で、Qilin、RansomHub、BlackSuitなどの新興グループが台頭しています。これにより、かつての「少数の大手が支配」する構図から、「多数の中小グループが乱立」する状況に変化しています。
詳しくは攻撃グループ勢力図2025をご覧ください。
ノーウェアランサムの登場
2024年以降、「ノーウェアランサム(No-ware Ransom)」と呼ばれる新しい手法も登場しています。これは、ファイルを暗号化せず、データの窃取だけを行い、公開をちらつかせて身代金を要求する手法です。
暗号化を行わないため、被害者がバックアップから復旧しても意味がありません。また、暗号化処理がない分、検知が難しくなる傾向があります。
詳しくは種類と手法をご覧ください。
ランサムウェア進化の年表
| 年 | 出来事 | 特徴・影響 |
|---|---|---|
| 1989 | AIDS Trojan登場 | 世界初のランサムウェア。フロッピーディスクで配布 |
| 2013 | CryptoLocker登場 | 現代型の原型。RSA暗号化とビットコイン要求 |
| 2017 | WannaCry世界攻撃 | ワーム型で自動拡散。150カ国以上、23万台以上が感染 |
| 2019 | Maze(二重恐喝)登場 | データ窃取+暗号化の二重脅迫が始まる |
| 2020-2023 | RaaSの普及 | LockBit、REvil、Contiなど大手RaaSが台頭 |
| 2024 | 新興グループ乱立 | 31の新グループ参入。大手の摘発と分散化 |
| 2025 | AI活用型の増加 | 生成AIによる攻撃効率化。ノーウェアランサムの増加 |
歴史から学ぶ今後の脅威予測
進化のパターン
35年以上のランサムウェアの歴史を振り返ると、いくつかの進化パターンが見えてきます。
- 暗号化技術の高度化
- 対称鍵暗号から非対称鍵暗号へ。解読不可能な暗号化が標準に
- 匿名決済手段の進化
- 郵便為替→ビットコイン→Moneroなど、より追跡困難な方法へ
- ビジネスモデルの洗練
- 個人犯罪→組織犯罪→RaaSへ。分業化と効率化が進行
- 攻撃対象の拡大
- 個人→中小企業→大企業→重要インフラへ。より大きな標的を狙う傾向
今後予測される脅威
過去のパターンを踏まえると、今後は以下のような脅威が予測されます。
| 予測される脅威 | 概要 |
|---|---|
| AIのさらなる活用 | 攻撃の自動化、防御回避技術の向上、ディープフェイクとの組み合わせ |
| クラウド環境への攻撃増加 | オンプレミスからクラウドへの移行に伴い、クラウド特有の脆弱性を狙った攻撃が増加 |
| OT/IoT環境への拡大 | 製造業の制御システムや、医療機器、スマートデバイスなどへの攻撃 |
| 国家支援グループの関与 | 地政学的な目的でのランサムウェア攻撃。身代金だけでなく、混乱や情報窃取が目的 |
歴史は、ランサムウェアが対策の進化に合わせて自らも進化してきたことを示しています。一つの対策が普及すると、それを回避する新しい手法が生まれます。このイタチごっこは今後も続くと考えられます。
だからこそ、継続的な情報収集と対策の見直しが重要です。詳しくは対策完全ガイドをご覧ください。
よくある質問(FAQ)
- Q: WannaCryは今でも危険ですか?
- A: WannaCryが悪用したEternalBlueの脆弱性に対するパッチを適用していれば、感染のリスクは低いです。ただし、サポートが終了したWindows XPやWindows Server 2003を使い続けている場合や、パッチを適用していない場合は、今でも感染の可能性があります。基本的なセキュリティ対策(OSの更新、サポート終了OSの使用停止)を徹底することが重要です。
- Q: 過去のランサムウェアに感染するリスクはありますか?
- A: はい、古いランサムウェアも依然として出回っています。ただし、一部の古いランサムウェアについては、セキュリティ研究者が無料の復号ツールを開発しています。No More Ransomプロジェクトなどで復号ツールを確認できます。しかし、古いランサムウェアの変種(亜種)が作られることもあり、その場合は復号ツールが使えないことがあります。
- Q: ランサムウェアはいつまで続くと予想されますか?
- A: ランサムウェアがビジネスとして収益を上げ続ける限り、この脅威は継続すると考えられます。暗号資産の匿名性、RaaSによる参入障壁の低下、そして依然として身代金を支払う被害者の存在——これらの条件がそろっている限り、攻撃者にとってランサムウェアは「儲かるビジネス」であり続けます。形を変えながら、当面は存続すると予測されています。
- Q: 過去に摘発されたグループのランサムウェアはもう安全ですか?
- A: 必ずしも安全とは言えません。摘発されたグループのメンバーが別のグループに参加して活動を継続するケースや、ランサムウェアのソースコードが流出して別の攻撃者に利用されるケースがあります。例えばContiは2022年に活動停止しましたが、そのソースコードは流出し、複数の新興グループがそれを基に新しいランサムウェアを開発しています。
関連ページへの導線
【もっと詳しく知りたい方へ】
- ランサムウェアの全体像を学ぶ → ランサムウェアとは?(総合ガイド)
- 現在の種類と手法を知る → 種類と攻撃手法
- 最新動向を追う → 2025年最新動向
- 対策を始める → 対策完全ガイド
ランサムウェアの基礎を学ぶ
対策を始める
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
