トップ > 用語解説 > ネットワーク関係 > 悪意のあるプログラム > マルウェア > ランサムウェア (Ransomware)
ランサムウェア (Ransomware)は、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語で、 感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、 元に戻すことと引き換えに「身代金」を要求するメッセージ(ランサムノート)を表示します。 ランサムウェア攻撃は、主に「初期侵入」「内部活動」「データ持ち出し」「ランサムウェア実行」の 4つの段階に分けて考えることができます。
攻撃者は、情報窃取およびランサムウェアの感染という目標を達成するために、事前に内部ネットワークに侵入します。 内部ネットワークに侵入する方法として、例えばネットワーク機器(VPNなど)の脆弱性を悪用したり、 リモートデスクトッププロトコル(RDP)のパスワード管理の不備を利用したり、 被害組織の従業員へフィッシングメールを送り、マルウェアに感染させたりするケースがあります。
標的組織の内部ネットワークへの侵入に成功した攻撃者は、 遠隔操作ツール(RAT、Remote Access Tool)を用いて 企業ネットワーク内の端末を遠隔操作することで、できる限り強力且つ多くの権限の獲得を試みます。 多くの場合、攻撃者は検知や監視を逃れるため、正規ツールを悪用します。 例えば、通常はシステムの脆弱性を検出するペネトレーションテストに使われるツールや、 クラウドストレージなどのクラウドサービスなどが悪用されます。 このような攻撃者の手口は、標的組織で使われている環境(システムやツール)を悪用する攻撃、 「環境寄生型(Living off the Land)」と呼ばれます。
攻撃者は十分な権限を取得すると、情報暴露の脅迫を行うために必要となるデータを求めて企業のネットワーク内を探索します。 窃取したデータは一か所に集約し、攻撃者のサーバにアップロードします。
データのアップロードが完了すると、最後に被害組織へランサムウェアを展開して実行します。 攻撃者はランサムウェアを確実に実行するために、展開前にセキュリティ対策ソフトを停止させることがあります。 その上で、グループポリシー機能などを使ってランサムウェアを組織内ネットワークに展開・実行します。 ファイルを暗号化した後は、対象の端末に身代金要求画面を表示させることで脅迫を行います。