ランサムウェア — データを人質に身代金を要求する暗号化攻撃

ランサムウェアは、感染した端末やサーバ上のファイルを暗号化し、復号鍵と引き換えに暗号資産での身代金（ransom）支払いを要求する悪意あるソフトウェアの総称です。1989年にJoseph L. Popp博士が配布したフロッピーディスク「AIDS Trojan」が世界初の事例とされ、2013年のCryptoLocker、2017年のWannaCry、NotPetya、2021年のColonial Pipeline事件と、脅威は段階的に深刻化してきました。近年は窃取した情報を公開すると脅す「二重脅迫」、攻撃をサービスとして売るRaaSへと進化し、企業の事業継続を直接揺さぶる最大級のサイバー脅威の一つになっています。

この記事の目次

1. 侵入から暗号化までの流れ
2. AIDS TrojanからWannaCryへの系譜
3. オフラインバックアップと多層防御
4. ワイパー・スケアウェアとの違い
5. まとめ

侵入から暗号化までの流れ

現代のランサムウェア攻撃は、単発のメール添付ではなく多段階の侵入オペレーションとして行われます。起点になるのは、フィッシングメールに添付されたマクロ付きOfficeファイル、VPN機器やリモートデスクトップ（RDP）の脆弱な認証情報、サプライチェーン経由で配布される正規ソフトの改ざん版などです。侵入後は数日から数週間かけてActive Directoryを掌握し、バックアップサーバや業務基幹を含む組織全体へ横展開します。この段階で機密ファイルを外部ストレージへ吸い出しておくのが、二重脅迫型の常套手段です。

横展開を終えた攻撃者は、業務影響を最大化できる時間帯（多くは深夜や週末）に一斉に暗号化を発動します。ファイルはAESやChaCha20で対称暗号化され、その鍵自体はRSAで暗号化されて攻撃者のサーバに送られる構造で、復号鍵を入手しない限り通常は実用的に解読不能です。デスクトップの背景画像や各フォルダのテキストファイルに「お前のデータは暗号化された」と書かれた身代金要求文が表示され、暗号資産での支払い指示と、漏えい情報公開を匂わせる脅迫文が並ぶというのが定型パターンになっています。

AIDS TrojanからWannaCryへの系譜

ランサムウェアの始祖とされるのが、1989年に英国の生物学者Joseph L. Popp博士が配布した「AIDS Trojan（PC Cyborg）」です。AIDS研究の参加者リストを装ったフロッピーディスクが世界中の研究機関に郵送され、感染するとファイル名が暗号化され「PC Cyborg Corporation」宛にパナマの私書箱へ189ドルを送金するよう要求しました。対称鍵が固定でローカルから抽出可能だったため早期に復号策が公開されたものの、「データを暗号化して身代金を求める」というアイデアの原型として歴史に刻まれています。

現代型ランサムウェアの本格的幕開けは2013年のCryptoLockerです。公開鍵暗号を用いてオフライン解析を不可能にし、Bitcoinでの支払いを要求する形を確立しました。そして2017年5月のWannaCryは、NSA由来とされる脆弱性悪用ツールEternalBlueを内蔵し、Windows SMBの脆弱性を介して150か国・30万台以上に自己拡散しました。英国NHSの病院業務が停止に追い込まれ、社会インフラを直接攻撃するランサムウェアの威力を世界に示しました。同年6月のNotPetyaは破壊目的のワイパーとして甚大な経済損失を発生させ、2021年のColonial Pipeline事件は米国東海岸の燃料供給を一時止めるなど、被害規模は拡大し続けています。

オフラインバックアップと多層防御

ランサムウェア対策の中心は、まず「人質に取られても払わずに済む」体制を作ることです。業界標準の3-2-1ルールでは、データを3つの複製で保持し、2種類の媒体に分け、1つはオフラインや遠隔地に置きます。ネットワーク経由でアクセスできない世代を必ず確保しておけば、暗号化されたとしても直近の正しい状態へ復旧できます。バックアップ自体が暗号化される事故が頻発しているため、復元手順の検証と隔離保管が要諦です。

予防面では、VPN・RDP・SSHといった外部接続点に多要素認証を必須化し、公開公示済み脆弱性は数日以内に適用、EDR/XDRで「正規ツールを悪用した怪しい挙動」を検知する体制を整えます。メールやWebの境界対策、最小権限の徹底、AD構造の見直しも欠かせません。発生後の対応も重要で、復旧計画書、連絡網、広報対応、当局・サイバー保険との連携を含むIRP（Incident Response Plan）を定期的に訓練しておくと、いざという時の意思決定が大きく変わります。

ワイパー・スケアウェアとの違い

ランサムウェアと混同されやすいのが「ワイパー型マルウェア」と「スケアウェア」です。ワイパーは身代金要求の見た目を装いつつも、復号鍵が存在せずデータを破壊することだけが目的で、2017年のNotPetyaが典型例として知られます。国家間紛争の文脈で使われやすく、復旧の可能性そのものがない点でランサムウェアと本質的に異なります。対策としては「ランサムウェアと同等のバックアップ・復旧体制」が引き続き有効ですが、「支払えば戻る」という幻想を抱かないことが特に重要です。

スケアウェアは、画面いっぱいに「ウイルスに感染しました」と表示するだけで実際にはファイルを暗号化せず、驚いた利用者に偽セキュリティソフトを購入させたり遠隔サポート詐欺へ誘導したりするタイプです。実害はファイル破壊よりも金銭詐取と情報漏えいに寄ります。情報窃取型マルウェア（InfoStealer）はデータを盗むだけで暗号化はせず、静かに長期間活動する点で対極的です。それぞれ別物として性質を理解しておくと、インシデント発生時に正しい対応に切り替えられます。

まとめ

ランサムウェアは1989年のAIDS Trojanから30年以上の歴史を持ち、Colonial Pipelineに至るまで社会インフラを直撃する重大脅威に育ちました。オフライン保管されたバックアップ、外部接続点の多要素認証、迅速なパッチ運用、EDRと訓練を組み合わせ、「支払わずに復旧できる」体制を平時から築いておくことが最大の抑止力になります。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。