ランサムウェアとは？

ランサムウェアの仕組み

ランサムウェアが成功するためには、標的のシステムにアクセスし、そこでファイルを暗号化し、被害者に身代金を要求する必要があります。
実装の詳細はランサムウェアの亜種ごとに異なりますが、すべて同じコア3つの段階を共有しています

• ステップ1。感染と分布の媒介

ランサムウェアは、他のマルウェアと同様に、さまざまな方法で組織のシステムにアクセスできます。 しかし、ランサムウェアのオペレーターは、いくつかの特定の感染経路を好む傾向があります。

その1つがフィッシングメールです。 悪意のあるメールには、悪意のあるダウンロードをホストしているWebサイトへのリンクや、ダウンローダー機能が組み込まれた添付ファイルが含まれている可能性があります。 電子メールの受信者がフィッシングに引っかかった場合、ランサムウェアがダウンロードされ、受信者のコンピューターに実行されます。

また、ランサムウェアの感染経路としてよく利用されているのは、リモートデスクトッププロトコル(RDP)などのサービスを利用します。 RDP を使用すると、従業員のログイン資格情報を盗んだり推測したりした攻撃者は、その資格情報を使用して、企業ネットワーク内のコンピューターを認証し、リモートでアクセスできます。 このアクセス権により、攻撃者はマルウェアを直接ダウンロードし、制御下のマシンで実行できます。

また、WannaCryがEternalBlueの脆弱性を悪用したように、システムに直接感染しようとするものもあります。 ほとんどのランサムウェアの亜種には、複数の感染経路があります。

2025年には、ランサムウェア攻撃における侵入の足がかりとして比較的脆弱な組織のサードパーティサプライヤーに存在する脆弱性を悪用するケースが増えています。多くの場合、ベンダーのシステム内の侵害された資格情報やパッチが適用されていないソフトウェアにより攻撃者が初期アクセスを得ることから、このような攻撃は始まります。そこから、脅威の攻撃者はサプライヤーと標的の組織間の信頼できる接続を悪用して横方向に移動してランサムウェアを展開し、主要企業の直接的な防御を回避します。  

• ステップ2。データ暗号化

 ランサムウェアがシステムにアクセスした後、ファイルの暗号化を開始できます。 暗号化機能はオペレーティングシステムに組み込まれているため、ファイルにアクセスし、攻撃者が制御するキーで暗号化し、元のファイルを暗号化されたバージョンに置き換えるだけです。 ほとんどのランサムウェアの亜種は、システムの安定性を確保するために、暗号化するファイルの選択に慎重です。 一部の亜種は、ファイルのバックアップとシャドウコピーを削除して、復号化キーなしでの回復をより困難にする手順も実行します。

• ステップ3。身代金要求

ファイルの暗号化が完了すると、ランサムウェアは身代金を要求する準備が整います。 ランサムウェアの亜種によってさまざまな方法でこれを実装していますが、表示の背景が身代金メモに変更されたり、身代金メモを含む暗号化された各ディレクトリに配置されたテキスト ファイルに変更されたりすることは珍しくありません。 通常、これらのメモは、被害者のファイルへのアクセスと引き換えに、一定量の暗号通貨を要求します。 身代金が支払われた場合、ランサムウェアのオペレーターは、対称暗号化キーの保護に使用される秘密キーのコピー、または対称暗号化キー自体のコピーを提供します。 この情報は、復号化プログラム(これもサイバー犯罪者によって提供されます)に入力され、それを使用して暗号化を元に戻し、ユーザーのファイルへのアクセスを復元できます。

これら 3 つの主要なステップはすべてのランサムウェアの亜種に存在しますが、ランサムウェアが異なれば、実装や追加の手順も異なります。 たとえば、Mazeのようなランサムウェアの亜種は、データを暗号化する前にファイルスキャン、レジストリ情報、およびデータの盗難を実行し、WannaCryランサムウェアは他の脆弱なデバイスをスキャンして感染して暗号化します。

一般的なランサムウェアの亜種

ランサムウェアの亜種は数十種類存在し、それぞれに独自の特徴があります。 ただし、一部のランサムウェアグループは他のグループよりも多作で成功しており、群衆から際立っています。

1.Ransomhub 

RansomHubは、サービスとしてのランサムウェア (RaaS) の代表的 グループとして2024年2月に出現し、ALPHVや LockBitなど、混乱により活動が停滞したグループからアフィリエイトを引き寄せることで、急速に存在感を高めました。支払い率が低いにもかかわらず、高いアフィリエイト利益分配モデル (90％) により、特に2024年7月と8月に、主に米国とブラジルの企業を標的とした攻撃が急増しました。 RansomHub’s GolangとC++で書かれたRansomHubのランサムウェアは、 高速暗号化、 EDRKillShifterの使用、そして最近ではリモート暗号化の実装で知られています。 しかし、2025年4月1日に RansomHub’s 活動は停止し、アフィリエイトはQilinおよび DragonForce へ移行したとされ、同グループはランサムウェア環境における終焉を迎えました。 

2. Akira

Akiraは、2023年第1四半期に初めて確認されたランサムウェアの変種で、ChaCha2008暗号化を使用してWindowsと Linuxの両方を標的とするものです。フィッシングメールやVPNの脆弱性を通じてシステムに侵入し、 LOLBinsや資格情報のダンプといった手法を用いて検知を回避し、権限を取得します。Akiraはまた、 断続的な暗号化を行ってセキュリティ対策を回避し、シャドウコピーを削除して復旧を妨げます。さらに、暗号化を行わずにデータを盗み身代金を要求するだけの「暗号化なし攻撃（extortion-only attack）」も実施します。Akiraは主に北米、ヨーロッパ、オーストラリアの教育、金融、製造、医療分野の大企業を標的とし、多額の身代金を要求します。Akiraによる攻撃を軽減するために、組織は対策を講じる必要があります。これには、サイバーセキュリティ意識向上トレーニング、ランサムウェア対策ソリューション、定期的なデータバックアップ、パッチ管理、強力なユーザー認証 (MFA)、およびネットワークセグメンテーションが含まれます。

3. Play

Play Ransomware Group (別名PlayまたはPlaycrypt) は、2022年以降、重要なサイバー犯罪組織として台頭し、Microsoft Cuba、オークランド市、スイス政府などの注目度の高い標的を含む世界各地300組以上の組織を侵害することに成功しています。このグループは、断続的暗号化などの独特な戦術を用いています。断続的な暗号化を行って断続的暗号化は、検知を回避するためにファイルの一部のみを暗号化する手法であり、 ダブル・エクストーションは、データを暗号化するだけでなく、外部に持ち出して公開を脅迫し、身代金が支払われない場合に情報を公開すると脅す手法です。Playは、 FortiOSの脆弱性を利用して初期アクセスのためにRDPサーバーを公開し、その後、ランサムウェアのペイロードをグループポリシーオブジェクトを介してスケジュールされたタスクとして配布しました。彼らはTorブログを運営して攻撃や盗んだデータを公表し、被害者に圧力をかけました。

4. Clop

CL0pは、 ランサムウェア である Cryptomix マルウェアの一種です。これは、主にヘルスケアや金融など、機密データを扱う業界を標的とし、高度な脅威として機能するサービスとしてのランサムウェア (RaaS) です。この攻撃は、データを暗号化し、身代金を支払わない場合は盗んだ情報を公開すると脅す二重の恐喝戦略を採用したものです。Cl0pは、フィッシングメールやゼロデイ脆弱性の悪用など複数の手法で拡散されており、対策がより 困難になっています。このランサムウェアは、デジタル署名されたコード、高額な身代金要求、SDBOTを使用した自己増殖、および企業ネットワークを好むことで知られています。Cl0pによる攻撃を防ぐには、AIを活用した脅威の検知、常時監視、異常なアクティビティのログチェック、フィッシングに関する包括的な従業員トレーニング、感染したシステムの迅速な隔離、強力な認証プロトコルを導入する必要があります。 

5.Qilin

Qilinは著名なサービスとしてのランサムウェア(RaaS)として運営されており、高度にカスタマイズ可能なRust (ラスト) ベースのランサムウェアを利用して世界中で様々なセクターの組織を標的にしています。このグループは2025年4月に大きな注目を集め、ランサムウェア攻撃のリストでトップに躍り出ました。Qilinは、ダブル・エクストーションは、 二重の恐喝手法を採用しており、被害者のファイルを暗号化して復号化のための身代金を要求するだけでなく、 機密データの流出を行い、身代金が支払われてもデータを公開すると脅します。彼らの巧妙な手法には、被害者ごとに攻撃をカスタマイズし、ファイル名拡張子を変更し、特定のプロセスを終了させ、さまざまな暗号化モードを提供することが含まれます。Qilinはダークウェブ上で自社サービスを宣伝し、一意の企業IDや盗まれたアカウント情報を持つ独自のデータ漏洩サイト(DLS)を紹介し、RansomHub が終了した後にアフィリエイトを獲得したと報告されています。

6.Ryuk

Ryuk は、非常に標的を絞ったランサムウェアの亜種の一例です。 通常、スピアフィッシングメールを介して配信されるか、侵害されたユーザー資格情報を使用して、リモートデスクトッププロトコル(RDP)を使用してエンタープライズシステムにログインすることによって配信されます。 システムが感染すると、Ryukは特定の種類のファイルを暗号化し(コンピューターの動作に不可欠なファイルを除く)、身代金を要求します。

Ryukは、現存するランサムウェアの中で最も高価なタイプの1つとしてよく知られています。 リュークは身代金を要求し、 平均100万ドル以上.その結果、Ryukの背後にいるサイバー犯罪者は、主に彼らの要求を満たすために必要なリソースを持っている企業に焦点を当てています。

7. Maze

ザ 迷路 ランサムウェアは、 ファイルの暗号化とデータ窃盗を組み合わせる.標的が身代金の支払いを拒否し始めると、Mazeは被害者のコンピューターから機密データを収集し、暗号化し始めました。 身代金の要求が満たされない場合、このデータは公開されるか、最高入札者に販売されます。 高額なデータ侵害の可能性は、支払いのための追加のインセンティブとして使用されました。

Mazeランサムウェアの背後にいるグループは、 正式に営業終了.ただし、これはランサムウェアの脅威が軽減されたことを意味するものではありません。 一部のMazeアフィリエイトはEgregorランサムウェアの使用に移行しており、Egregor、Maze、Sekhmetの亜種には共通のソースがあると考えられています。

8.REvil (ソディノキビ)

REvilグループ(別名:Sodinokibi) は、大規模な組織を標的とする別のランサムウェアの亜種です。

REvilは、ネット上で最もよく知られているランサムウェアファミリーの1つです。 2019年からロシア語を話すREvilグループによって運営されているランサムウェアグループは、「Kaseya」や「JBS」などの多くの大規模な侵害に関与しています

過去数年間、最も高価なランサムウェアの亜種の称号をめぐってRyukと競合してきました。 REvilには、 800,000ドルの身代金の支払いを要求した.

REvilは従来のランサムウェアの亜種として始まりましたが、時間の経過とともに進化してきました。
彼らは二重恐喝技術を使用して、ファイルを暗号化しながら企業からデータを盗みます。 つまり、攻撃者は、データを復号化するために身代金を要求するだけでなく、2回目の支払いが行われない場合、盗んだデータを解放すると脅迫する可能性があります。

9. Lockbit

LockBitは、2019年9月から運用されているデータ暗号化マルウェアであり、最近ではランサムウェア・ア ズ・ア・サービス(RaaS)となっています。 このランサムウェアは、セキュリティアプライアンスやIT/SOCチームによる迅速な検出を防ぐ方法として、大規模な組織を迅速に暗号化するために開発されました。 

10. DearCry

2021年3月、MicrosoftはMicrosoft Exchangeサーバー内の4つの脆弱性に対するパッチをリリースしました。 DearCryは、Microsoft Exchangeで最近公開された4つの脆弱性を悪用するように設計された新しいランサムウェアの亜種です

DearCryランサムウェアは、特定の種類のファイルを暗号化します。 暗号化が完了すると、DearCryは身代金メッセージを表示し、ファイルを復号化する方法を学ぶためにランサムウェアオペレーターに電子メールを送信するようにユーザーに指示します。

11. Lapsus$

Lapsus$は南米のランサムウェアギャングで、一部の有名な標的に対するサイバー攻撃に関連しています。 サイバーギャングは恐喝で知られており、被害者からの要求がなければ機密情報を公開すると脅迫しています。 このグループは、Nvidia、Samsung、Ubisoftなどへの侵入を誇っています。 このグループは、窃取したソースコードを使用して、マルウェア ファイルを信頼できるファイルに偽装します。

一般的にランサムウェアの標的となる業界

ランサムウェアはあらゆる業界の企業を標的にできます。しかし、ランサムウェアは一般的にサイバー犯罪活動の一部として展開され、多くの場合特定の業界を標的にしています。2023年にランサムウェアの標的となった上位5つの業界は以下の通りです。

• 教育・研究：教育・研究分野では2023年に2,046件のランサムウェア攻撃が発生し、前年からは12%減少しました。
• 政府・軍事：政府および軍事組織は2番目に標的にされた業界（分野）で、1,598件の攻撃があり、2022年から4％減少しました。
• 医療：医療分野では1,500件の攻撃が発生し、3％増加しました。これは、機密データと重要なサービスを提供しているため特に懸念されます。
• コミュニケーション：通信組織は2023年に8％増加し、合計で1,493件の既知の攻撃がありました。
• ISP/MSP：サプライチェーン攻撃の可能性があるためランサムウェアの一般的な標的となるISPとMSPは、2023年に1,286件のランサムウェア攻撃を受け、6％の減少となりました。

ランサムウェアを削除する方法は?

身代金メッセージは、ランサムウェア感染が成功したことを明らかにするため、誰もが自分のコンピューターで見たいものではありません。 この時点で、アクティブなランサムウェア感染に対応するためにいくつかの手順を踏むことができ、組織は身代金を支払うかどうかを選択する必要があります。

• アクティブなランサムウェア感染を軽減する方法

ランサムウェア攻撃の成功の多くは、データの暗号化が完了し、感染したコンピューターの画面に身代金メモが表示された後にのみ検出されます。 この時点で、暗号化されたファイルは回復できない可能性がありますが、いくつかの手順をすぐに実行する必要があります。

1. マシンを検疫します。 ランサムウェアの亜種の中には、接続されたドライブや他のマシンに拡散しようとするものがあります。 他の潜在的なターゲットへのアクセスを削除することで、マルウェアの拡散を制限します。
2. コンピュータの電源を入れたままにします。 ファイルを暗号化すると、コンピューターが不安定になる可能性があり、コンピューターの電源を切ると揮発性メモリが失われる可能性があります。 回復の可能性を最大限に高めるために、コンピュータの電源を入れたままにします。
3. バックアップを作成します。 一部のランサムウェアの亜種のファイルの復号化は、身代金を支払うことなく可能です。 暗号化されたファイルのコピーをリムーバブルメディアに作成し、将来解決策が利用可能になった場合や、復号化作業の失敗によってファイルが損傷した場合に備えます。
4. 復号化機能を確認します。 No More Ransom Projectに問い合わせて、無料の復号化ツールが利用可能かどうかを確認してください。 その場合は、暗号化されたデータのコピーに対して実行して、ファイルを復元できるかどうかを確認します。
5. 助けを求める: コンピュータには、保存されているファイルのバックアップコピーが保存されていることがあります。 デジタルフォレンジックの専門家は、マルウェアによって削除されていない場合、これらのコピーを回復できる可能性があります。
6. ワイプと復元: クリーン バックアップまたはオペレーティング システムのインストールからマシンを復元します。 これにより、マルウェアがデバイスから完全に削除されます