「ランサムウェア」は、ファイルやデータを暗号化して使えなくし、金銭などを要求するマルウェアの一種です。昨今では、ランサムウェアによる企業の被害事例が急速に増えています。ランサムウェア対策にあたって、まずは主な種類を把握することが大切です。
今回は、2024年までに確認されている主なランサムウェア18種類を一覧表で紹介します。ランサムウェアの主な攻撃手法も紹介するため、ぜひ参考にしてください。なお、「そもそもランサムウェアとは何か」については、次の記事で詳しくお伝えしています。
1.ランサムウェアの主な攻撃手法・4種類
昨今では従来の暗号化型だけでなく、さまざまな攻撃手法のランサムウェアが登場しています。最初に、ランサムウェアの主な攻撃手法4種類を知っておきましょう。
1-1 暗号化型
暗号化型は、最も一般的なランサムウェアの攻撃手法です。
個人のパソコンやシステムのサーバーなどに格納されたファイルやデータを暗号化して使えなくし、その復号(暗号化データの復元)と引き換えに金銭などを要求します。
業務に関わる重要なファイルやデータを暗号化することで被害ユーザーを脅迫し、高額な金銭を得ることが主な狙いです。
機密データの状態 | 暗号化され、直接的な利用は困難。復号鍵の入手が必須となる。 |
---|---|
想定される主な被害 | 業務停止、身代金の支払い、評判低下 |
身代金の要求方法 | 復号鍵の提供と引き換えに要求される。 |
1-2 ロック型
ロック型は、パソコンの画面をロックしてシステムへのアクセスを妨害する攻撃手法です。
被害ユーザーはシステムから締め出され、業務に大きな支障をきたすことになります。
ロック画面には不安をあおるようなカウントダウンや身代金の要求が表示されることも珍しくありません。
機密データの状態 | 特に操作はされないが、データへのアクセスができない状態。 |
---|---|
想定される主な被害 | 業務停止、身代金の支払い、評判低下 |
身代金の要求方法 | アクセス権限の回復と引き換えに要求される。 |
1-3 暴露型
暴露型は、重要なファイルやデータを社外へ公開すると脅し、多額の身代金を要求する攻撃手法です。
情報漏えいに大きな不安を抱える企業の担当者は、支払ってしまうことも少なくありません。最初に暗号化型のランサムウェア攻撃で身代金を要求し、応じなかった場合に暴露型の脅迫を行うケースもあります。
機密データの状態 | 特に操作はされないが、データの公開権利を握られた状態。 |
---|---|
想定される主な被害 | 情報漏えい、身代金の支払い、評判低下 |
身代金の要求方法 | 暴露対象データの削除や拡散防止と引き換えに要求される。 |
1-4 破壊型
破壊型は、重要なファイルやデータを破壊してシステムを文字どおり破壊する攻撃手法です。
この種類では身代金を要求することよりも、システム自体を使えなくすることを主な目的とするケースがあります。この場合、破壊されたファイルやデータは復元されないケースが大半です。
また、システムを復旧させる代わりに高額な身代金を要求するケースも考えられます。この場合、高額な身代金を支払わせるための脅迫材料としてシステムの破壊が用いられます。
機密データの状態 | 暗号化や破壊、削除されるケースが多い。 |
---|---|
想定される主な被害 | 業務停止、身代金の支払い、データの完全な喪失 |
身代金の要求方法 | データやシステムの復元と引き換えに要求される。 |
2.【一覧表】代表的なランサムウェア18種類と被害事例
ここでは代表的なランサムウェア18種類の特徴や、被害事例を紹介します。まずは、一覧表でご確認ください。
ファイルによく見られる拡張子を知っておくと、万が一ランサムウェアに感染した際に状況を把握しやすくなるでしょう。
名称 | 攻撃手法 | 特徴 | 主な拡張子 |
---|---|---|---|
WannaCry |
暗号化型 | Windowsの脆弱性を悪用/高い自己増殖能力 | .wncry/.wcry/.wnry/.wncrytなど |
CryptoLocker |
暗号化型/ロック型 | メールの添付ファイルから感染/アクセスのブロック | ― |
CryptoWall |
暗号化型 | メールの添付ファイルから感染/ファイルの拡張子変更 | .aaa/.zzzなど |
TeslaCrypt |
暗号化型 | ゲーム用のファイルも暗号化/ファイルの拡張子変更 | .vvvなど |
Locky |
暗号化型 | メールの添付ファイルから感染/多言語に対応した脅迫文 | .lockyなど |
LockBit |
暗号化型 | 高速な暗号化/RaaSとしての悪用 | .LockBit/.abcdなど |
Ryuk(リューク) | 暗号化型 | 特定の標的を狙う/バックアップファイルも暗号化 | .RYKなど |
Conti(コンティ) | 暗号化型 | 特定の標的を狙う/RaaSとしての悪用 | .CONTIなど |
Petya(ペトヤ) | 暗号化型/破壊型 | システムの起動に必要なファイルも暗号化 | - |
Bad Rabbit |
暗号化型/破壊型 | Petyaの亜種/Adobe Flashのインストーラを模倣 | - |
GandCrab |
暗号化型 | メールの添付ファイルから感染/RaaSとしての悪用 | .GDCB/.CRAB/.KRABなど |
MAZE(メイズ) | 暗号化型/暴露型 | 社外に公開すると脅迫/ランダムな拡張子を付加 | ランダム |
Jigsaw(ジグソー) | 暗号化型/破壊型 | ホラー映画のキャラクターを悪用/ファイルを徐々に削除 | .Jigsawなど |
Qlocker |
暗号化型 | QNAP社のNASがターゲット | .7zなど |
Troldesh |
暗号化型 | 攻撃者が直接やり取り/メールの添付ファイルから感染 | .xtblなど |
New Live Team |
暗号化型/暴露型 | 暴露型の攻撃へと発展/企業システムがターゲット | newlive.teamなど |
Alpha(アルファ) | 暗号化型/暴露型 | 専用の画面を通じた攻撃者とのやり取り/リークサイトでのデータ公開 | ランダム |
Akira(アキラ) | 暗号化型/暴露型/破壊型 | 感染PCへの高負荷/大企業や組織のシステムがターゲット | .akiraなど |
それでは、1つずつ詳しく見ていきましょう。
2-1 WannaCry(ワナクライ)
WannaCry(ワナクライ)は、2017年ごろに初めて確認された暗号化型のランサムウェアです。世界トップシェアのOS「Windows」の脆弱性をついた手口により、世界150か国以上で感染拡大しました。パソコン内のファイルを次々と暗号化し、ビットコインで身代金を要求します。
また自己増殖能力を持ち、その感染力の高さも脅威です。国内電機メーカーの事例では、欧州支社の検査機器がWannaCryに感染し、世界中の支社へ感染が及びました。システムに多大な障害をもたらし、普及に5日は要することになりました。
2-2 CryptoLocker(クリプトロッカー)
CryptoLocker(クリプトロッカー)は、2013年ごろに初めて確認された暗号化型/ロック型のランサムウェアです。メールの添付ファイルを開封させて感染を図る手口により、多くの被害ユーザーを生み出しました。ファイルをただ暗号化するのみならず、パソコンへのアクセスもブロックされる場合があります。
国内製造企業の事例では、社内サーバーや端末のデータがCryptoLockerによって暗号化され、復旧不能となりました。
2-3 CryptoWall(クリプトウォール)
CryptoWall(クリプトウォール)は、2014年ごろに初めて確認された暗号化型のランサムウェアです。CryptoLockerをベースに生み出されました。こちらも、主にメールの添付ファイルを開封することで感染します。感染すると、ファイルの拡張子がランダムに書き換えられてしまうのが特徴です。ファイル名も暗号化されるケースがあります。
CryptoWallは、世界で3億ドルを超える被害をもたらしたといわれています。
2-4 TeslaCrypt(テスラクリプト)
TeslaCrypt(テスラクリプト)は、2015年ごろに初めて確認された暗号化型のランサムウェアです。元々ゲームのコミュニティが標的にされたため、ゲーム用のファイルも暗号化します。拡張子が「.vvv」に変更されることが多く、「vvvウイルス」とも呼ばれます。
TeslaCryptの復号ツールが公開されたことでほぼ収束したと見られます。しかし、3か月で合計7万ドル以上もの被害をもたらしました。
2‐5 Locky(ロッキー)
Locky(ロッキー)は、2016年ごろに初めて確認された暗号化型のランサムウェアです。感染するとパソコンのデスクトップ画像が書き換えられ、身代金を要求する脅迫文が表示されます。海外製のランサムウェアだと英語の脅迫文が多いですが、Lockyは日本語を含む多言語に対応しています。
Lockyの感染が拡大していた時期には、約2,300万通ものフィッシングメールが送信されました。このメールの添付ファイルを開封すると、Lockyに感染してしまうのです。
2-6 LockBit(ロックビット)
LockBit(ロックビット)は、2019年ごろに初めて確認された暗号化型のランサムウェアです。「RaaS(Ransomware as a Service)」としても提供され、多くの攻撃者のツールとして悪用されました。暗号化のスピードが高く、ネットワークを介してさまざまなパソコンに感染を拡大させます。
なおRaaSとは、ランサムウェアを販売・提供するサービスのことです。通常のランサムウェアは攻撃者が開発しますが、RaaSを使えば自身で開発する必要がありません。そのため、セキュリティやプログラミングなどに詳しくない攻撃者でも、ランサムウェア攻撃を企てられてしまいます。
LockBitは近年、日本国内でも被害が増えているランサムウェアです。ある地方自治体の医療機関のシステムがLockBitに感染させられた事例もあります。
2-7 Ryuk(リューク)
Ryuk(リューク)は、2018年ごろに初めて確認された暗号化型のランサムウェアです。特定の企業や組織をターゲットとして攻撃を図る特徴があります。感染すると、バックアップファイルまで暗号化されたり、システム復元オプションを無効化されたりします。
海外の医療機関の事例では、Ryukによって国内外における400ほどのパソコンやシステムが利用できなくなりました。
2-8 Conti(コンティ)
Conti(コンティ)は、2020年ごろに初めて確認された暗号化型のランサムウェアです。Ryukから派生して生み出されたと見られ、同様に特定の企業や組織をターゲットとして攻撃を図ります。また、RaaSとして多くの攻撃者に悪用されています。
海外の行政機関の事例では、システム内にある4,000点ほどのファイルを社外に公開されました。Contiを運用するハッカー集団が犯行声明を出したことから、Contiによる攻撃も含まれると見られています。
2-9 Petya(ペトヤ)
Petya(ペトヤ)は、2016年ごろに初めて確認された暗号化型/破壊型のランサムウェアです。業務で扱うファイルのみならず、システムの起動に必要なファイルも暗号化し、パソコン自体を使えなくされてしまいます。
Petyaのターゲットは主にWindowsパソコンです。欧州を中心に、さまざまな企業や組織がPetyaの被害を受けています。
2-10 Bad Rabbit(バッドラビット)
Bad Rabbit(バッドラビット)は、2017年ごろに初めて確認された暗号化型/破壊型のランサムウェアです。Petyaから派生して生み出されたと見られ、Petyaに類似する特徴を持ちます。「Adobe Flash」を模倣したインストーラを介して感染を拡大させるのが主な手口です。
Bad Rabbitは欧州を中心に感染拡大しました。また、国内の建材メーカーが感染拡大の踏み台にされた事例もあります。
2-11 GandCrab(ガンドクラブ)
GandCrab(ガンドクラブ)は、2018年ごろに初めて確認された暗号化型のランサムウェアです。「I love you」などの単純なメールの添付ファイルを開封することで感染します。脅迫画面には1ファイルを試しに復元する機能があり、身代金を巧妙に支払わせようとするのが特徴です。また、RaaSとして多くの攻撃者に悪用されています。
国内の医療機関の事例では、電子カルテシステムがGandCrabに感染し、利用できなくなりました。完全に復旧するまでに半年ほどの期間を要することになりました。
2-12 MAZE(メイズ)
MAZE(メイズ)は、2019年ごろに初めて確認された暗号化型/暴露型のランサムウェアです。暗号化前にファイルやデータの内容を確認し、その内容を社外に公開すると脅迫する手口が散見されます。また、暗号化したファイルにはランダムな拡張子が付加されるのも特徴です。
ある機器メーカーの事例では、グループ会社でMAZEの感染が確認され、業務アプリケーションに多大な影響が生じました。また、ファイルの一部をWebで公開される事態にもなりました。
2-13 Jigsaw(ジグソー)
Jigsaw(ジグソー)は、2016年ごろに初めて確認された暗号化型/破壊型のランサムウェアです。名前の由来になっている「SAW」というホラー映画のキャラクターを悪用し、ユーザーの不安をあおります。また、身代金を支払わないとファイルが徐々に削除されていくのも特徴です。
具体的に公表された事例は多くありませんが、今後の感染拡大が懸念されます。
2-14 Qlocker(キューロッカー)
Qlocker(キューロッカー)は、2021年ごろに初めて確認された暗号化型のランサムウェアです。QNAP社のNAS(ネットワーク接続型ストレージ)が抱える脆弱性を悪用する特徴があります。NAS上のデータがバックアップも含めて暗号化されてしまいます。
ターゲットは、基本的にQNAP社のNASを利用する企業や組織です。中小企業でも広く利用されているサービスのため、国内でも100件を超える被害がすでに確認されています。
2-15 Troldesh(トロルデッシュ)
Troldesh(トロルデッシュ)は、2015年ごろに初めて確認された暗号化型のランサムウェアです。攻撃者が被害ユーザーとメールで直接やり取りする珍しい特徴を持ちます。CryptoLockerと同様、主にメールの添付ファイルを開封することで感染します。
Troldeshの首謀者が2019年末に復号キーを公開したことからほぼ収束したと見られます。しかし、新種ランサムウェアのベースにされるケースも考えられるため、Troldeshの存在も知っておきましょう。
2-16 New Live Team(ニューライブチーム)
New Live Team(ニューライブチーム)は、2022年ごろに初めて確認された暗号化型/暴露型のランサムウェアです。暗号化されたデータを復号するための身代金を支払わなかった場合、「リークサイトで公開する」などと暴露型の攻撃に発展します。
New Live Teamの主なターゲットは企業のシステムです。執拗な攻撃により、欧米の企業を中心に被害が拡大しています。
2-17 Alpha(アルファ)
Alpha(アルファ)は、2023年ごろに初めて確認された暗号化型/暴露型のランサムウェアです。攻撃者とのやり取りや、サンプルファイルのテスト復号などを行える専用画面が与えられる特徴があります。
また、専用のリークサイトを通じてデータを公開できるようにし、暴露型の脅迫を行うのも特徴です。リークサイト上でデータをリストアップされた被害者も数名存在します。
2-18 Akira(アキラ)
Akira(アキラ)は、2023年ごろに初めて確認された暗号化型/暴露型/破壊型のランサムウェアです。感染すると不正なデータの書き込みが繰り返し行われ、CPU使用率が上昇するなどコンピューターへ高負荷をかけられる特徴があります。また、身代金を支払わない場合、データを販売するといった脅迫の手口も見られます。
Akiraの主なターゲットは大企業や組織のシステムです。実際、数百万ドルもの身代金が要求されたケースもあります。
3.ランサムウェアからシステムを保護するためには
国内外を問わず、さまざまな企業や組織がランサムウェアの被害に遭っています。ランサムウェアからシステムを保護するためには、適切なセキュリティ対策を講じることが重要です。
ランサムウェアの感染経路はメールの添付ファイルだけでなく、システムに不正侵入して感染させられるケースもあります。そのため、システムが抱える脆弱性(セキュリティ上の弱み)をしっかり検出し、それぞれに対して適切な対策を講じましょう。
しかし、複雑なシステムに潜む脆弱性を漏れなく検出することは、簡単ではありません。脆弱性を効果的に検出したい場合は、脆弱性診断サービスの活用がおすすめです。最新の手口や脆弱性を把握したセキュリティのプロが精査すれば、高い精度でソフトウェアの脆弱性を検出できます。また、多くの人的リソースを費やさずに済むでしょう。
なお、当サイトを運営するバルテスでも、Web・モバイル・IoTデバイスなどの幅広いIT資産の脆弱性診断サービスを提供しています。ツールによる効率性の高い診断に、プロによる確実性の高い手動診断を組み合わせたサービスです。
「ランサムウェア攻撃を自社だけで防げるか不安」「労力をかけずに高品質な診断結果を得たい」といった場合は、ぜひご利用ください。
また、無料で簡易的な診断を行いたい場合は、こちらのサイバー攻撃自動診断をご利用ください。
まとめ
今回はランサムウェアの種類についてご紹介しました。主なランサムウェアは以下の通りです。
- WannaCry(ワナクライ)
- CryptoLocker(クリプトロッカー)
- CryptoWall(クリプトウォール)
- TeslaCrypt(テスラクリプト)
- Locky(ロッキー)
- LockBit(ロックビット)
- Ryuk(リューク)
- Conti(コンティ)
- Petya(ペトヤ)
- Bad Rabbit(バッドラビット)
- GandCrab(ガンドクラブ)
- MAZE(メイズ)
- Jigsaw(ジグソー)
- Qlocker(キューロッカー)
- Troldesh(トロルデッシュ)
- New Live Team(ニューライブチーム)
- Alpha(アルファ)
- Akira(アキラ)
昨今のランサムウェアには暗号化型だけでなく、破壊型やRaaSなどさまざまな攻撃手法が存在します。
ランサムウェアの種類も年々増えているため、こまめに新しいランサムウェアの情報を知り、適切な対策を講じることが大切です。
ランサムウェアについて理解を深める際には、今回の内容をぜひ参考にしてください。