ランサムウェアについてまとめてみた

はじめに

この記事はand factory.inc Advent Calendar 2025 12日目の記事です。
前回はticktakclockさんの[Jetpack Compose]useUnmergedTreeはいつ使うのかでした！

最近話題のランサムウェアについて、理解がいまいちだったのでまとめてみました🐣

ランサムウェアとは

定義

• ランサムウェアとは

感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価（金銭や暗号資産）を要求する不正プログラム。

引用：警察庁「ランサムウェア被害防止対策」

• 分類

ランサムウェアには大きく、「暗号化型」と「画面ロック型」の2種類がある。

暗号化型
サーバやPCに保存されているデータを暗号化することで使用不能にし、暗号化解除と引き換えに身代金を要求する。
最近の被害はほぼ暗号化型によるもの。

画面ロック型
感染したデバイスの画面をロックすることで使用不能にし、ロック解除と引き換えに身代金を要求。

引用：ランサムウェアの種類16選！特徴や攻撃手法、対策を徹底解説
↑ランサムの具体的な種類についても解説されていて興味深いのでぜひ

最近のトレンド

• 多重脅迫型

標的に対して何重にも脅迫する手法。以下のようなものがある。

名称	詳細
二重脅迫	単一脅迫後、窃取したデータを公開されたくなければ身代金を払えと要求する
三重脅迫	二重脅迫に加え、DDoS攻撃を行い運用を停止させる
四重脅迫	三重脅迫後、標的の顧客や取引先と攻撃者がやり取りし標的にプレッシャーをかける

• 標的型

特定の組織や個人をピンポイントで狙った攻撃。
ターゲットに合わせたカスタマイズができるので、効率的に身代金を得られる。

• 破壊型

システムやデバイス内のデータを破壊することを目的としている。
感染するとデータが使用できなくなる上、データの復旧を期待できない。

• 暴露型

いわゆる二重脅迫型というやつ。
身代金の支払いに応じない場合、窃取したデータをネット上に暴露すると脅迫してくる。

• RaaS

Ransamware as a Service。
サイバー犯罪者向けにランサムウェアを提供・販売するサービス。
技術力の低い攻撃者でもRaaSを利用することで高度なランサム攻撃を実行できてしまう。

• サプライチェーン攻撃

セキュリティ対策が為されている大企業を直接攻撃するのではなく、そのサプライチェーン上にある「セキュリティ対策が手薄な子会社や取引先」を狙って攻撃する手法。

感染経路の詳細

代表的な感染経路

フィッシングメール

• 添付ファイル
  マルウェア付きのOffice文書（WordやExcelなど）やZIPなどを添付し、受信者が開くとマクロやペイロードが作動し、ランサムに感染する。
  ランサムの侵入経路として最も多い手法のひとつ。

• マクロの悪用
  Officeドキュメントのマクロ機能を使い、ユーザーがマクロ有効化するとマルウェア実行。

以下のような流れで感染するのが昔から一般的。

1. Office文書のマクロに悪意あるコード埋め込み
2. 「ファイルの中身を見るにはマクロを有効にしてね」などと偽の警告表示などを表示
3. マクロ有効化
4. バックグラウンドでランサムのペイロードがダウンロード・実行される

リモートアクセス経路（RDP/VPN）

• パスワード使い回し/流出認証情報の悪用
  流出済みの認証情報や弱いパスワードを使って、VPNやRDP経由で社内ネットワークに侵入する事例が多い。
  警察庁が公表した「テレワーク環境における不正アクセス」45件のうち、VPN経由が約62%、RDPなどの経由が約22%と大半を占めており、ランサムの主要な侵入経路となっている。
  出典：https://www.npa.go.jp/bureau/cyber/pdf/R7_Vol.9cpal.pdf?utm_source=chatgpt.com

• 多要素認証なし
  MFA未設定のVPN・RDPでは、認証情報が漏れた際に簡単に突破されやすい。

脆弱性攻撃

• 未適用パッチの悪用
  OSやソフトウェア（サーバー、VPN、ネットワーク機器など）の脆弱性が放置されている場合、それを狙われて攻撃される。

サプライチェーン

• 正常ソフトに混入する攻撃
  改ざんされたソフトウェア、アップデート、配布元が侵害された正規ソフトを通じてランサムが配布される「サプライチェーン攻撃」が増えている。
• マルバタイジング
  正規サイトや広告ネットワークを介して悪意のある広告・スクリプトを配信し、閲覧だけで感染させる攻撃。

以下はマルバタイジングの一例

1. 攻撃者が正規のWebサイト等に不正な広告を潜り込ませる（JavaScriptやiframeに悪意あるコードを埋め込む）
2. ユーザーがWebサイトにアクセス
3. エクスプロイトコードが実行され、攻撃者が用意したサイトに遷移する（一例）
4. ユーザーの端末にマルウェアがダウンロードされ、実行される
   

暗号化の仕組み

ファイル暗号化の技術的概要

最近のランサムウェアはほぼ、対称暗号化と非対称暗号化を組み合わせたハイブリッド暗号を用いている。

• 対称暗号化
  通常、256ビット長の固有のファイル暗号化キーを生成し、このキーとAES、ChaCha20、RC4などの対称暗号と組み合わせてファイルの内容を暗号化する。
  ファイルごとに鍵を生成するので暗号化の信頼性と暗号の複雑さが向上し、総当たり攻撃によるデータの復元が実用上不可能になる。

• 非対称暗号化
  攻撃者の秘密鍵が被害者側に渡らないよう、鍵の傍受によるファイルの復元を防ぐためにRSA、ECCなどを用いて対称鍵を暗号化する。
  非対称アルゴリズムは速度が遅いため、ファイルの内容を暗号化する際には用いず、ファイルごとの対称鍵の暗号化に用いる。

なぜ復号が困難なのか

• 暗号鍵の安全性
  暗号化に使われる鍵の強度が十分に強く、かつ安全に保持されているため。
  楕円曲線離散対数問題などを利用して生成した対象暗号鍵を、さらに非対称暗号鍵によって暗号化している（ハイブリッド暗号）しているので計算量的に解読が不可能。

出典：https://www.morphisec.com/blog/breaking-down-ransomware-encryption-key-strategies-algorithms-and-implementation-trends/

暗号化ターゲットの例

• Officeファイル（Word、Excel、PDFなど）
• DBファイル、データベース関連ファイル
• サーバ上の共有ディレクトリ、ネットワーク共有フォルダ内ファイル
  など

対策

基本的な技術的対策

多要素認証（MFA）

VPN、RDP、リモートアクセス、管理者アカウントなどに対して、ID・パスワードだけでなくMFAを必須とすることで認証情報漏洩による侵入リスクを大幅に下げることができる。

パッチ管理の徹底

OS、ミドルウェア、ネットワーク機器、VPN/リモートアクセス機器などの脆弱性を定期的に確認し、速やかにパッチ適用。

ネットワーク分離・ゼロトラスト

VPN/RDP経由の侵入や横展開対策としてネットワークをセグメント化し、最小限のアクセス権のみ許可する。

EDR/EPP の導入

ファイル暗号化や不審な実行（マクロ、スクリプト、異常な動作など）をリアルタイムで検知・防御できるエンドポイントセキュリティを導入し、マルウェア活動を早期にブロック。
ハイブリッド暗号方式では、暗号化処理が完了する前にマルウェアを検知・停止できれば、一部・または全部のファイルを復旧できる可能性が高まる。

バックアップ（3-2-1ルール）

重要データは「3コピー」「2種類のメディア」「1つはオフラインorオフサイトで保管」という3-2-1ルールを守る。ランサムウェアで暗号化されても安全なバックアップから復旧できる体制を整える。

最小権限の原則

管理者権限を必要最小限に限定し、通常業務では一般権限を用いる。
不要なサービスや共有、管理者アカウントの放置を避ける。

組織的・管理的対策

インシデントレスポンス体制構築

ランサムウェア感染や異常検知時に、誰が何をするのかをあらかじめ定めたインシデントレスポンス計画（IRP）を持つ。
初動対応、隔離、関係者への通知、復旧手順などを文書化。

事業継続計画（BCP）

ランサムによって業務が止まっても、事業継続できるようにバックアップ、復旧手段、代替業務体制、顧客・取引先対応プランを準備。

社員教育

フィッシング、怪しいリンクや怪しい添付ファイル、USBの扱いなどを含めたセキュリティリテラシー教育を定期的に実施。

ログ管理とSIEMの活用

ネットワークログ、アクセスログ、ファイル操作ログなどを集約し、異常な挙動を検知するためのSIEM/ログ分析体制を整える。

攻撃を受けた場合の初動対応

1. 影響範囲の特定と隔離

• ネットワーク遮断
  外部との通信、社内ネットワークを遮断し、C2や追加拡散を防ぐ。
• 感染ホスト隔離
  影響を受けた端末やサーバーを即座にネットワークから切り離し、他の拡大を防止。

2. CSIRT/SOC への報告

組織内のCSIRTやSOCに報告し、インシデント対応チームを起動。
必要に応じて法務、経営陣にも報告。

3. バックアップ状況の確認

最新バックアップの有無、整合性、オフライン・オフサイト保存の有無を速やかに確認。
復旧可能か、暗号化が及んでいないバックアップからの復元計画を検討。

4. 取引先・顧客への影響確認

流出リスクのあるデータが暗号化・窃取されていないかを確認。
必要なら顧客・取引先、関連機関への通知。

5. 公的機関への届出

• 警察庁
• 個人情報保護委員会
  日本国内の場合、情報漏洩や個人情報を含む被害なら個人情報保護委員会への報告が義務付けられている。

6. 身代金支払いの問題点

犯罪の増長や復号される保証がないこと、二次被害のリスクがあることなどから支払いは非推奨。
まずはバックアップからの復旧、あるいは適切なインシデント対応を最優先とする。

まとめ

本記事ではランサムウェアについてまとめてみました。
間違えている箇所や足りない箇所など、コメント等で教えてもらえたら嬉しいです🙇

明日のand factory.inc Advent Calendar 2025はkamesan1577さんです！