ITシステムに不正に侵入し、ファイルを暗号化した後、復号してほしければ身代金を支払え――といった手口で企業や組織を脅迫するランサムウエア犯罪組織の活動が今も活発だ。ダークウェブを活動の場としているため実態がなかなかつかめないが、明らかになってきたこともある。ランサムウエアの歴史や実態について、サイバーリーズンのサイバーストラテジー・エバンジェリスト、中村玲於奈氏に聞いた。

三重脅迫の登場や日本人の関与も明らかに
ファイルを暗号化して身代金を要求するランサムウエアの被害が拡大している。警察庁によると、2020年下期に報告が上がったランサムウエア被害は21件だったのに対して、2021年上期は61件、同下期は85件、2022年上期は114件と、右肩上がりで増加している(※1)。
ランサムウエアによる被害が日本を含め世界中で拡大しています。そもそもランサムウエアはどのような歴史をたどってきたのでしょうか?
中村:最初のランサムウエアが作られたのは1989年と言われています。フロッピーディスクで送りつけられ、要求された身代金は189ドルだったそうです。その後、2013年にランサムウエアの原型となるCryptoLockerが登場し、被害が拡大するにつれてランサムウエアの存在と脅威が広く知られるようになりました。この時期はいわば「黎明期」と言えるでしょう(図1)。
続く2015年頃に、ランサムウエア本体や攻撃手法をサービスとして提供するRaaS(Ransomware as a Service)ビジネスが登場し、高度な技術を持たない人間も攻撃に参入できるようになりました。また、WannaCryなどのばらまき型が日本を含め世界中で流行し、多くの被害を出しました。この期間はランサムウエアの「成長期」に当たります。
現在は「成熟期」に入っていると言えます。特徴の一つがRaaSビジネスの大規模化で、Conti(2022年5月に活動を停止し、複数グループに分かれて活動中)、REvil、LockBitなどに代表される「メガランサムウエア・グループ」の台頭が見られます。また、ファイルを暗号化して身代金を要求するだけではなく、支払わなければ窃取したファイルをリークすると脅す「二重脅迫」が主流になっていることも特徴です。
攻撃側の手口の変化など、最近の動きを教えてください。
中村:最近見られるのが、二重脅迫のさらに上を行く「三重脅迫」です。身代金を支払わなければ攻撃を受けた事実を当局や取引先に暴露する、あるいは、その企業や機関が外部向けに開設しているWebサイトにDDoS攻撃を仕掛ける、といった脅迫を加えるやり方です。
攻撃側に日本人がいるらしいことも分かってきました。共同通信が2022年9月に行ったインタビューに対して、LockBitの幹部は複数の日本人ハッカーがいると答えています。LockBit本体に入るには厳しい審査があると言われていますので、実際はアフィリエイトと呼ばれる実行部隊にいるのではないかと推測されますが、日本語ネイティブの存在は、標的となる企業や重要ファイルを日本語で検索し特定できることを意味します。
