ランサムウェア犯罪の現状とは──在宅勤務が加速させ、中学生から外国政府ハッカーまで広がる

2020年11月27日（金）01時59分

拡大するランサムウェア市場

二重恐喝型とRaaSによってランサムウェアの市場は拡大した。ランサムウェアでは犯行グループが儲けすぎてお腹いっぱいなので仕事を辞める満期引退を宣言することがある。2016年から2018年にかけて活発だったSamSamと呼ばれるランサムウェアはおよそ6億5千万円を稼いで満期引退を宣言した（SOPHOS）。これに対して2019年に満期引退したGandCrabは200億円以上を稼いでいた（eset）。短期間に金額が膨れ上がっていることがわかる。

内部から組織を食い物にするRaaS

RaaSを利用することはきわめて簡単だ。RaaSサービスを提供しているランサムウェア犯罪グループのサイトで、メールアドレス、報酬の支払い先のビットコインのアドレス、身代金の金額を入力するくらいでよい。すると、自分専用のランサムウェアがダウンロードされる。あとはこれを使うだけ。アフィリエイトなみに簡単だ。

足のつかない捨てアドレスを作り、他の社員の名前を使って数人の社員にランサムウェアつきのメールをうまく開かせる文言つきで送付する。あるいは他の社員が離席した隙、あるいは社外の人間に貸与しているアカウントからグループウェアにアクセスし、「クライアントからクレームが来ています。ファイルを確認のうえ該当する人はすぐに申し出てください」と書いてランサムウェアを登録しておく。同僚が離席した隙にＰＣにインストールしてしまってもいい。さまざまなやり方があるが、技術的な難易度は低い。多少知識があればダークウェブで売買されているアドレスを入手したり、IPアドレスを隠して実行できる。これまでのサイバー犯罪に比べてはるかにハードルが低い。

サイバー犯罪においてもともと内部犯行はもっとも注意すべき脅威のひとつだ（情報処理推進機構セキュリティセンター）。そのハードルが下がるのだから、危険性は高まり、頻度は増える可能性が高い。社内でなくても社内の事情がわかり、出入りできる関係者なら容易に犯行におよぶことができる。

なにしろ必要なのは、攻撃すべき相手を特定できて（メールアドレスなど）、その相手が開きたくなるような文言を考えられ、相手がうっかり信用してしまう人物になりすますことだけだ。そこには特別なハッキング技術は必要ない。そして、今までのところ捕まる可能性はきわめて低い。寡聞にして筆者はRaaS参加者が逮捕された事例を知らない。

もうひとつ内部からの危険を加速するのが、コロナで広がった在宅勤務である。在宅勤務のサイバー上のリスクはオフィスワークに比べるとはるかに高いことがわかっている。在宅勤務でマルウエアに感染している件数はオフィスワークの3.5倍から7.5倍と格段に高いのだ（BitSight、2020年4月14日）。

その理由は明白で、そもそも在宅勤務は個人が管理しなければならないセキュリティがオフィスワークよりも多い。オフィスではシステム部などが管理していたルーターなどを自分で管理しなければならない他、家族のパソコンやスマホまで管理しなければ安全を確保できない。このへんの分析は「PwC's Cyber Intelligence リモートワーク導入により高まる二重恐喝型ランサムウェアの脅威」にくわしく書かれている（PwC's Cyber Intelligence、2020年10月28日）。在宅勤務者からランサムウェアが社内ネットワークに広がる危険性は低くない。

子供がSNSなどを使ってランサムウェアを拡散し、感染した先の家庭の両親のPCにまで感染すればその勤務先の企業まで感染が広がってもおかしくない。実際、中学生がランサムウェアを作成してツイッターで拡散した事件も発生している（CNET JAPAN、2017年6月17日）。ランサムウェアを作るよりは、アフィリエイターになる方がはるかに簡単だ。RaaSとコロナの影響による在宅勤務の増加が、組織を内部からランサムウェアの危険にさらしている。

次のページ外国政府と関係のあるランサムウェア犯罪グループ