ランサムウェア攻撃の歴史
ランサムウェアは、1989年に国際エイズ会議の参加者にトロイの木馬ウイルスが入った「エイズ関連情報」のフロッピー ディスクが配布されたことから始まりました。感染したシステムで再起動が90回行われると、トロイの木馬はディレクトリーをすべて隠し、感染したハード ドライブ上のファイルをすべて暗号化したうえで、「PC Cyborg Corporation」からとするメッセージを表示させました。そして、アクセス回復のためにはパナマの住所に189ドルを送金するよう脅迫しました。
ランサムウェア型のサイバー攻撃の2回目の波は1990年代初頭に、恐怖心を逆手に取るソーシャル エンジニアリング技術、通称「スケアウェア」の登場と共に発生しました。感染したコンピューターにはエラー メッセージが表示され、問題を解決するにはソフトウェアを購入してダウンロードするよう指示するものでした。当然ながら、このソフトウェアにはさらに多くのマルウェアが組み込まれており、データを盗むように設計されたものがほとんどでした。
ファイルを共有する機会が多くなり、ポリス ロッカー、スクリーン ロッカー、または単にロッカーと呼ばれるランサムウェアが増加しました。ロッカーは通常、ピアツーピア ダウンロードやアダルト コンテンツをホストするサイトに隠されており、多くの場合、違法行為を疑う法執行機関やFBIなどの政府機関になりすまし、ユーザーが罰金を支払うまでシステムをロックするというメッセージを表示させます。ほとんどのロッカーはマウス可動域を制限するのみで、システムを再起動すれば元通りになるものでしたが、恐怖心から多くの被害者が実際に罰金を支払ったことが確認されています。
ランサムウェアと暗号通貨のつながり
ランサムウェアは当初、個人ユーザーに対してのみ身代金を要求し、その額も最大数百ドル程度というものでした。また、身代金は一般的な支払いカードで行われていたため、取り引きの追跡が非常に簡単で脅威アクターの逮捕にもつながりやすい状況でした。
現在、サイバー犯罪と暗号技術の進化により、ランサムウェアは爆発的に増加しています。特に、ビットコインやその他の暗号通貨(匿名性と暗号化に基づくデジタル通貨)で行われた取り引きはほぼ追跡できないため、悪意のあるアクターは自分の素性を完全に隠すことができます。
Ransomware as a Service (RaaS)
ランサムウェアの人気の高まりやその成功の副産物として生まれたRaaSツールは、合法的なSaaS製品と同様にサブスクリプションベースで安く販売されています。ダークWebで簡単に入手でき、プログラミング スキルがなくてもサイバー攻撃を仕掛けられ、金銭的利益を部分的に得ることも可能です。
二重脅迫型ランサムウェア
データのバックアップと復号の技術が向上し、事態は被害者に有利な方向に動き始めました。それに対して2019年、TA2102と呼ばれる犯罪グループが被害者のデータを暗号化して盗み出し、ビットコインで230万ドルを支払わなければリークすると脅迫する、初の二重脅迫型ランサムウェア攻撃を実行しました。こういった二重脅迫型の場合、被害者がデータを復元できたとしても、身代金を支払わない限り深刻なデータ侵害の影響を被ることになります。
暗号化しないランサムウェア
2022年と2023年には、ランサムウェアの定義を根本的に覆すスタイルが現れました。進化形でありながら、一種の退行ともいえる暗号化しないランサムウェア攻撃では、被害者のファイルを暗号化する代わりに、機密データを盗み出すことだけに焦点が当てられています。
この種の攻撃は、特に法律や医療業界など機密性の高いPIIを扱う業界に狙いを定めています。これは、こうした業界が機密データの漏洩を防ぐことを何よりも重視しているため、暗号化に関係なく身代金を支払うケースが多いからと考えられています。暗号化されていないデータはスピーディーかつ簡単に復元できるため、身代金を支払うまでの時間が短くなる傾向にあります。