サイバーセキュリティ
ランサムウェアは単なる「データを暗号化して身代金を要求するマルウェア」ではありません。攻撃者の戦略は極めて体系化され、感染後の挙動は一連のスクリプト・認証情報奪取・データ転送まで自動化されています。本稿では、感染から暗号化、通信、検知、復旧に至るまでの技術的メカニズムを深掘りし、実際の検知・対応のための観点を解説します。
ランサムウェアの多くはまず PowerShell や VBScript を利用したドロッパーから始まります。これらはメール添付やマクロ、有害なリンクを介して実行され、システムに侵入します。攻撃者はしばしば rundll32.exe や mshta.exe のような正規ツールを悪用し、セキュリティソフトの検出を回避します。感染後、ペイロードを暗号化した形でディスクに配置し、再起動後にメモリ内で展開するファイルレス手法が一般的です。
感染後、攻撃者は内部での横展開を開始します。主な手口は以下の通りです。
特権昇格後は、管理者権限でバックアップ削除やシャドウコピーの破壊を行うコマンドが実行されます。
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailuresこの段階での検知は極めて重要です。EDRのイベントログでは “rundll32 + base64” の組み合わせや “cmd.exe 経由の bcdedit 実行” といった典型的パターンが見られます。
暗号化処理は、標的データの一部(例:.docx, .xlsx, .pdf)を対象にAESなどの共通鍵暗号で暗号化し、その鍵をRSAなどの公開鍵で暗号化して攻撃者側に送信する、いわゆる「ハイブリッド暗号」構造が主流です。
実際の暗号ルーチンではWindows API CryptEncrypt が呼ばれることが多く、暗号化対象は拡張子フィルタで選択されます。最新のグループではスレッド並列化により数分で全システムを暗号化できる性能を持ちます。
多くのランサムウェアは暗号鍵や進捗情報をC2(Command & Control)サーバーへ送信します。通信にはTorネットワーク、匿名化VPN、クラウドストレージ(Dropbox、Megaなど)が利用される場合もあります。プロトコルはHTTP(S)、DNSトンネリング、またはTelegram APIなど正規チャネルを偽装する例も確認されています。
通信ログには以下のような特徴があります。
典型的なランサムウェアのIOC(Indicator of Compromise)には、以下のような特徴的な動作が含まれます。
これらを監視するルールをSIEM(例:Splunk, Sentinel)に実装し、EDR連携で自動隔離を行うのが有効です。
被害発生後の復旧では、まず感染範囲の特定と再感染防止が最優先です。ネットワークを分離し、感染端末を隔離後、フォレンジック調査で「初期侵入点」「暗号化前データの残存有無」「暗号鍵のログ残存」を確認します。場合によっては一部の既知ランサムウェアでは公開復号ツール(NoMoreRansomなど)が有効な場合もあります。
その後、バックアップリストアを段階的に実施。復旧環境では必ず外部ネットワークと切り離し、復旧後にEDR・AVスキャン・ログ確認を徹底します。
教育・検証環境でのランサムウェアシミュレーションは、インターネットに接続しない完全隔離環境で行う必要があります。実マルウェアを使用せず、模擬暗号化スクリプト(例えばPowerShellで拡張子だけ変更)を用いるなど、安全な模擬実験を設計することが重要です。
ランサムウェア対策は単にEDRやバックアップの問題ではなく、「検知・隔離・復旧・学習」を絶えず繰り返す文化を作ることです。攻撃者は1回成功すれば十分ですが、防御側は常に100%の精度が求められます。その不均衡を埋めるのは、技術だけでなく「備えの習慣化」です。
脅威対策セミナーもしくはサイバーセキュリティアウェアネスセミナーの無料体験ができるモニターさん募集中!
興味ある方はLINEまたはメールでご連絡ください!
