ランサムウェア（暗号化して身代金を要求するマルウェア）

📌

ランサムウェアとは

ランサムウェアとは、端末内のデータを暗号化して使用不能にし、元に戻すこと（復元）と引き換えに金銭を要求するマルウェア（＝悪意のあるソフトのこと）です。「ransom（ランサム）＝身代金」と「ソフトウェア」を合わせた言葉です。

身近な例で考えると、大切なものを奪って「返してほしければ金を払え」と要求する誘拐犯のようなものです。ランサムウェアは人質の代わりにあなたのデータを人質に取ります。

ここで使われる暗号化とは、データを特別な鍵がないと読めない形に変換する技術です。攻撃者だけが復元用の鍵（復号鍵）を握っているため、利用者は自力ではファイルを開けなくなってしまいます。上の図解の②のように、書類が一斉に「鍵付き」になるイメージです。

📌

攻撃の流れ

ランサムウェアの攻撃は、おおむね次の流れで進みます。
・侵入：メールの添付ファイルや不正サイト、脆弱性（＝攻撃に使われる弱点）を突いて端末に入り込む
・暗号化：端末や共有フォルダ内のファイルを次々と暗号化し、開けない状態にする
・要求：画面に脅迫文を表示し、「復号鍵が欲しければ金を払え」と金銭（多くは暗号資産）を要求する

厄介なのは、被害が1台にとどまらない点です。社内の共有フォルダやネットワーク上の他の端末まで暗号化が及ぶと、組織全体の業務が止まってしまうこともあります。

なお、身代金を支払ってもデータが戻る保証はありません。鍵が渡されなかったり、再び攻撃されたりする例もあります。攻撃者を利することにもなるため、支払いは一般に推奨されません。

📌

対策(バックアップ等)

ランサムウェア対策で最も重要なのがバックアップです。基本的な対策をまとめると次のとおりです。
・定期的なバックアップ：暗号化される前のデータを別の場所に保存しておく
・バックアップの隔離保管：バックアップ自体も暗号化されないよう、ネットワークから切り離して保管する
・侵入を防ぐ：怪しい添付ファイルを開かない／OS・ソフトを最新に保つ／対策ソフトを使う

バックアップが有効なのは、「人質（データ）の予備」を持っているのと同じだからです。元データを暗号化されても、バックアップから復元すれば身代金を払わずに業務を再開できます。上の図解の下段がこの復旧の流れです。

ただし、バックアップが感染端末と同じネットワーク上にあると、それごと暗号化されてしまいます。だからこそ切り離して保管することが決め手になります。万一感染したら、まず端末をネットワークから切り離して被害拡大を止め、バックアップから復元し、専門機関にも相談します。

📌

なぜ暗号化が厄介なのか

ランサムウェアが厄介な最大の理由は、暗号化の仕組みそのものは正規の技術だという点です。暗号化（＝データを特定の鍵がないと読めない形に変換する処理）は、普段から銀行通信やネットショッピングの保護にも使われている本物の技術です。だから「元に戻すには正しい鍵が必要」という性質は本物です。

なぜ自力では復元できないのか。答えは、復号鍵（＝暗号を解く鍵のこと）を攻撃者だけが握っているからです。
・攻撃者が端末に侵入し、自分だけが知っている鍵でファイルを暗号化する
・利用者のPCにはその鍵が保存されないため、どれだけ知識があっても自力では開けられない
・鍵の長さが十分に長い場合、力技で全パターンを試すことも現実的には不可能

身近な例で考えると、錠前そのものは正規品だが、鍵を泥棒が持ち去ってしまった状態です。鍵を作り直す（総当たりで解読する）には膨大な時間がかかり、実質的には鍵を返してもらうしか手がない。だから身代金という要求が成り立つのです。この構造を理解することで、なぜバックアップ（鍵不要で復元できる手段）が最善の備えなのかが分かります。

📌

他のマルウェアとの違い

マルウェア（＝コンピュータに害を与える悪意のあるソフトの総称）にはさまざまな種類があります。ランサムウェアが他と大きく異なる点は、「被害者に直接金銭を要求する」という経済的な動機が明確なことです。

また、気づきやすさという面でも違いがあります。スパイウェアは「気づかれないこと」が目的なので静かに動き続けますが、ランサムウェアはわざと画面に脅迫文を表示して存在を知らせます。なぜなら、気づかせなければ身代金を払ってもらえないからです。この点で「目立って要求する」という独特の行動パターンを持ちます。