全米の病院が標的に　猛威振るい始めた新種ランサムウェア

ランサムウェアの急増　新タイプが続々

　最近のランサムウェアでは機能の高度化が顕著だ。新手には、これまでなかったような凶悪を機能を持つものも多い。例えば、3月下旬に出現した新しいランサムウェア「Petya」は、ハードディスクを丸ごと暗号化して、全ファイルをアクセス不能にするほか、MBR（Master Boot Record）を上書きしてOSの起動も不能にしてしまう。

　感染すると、マシンはインターネットにつなぐことさえできず、被害者は身代金を払うにも別の端末を用意しなければならない。また、Petyaは身代金の支払いに、Torブラウザを通さねばならないなど、追跡をかわす巧妙さも増している。

　そして感染方法だ。Petyaの典型的な感染は、就職希望者を装って人事担当者に電子メールを送りつけ、クラウドファイル共有サービスのDropboxへのリンクで誘導して実行ファイルをもぐりこませる。Betanewsは、Petyaが「電子メールとクラウドの組み合わせを使って拡大し、エンタープライズユーザーをターゲットにしたものだ」としている。

　先のSamsam、Lockyの感染経路も企業・組織を狙う手法だ。Samsamではサーバーへの直接アタック、Lockyでは電子メールに添付したWordファイル（開くと感染する）を採用している。従来のランサムウェアの感染の主流が「メール内のURLクリック」と「仕掛けをしたWebサイトからのドライブバイダウンロード攻撃」だったのに対し、標的型攻撃に利用される手法が多くなっている。

　またランサムウェアの背後には、組織犯罪グループの影がちらついている。セキュリティソリューション会社のProofpointは、Lockyの配布には、昨年、大きな被害をもたらしたオンライン銀行詐欺ツール「Dridex」と同じボットネットが使われたと報告している。

　Dridexは、オンラインバンキングのアカウント情報を盗む機能を持ったトロイの木馬で、ロシア語圏では感染しないことなどから、ロシア・東欧のハッカー集団との関係が取り沙汰されている。昨年10月にFBIなど各国の捜査当局が協力して、C＆C（Command and Control）を摘発したが、それまでに米国だけでも1000万ドルがだまし取られていたという。

　プロの犯罪集団が、攻撃のツールとしてランサムウェアを活用するようになっている――。そういうことなら、病院に限らず、次はあらゆる企業・組織が狙われると考えて、備えねばならないだろう。