ランサムウェア完全ガイド:AES暗号化の仕組み、攻撃手法、バックアップ戦略とインシデント対応実務

2024年2月、米国最大の医療決済処理業者Change HealthcareがALPHV/BlackCatランサムウェアグループの攻撃を受け、全米数千の病院・薬局の保険請求処理が数週間にわたって停止。最終的に2200万ドルの身代金を支払いました。2025年にはランサムウェアの標的が大企業から中小企業・学校・個人にまで拡大し、1回の攻撃で平均21日間の業務停止が生じています。ランサムウェアの仕組みと防護策を理解することがこれまで以上に重要です。

1. ランサムウェアの仕組み

ランサムウェアはAES-256(対称暗号)とRSA(非対称暗号)を組み合わせてファイルをロックします:

  1. 初期侵入:フィッシングメール、脆弱性悪用、RDPブルートフォース等で侵入
  2. 横展開:ネットワーク内で拡散し、バックアップサーバーを含む多くのデバイスへ感染を試みる
  3. 暗号化フェーズ
    • ローカルでランダムなAES-256対称鍵を生成
    • その鍵でターゲットファイルを暗号化(高速)
    • 攻撃者のRSA公開鍵でAES鍵を暗号化
    • RSA秘密鍵は攻撃者のみが保持
  4. 身代金要求:Monero/BitcoinでRSA秘密鍵との交換を要求
  5. 二重脅迫(現代型):暗号化前にデータを窃取し、支払いなければ公開すると脅す
AES暗号化を体験:AES暗号化ツールでテキストと鍵を入力して暗号化・復号を試してみましょう。正しい鍵なしには復号できないことが実感でき、ランサムウェアが被害者を無力化する根本原理を理解できます。

2. 主要なランサムウェア事件(2024〜2026年)

Change Healthcare攻撃(2024年2月)

ALPHV/BlackCatグループがUnitedHealth傘下の医療決済処理業者を攻撃。全米の医療システム支払い処理が麻痺。2200万ドルの身代金支払い後も全データは回収されず、別のグループに再度脅迫された。

英国NHS攻撃(2024年6月)

Qilinグループがその委託先Synnovisを攻撃し、ロンドンの複数病院で3000件超の手術・外来が中止。NHSは5000万ドルの要求を拒否した。

3. 3-2-1バックアップルール:最も効果的な防護手段

  • 3:少なくとも3つのデータコピーを保持(オリジナル1つ+バックアップ2つ)
  • 2:少なくとも2種類の異なるメディアに保存
  • 1:少なくとも1つをオフサイトまたはオフライン(エアギャップ)に保存

現代のランサムウェアは暗号化前にネットワーク上のバックアップを検索・削除します。バックアップドライブやNASが常時マウントされていれば同様に暗号化されます。エアギャップバックアップ(物理的に切り離された)だけがランサムウェアに免疫を持ちます。定期的な復元テストとChecksum検証でバックアップの健全性を確認しましょう。

バックアップの完全性を検証:ChecksumツールでファイルのMD5・SHA-256等のハッシュ値をブラウザ内で計算できます。重要なバックアップファイルが改ざんされていないか定期的に確認するのに最適です。

4. 侵入経路

侵入経路比率(概算)典型的なシナリオ
フィッシングメール約40%悪意のある添付ファイル(Officeマクロ、PDF)またはフィッシングリンク
リモートデスクトップ(RDP)約25%弱いパスワードのRDPがインターネットに公開されている
ソフトウェアの脆弱性約15%未パッチのVPN・ファイアウォール・アプリケーション
サプライチェーン攻撃約10%感染したサードパーティソフトウェアのアップデート
認証情報の窃取約10%ダークウェブで購入したアカウント情報でログイン
アカウントセキュリティ:パスワード生成ツールでブラウザ内から高強度のランダムパスワードを生成できます。パスワードマネージャーと組み合わせてシステムごとに異なる強力なパスワードを設定し、認証情報の窃取リスクを大幅に低減させましょう。

5. 攻撃を受けた場合の対応手順

  1. 感染端末を即座に隔離:ネットワークケーブルを抜くかWi-Fiを無効化して横展開を阻止
  2. 現場を保全:すぐにフォーマットせず、暗号化されたディスクイメージを保持すると将来の復号に役立つ可能性がある
  3. ランサムウェアの種類を特定nomoreransom.org(Europolが主導)で無料復号ツールの有無を確認
  4. バックアップを評価:オフラインバックアップが無事かどうか確認
  5. 支払いは慎重に:身代金を払っても有効な復号鍵が得られる保証はない

まとめ

  • ランサムウェアはAES-256でファイルを暗号化し、そのAES鍵を攻撃者のRSA公開鍵で暗号化する。秘密鍵なしの復号は事実上不可能
  • フィッシングメールとRDPブルートフォースが全インシデントの60%以上を占める
  • 3-2-1バックアップルールが最も効果的な防護手段であり、「オフラインバックアップ」が鍵となる
  • 攻撃を受けたら隔離→nomoreransom.orgで無料復号ツールを確認→バックアップの評価という順序で対応
  • No More Ransomプロジェクトは世界160万人以上の無料復号を支援し、30億ドル超の身代金支払いを回避させた