　2～3年前から活動しているのが「Samsam」です。リモートアクセスにリモートデスクトッププロトコル（RDP）を用いている企業は少なくないでしょうが、Samsamは、弱いパスワードが設定されているRDPを悪用して侵入し、内部で感染を広げた上で身代金を要求してきます。18年1月にSamsamに感染してしまった米インディアナ州のHancock Regional Hospitalでは医療業務の継続を重視し、4BTCを攻撃者に支払うことを決断しました。

　他にも、米アトランタ市のようにSamsamによる被害は相次ぎ、被害額は合計で600万ドル（約6億7000万円）に上るとされています。18年11月末になって米司法省は、Samsamに関連して2人のイラン人を起訴し、ひとまず活動は沈静化した模様です。

米司法省のニュースリリースより

　しかし、同じ手法を踏襲した標的型ランサムウェアは他にも登場しています。

　例えば、18年8月に登場した「Ryuk」は、これまでに705.80BTC（時価総額にして、約370万ドル）もの身代金を受け取ったと米CrowdStrikeが報告しています。18年12月末にはロサンゼルスタイムスがRyukに感染。共通の新聞製作システムを利用している複数のメディアが、新聞印刷・配送が遅れるといった影響を受けました。

　「複数の攻撃者がこういった狙いで標的型ランサムウェア攻撃を行っており、実際に被害が出てしまっている。狙われるのは、お金を支払う可能性が高く、かつ対策の脇がちょっと甘そうな医療組織や自治体、学校といった組織だ」（根岸氏）

　標的型ランサムウェアには、バラまき型ランサムウェアに比べていくつか嫌らしい点があります。まず、ランサムウェア対策としてバックアップが提唱されていることを見越し、PCやサーバ本体だけでなくバックアップデータも暗号化・破壊の対象にしていることです。

　また、要求額の設定にも嫌らしさがあります。規模にもよりますが、企業・組織のシステムの復旧には数千万から数億という多額のコストがかかります。例えば、Samsamに感染したアトランタ市の場合は、脅しに屈することはありませんでしたが、一からシステムを復旧するのに約260万ドルという費用と時間を要したといいます。標的型ランサムウェアはそうした被害者の足元を見て、システム復旧ほどは高くないけれど、個人をターゲットにしたランサムウェアに比べればずっと高額な額、日本円で数百万円程度を要求してくるのです。

　現在は主に海外での被害が報告されていますが、いつ日本にこの波がきてもおかしくはないでしょう。

対策は？

前のページへ 1|2|3 次のページへ