ランサムウェアの進化を追いながら、小規模の犯罪から世界規模の犯罪企業にとっての大きな経済効果まで、企業が脅威について深く懸念すべき理由を明らかにします。過去数年にわたる爆発的な成長によって、そうではないように思われるかもしれませんが、ランサムウェアは、どこからともなく現れたものではありません。

昔ながらの手口

ランサムウェアが頻繁にニュースに登場するようになったのは、ここ5年ほどですが、ファイルを暗号化して、ユーザーのファイルやコンピューターを人質にしたりシステムへのアクセスを妨害したりして、元に戻すことと引き換えに身代金を要求するというやり方は昔から存在しています。

1980年後半には、すでに犯罪者が暗号化されたファイルを人質に取り、被害者に現金を郵送するように要求するケースが発生していました。これまで記録されている最初のランサムウェア攻撃は、AIDSトロイの木馬（PC Cyborg Virus）で、1989年にフロッピーディスクを介して配布されたものでした。これは、共通鍵暗号方式を使用した単純なウイルスでしたが、犯罪者は、システムへのアクセスの復元と引き換えに、189ドルをパナマの私書箱宛てに送るよう要求しました。

収益化

ランサムウェアの歴史は長いものの、2000年代にはまだそれほど普及していませんでした。おそらく身代金の受け取りが難しかったからでしょう。しかし、2010年のBitcoinなどの仮想通貨が登場したことにより、状況は一変します。仮想通貨は追跡不能であるとともに、被害者から簡単に身代金を受け取ることができるため、ランサムウェアを使う攻撃者にとって格好のビジネスチャンスが生まれました。

マルウェア、バンキング型トロイの木馬、ランサムウェア、マインウェア（クリプトジャッキング）、クライムウェアなど、あらゆる種類のサイバー犯罪（eCrime）が、Bitcoinが生み出した収益化のチャンスをつかみました。その結果、2012年以降、ランサムウェアが大幅に増加しました。ただし、この頃のランサムウェアのビジネスモデルは、まだ不完全です。なぜならば、Bitcoinによる支払いは、サイバー犯罪者側にとっては簡単な取引でも、技術に疎い標的側にとっては必ずしも簡単ではなかったためです。身代金を確実に支払わせるために、犯罪者の中には、コールセンターを開設してテクニカルサポートを提供したり、ターゲットがBitcoinにサインアップするのを支援したりする者も現れました。しかし、これには時間も費用もかかりました。

ランサムウェアが主流になってくると、ランサムウェア開発者は、彼らが求めていた金銭を搾り取るための単なる方法としてランサムウェアを認識しました。Bitcoin取引所は、匿名性を保ちながら即時支払いを受け取る手段を攻撃者に提供しており、すべてが従来の金融機関の仕組みの外で取引されています。

CryptoLockerの登場

2013年にはCryptoLockerが登場する準備が完璧に整っていました。この革新的な新種のランサムウェアは、Bitcoin取引のパワーを利用しただけでなく、より高度な形式の暗号化と組み合わせました。このランサムウェアは、コマンドアンドコントロールサーバーで生成されて被害者に配信された2048ビットのRSAキーペアでファイルを暗号化し、被害者がキーに約300ドルを支払うしか打つ手がないようにしました。

CryptoLockerの配信メカニズムには、Gameover Zeusバンキング型トロイの木馬が使用されています。ボットネットの背後にいる脅威アクターは、強力な暗号化を備えたランサムウェアの潜在的な価値を本当に実現し、金融機関の顧客を標的とする従来のACH（Automated Clearing House）や電信詐欺攻撃の利益を上回る拡大を見せた最初の攻撃者でした。CryptoLockerの支援者は、大あたりし、ランサムウェアの犯罪的なゴールドラッシュをもたらしました。

CryptoLocker Gameover Zeusは、FBIが主導する作戦とクラウドストライクの研究者からの技術支援でシャットダウンされました。開始から7か月以内に活動停止となりましたが、ランサムウェアの途方もない可能性をサイバー犯罪コミュニティ全体に証明しました。これは、ランサムウェアの急激な成長の真の転換点でした。

数か月のうちに、セキュリティ研究者は野放し状態になっている大量のCryptoLockerクローンを発見することになりました。そこでは、世界中の犯罪者が取り分を求めて先を争っていました。それ以来、多くの組織犯罪ギャングは、偽のウイルス対策を含む古いコアビジネスからランサムウェアの運用に投資とリソースをシフトしました。犯罪技術者は、より優れたランサムウェアコードとエクスプロイトキットコンポーネントを開発して、ダークウェブ市場にそれらのツールをあふれさせるための特殊なオペレーションを進めて、こうした潜在的な顧客にサービスを提供するために全力を投じています。

ビッグゲームハンティングの出現

ランサムウェアオペレーターは、活動を最大限に効率化しようと、当時ランサムウェアの世界で中心となっていた「手あたり次第」に攻撃するスタイルから、「ビッグゲームハンティング」（Big Game Hunting：BGH）の手法にシフトすることにしました。BGHでは、ランサムウェアと、大規模な組織を狙った標的型攻撃で一般的な戦術、手法、手順（TTP）を組み合わせた手法が用いられます。

規模の小さい標的に数多くのランサムウェアを仕掛けるのではなく、多額の金銭的利益を見込める、犯罪者が時間と労力をかけるに値する標的に攻撃の対象を絞ります。この変化は非常に顕著であり、『CrowdStrike® 2020 Global Threat Report（クラウドストライクの2020年版グローバル脅威レポート）』でも、BGHはサイバー犯罪エコシステムに影響を与える最も顕著なトレンドの1つとして紹介されています。

2020年、CrowdStrike Servicesにより、ビッグゲームハンティング（BGH）ランサムウェア手法に従事するサイバー犯罪攻撃者の継続的な進化と急増が確認されました。この傾向は2021年も続いています。最近の注目を集めている例は、米国の燃料パイプラインに対するCARBON SPIDER/DarkSide攻撃です。