ランサムウェアとは？わかりやすく解説

情報セキュリティ > マルウェア > ランサムウェア

ランサムウェア（英語: ransomware）とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に身代金（ransom、ランサム）を支払うよう要求する。数種類のランサムウェアは、システムのハードディスクドライブを暗号化し（暗号化ウイルス恐喝）、他の幾種類かは単純にシステムを使用不能にして、利用者が身代金を支払うように促すメッセージを表示する（スケアウェア）。個人情報をネット上に開示するという脅迫をともなうケースも多くみられる。

こうしたプログラムは、当初ロシアで有名だったが、ランサムウェアによる被害は世界的に増大してきた^[1]^[2]^[3]。2013年6月、セキュリティソフトウェア企業のマカフィーは、2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したと発表した。この数は、2012年第1四半期で得られた数の2倍以上である^[4]。サイバー犯罪が市場として周知されるにつれてランサムウェアのビジネスへ化が進み^[5]、法秩序に一層大きな課題を提示している^[6]。

動作

ランサムウェアは、典型的にはトロイの木馬として増殖する。例えば、ダウンロードされたファイルか、ネットワークサービスの脆弱性を突いてシステムに入りこむ。

その後、プログラムはペイロード（本体プログラム）を実行しようとする。一例としては、ハードディスクドライブの個人的なファイルを暗号化し始める^[7]^[8]^[9]。

より巧妙なランサムウェアは、ランダムな共通鍵と固定の公開鍵によるハイブリッド暗号で被害者のファイルを暗号化するものがある。そのマルウェアの作者は、秘密の復号鍵を知っている唯一の人物である。

いくつかのランサムウェアのペイロードは、暗号化を行わない。その場合、ペイロードは単純にシステムの相互作用を制限するアプリケーションとなっている。典型的にはウィンドウズシェルの設定によるものや^[10]、マスターブートレコードやパーティションテーブル（修復されるまでOSの起動を妨害する。）を変更するものがある^[11]。

ランサムウェアは、システムの利用者から金銭を奪い取るためにスケアウェアの要素を利用する。そのペイロードは、企業や警察を称する者から発せられた通知を表示する。通知内容は、システムが違法な活動に使用されていたとか、システムからポルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかったとかいうような、虚偽の主張をするものである^[12]^[13]。

いくつかのランサムウェアのペイロードには、Windows XPのマイクロソフトライセンス認証の通知を模倣して、コンピュータのWindowsが偽造された、または再アクティベーションが必要である、と虚偽の主張をするものがある^[14]。これらは、ランサムウェアを除去するために、ファイルを復号するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るよう利用者に要求する。

この過程で、利用者はマルウェアの作者に金銭を払うように促される。支払い方法には、しばしば、銀行振込、ビットコイン、有料テキストメッセージ^[15]、またはUkash（英語版）やPaysafecard（英語版）のようなオンライン決済金券サービスが用いられる^[1]^[16]^[17]。

歴史

暗号化ランサムウェア

初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「AIDS Trojan（英語版）」というトロイの木馬（「PC Cyborg」という名称でも知られている）である。

そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189米ドルを支払う必要があると利用者に主張する。ポップは自身の行為を裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した^[18]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとモチ・ユング（英語版）によって紹介された。

AIDS Trojanは共通鍵暗号だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、RSA暗号とTiny Encryption Algorithm(TEA暗号)（英語版）を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「暗号ウイルス学（英語版）」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した^[7]。

猛威を振るったランサムウェアの例は、2005年5月に顕著になった^[19]。 2006年中頃には、Gpcode（英語版）、TROJ.RANSOM.A、Archiveus（英語版）、Krotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った^[20]。

2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている^[21]^[22]^[23]^[24]。

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している^[25]。

また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種KRSWLocker（通称カランサムウェア）が発見され「新経済サミット2015」において紹介された^[26]^[27]。

非暗号化ランサムウェア

2010年8月に、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。前述したGpcodeとは異なり、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、利用者に有料SMS（およそ10米ドル）を送るかどうか尋ねる。この詐欺は、ロシアと周辺諸国に多数発生した。犯行グループは、1600万米ドルを稼いだと報じられている^[13]^[28]。

2011年には、利用者に「詐欺の被害者」となったので、Windowsを再活性化する必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでの活性化を提示するがそれは不可能であり、利用者に数字6桁のコードを知るため、6種類提示される国際電話番号のうち、1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、巨額の長距離電話料金を発生させる^[14]。

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeとGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する^[29]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、利用者がポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体は阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する^[30]。

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された^[31]。

二重恐喝

2019年後半から二重恐喝 (英語：Double-Extortion Ransomware Attack) と呼ばれる方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。EU一般データ保護規則 (GDPR) の制裁金よりは安いとして、個人情報流出に対する企業へのペナルティを利用している様子も見られる^[32]。

分業（RaaS）

ランサムウェアの開発だけを行い、攻撃は技術力のない依頼主や攻撃したい人間にランサムウェアを販売することで利益（得た身代金からの分配も含む）を上げる手法Ransomware as a Service（サービスとしてのランサムウェア、RaaS）が見られるようになった。

身代金支払いの合法性

日本ハッカー協会の杉浦隆幸は、「ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない」としており、世界的にも支払う例が多い。日本のテロ資金提供処罰法はハッカー集団を対象としていないため国内では違法とされないが、アメリカではハッカー集団を対象に含む処罰法があり、日本の企業も制裁対象となる^[33]。

ウィザード・スパイダーなど各国の警察当局から犯罪グループとして認識されている集団もあり、このような相手に支払った事実が公表されると社会的な信用を失うというリスクもある^[33]。

被害の増加とターゲットの選別

2021年、独立行政法人情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった^[34]。サイバーセキュリティ会社CrowdStrikeが行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上（52%）がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている^[35]。

ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延したWannaCryは、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった^[36]。

2023年の調査では、主要15カ国の中で日本だけ被害が減少していることが確認された^[37]。これは日本企業の多くが災害を警戒してデータのバックアップを徹底している、反社会勢力への利益供与を行わない方針の浸透、身代金がサイバー犯罪保険では保証されないなどの理由で身代金を支払わない選択を続けていることから、犯行側が割に合わないと判断しターゲットとして選ばれなくなったという見方がある^[37]。一方でセキュリティに欠陥があり、支払い余力がある大企業を狙った攻撃は行われている。

支払いを拒否して復旧を行った対象に対し、再攻撃により支払いを強要するか諦めて別な攻撃対象を探すという選択は対費用効果を勘案して決定される^[5]。

復号の試み

身代金を支払うこと無く暗号化されたファイルを復号するツールの開発が行われている^[38]。

警視庁ではランサムウェアグループの「8Base」が利用する「Phobos」の復号ツールの開発に成功した^[39]。

顕著な例

Reveton

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし（それ自身はZeus（英語版）を基にしている）、そのペイロードは警察を自称した警告を表示し（このことから「警察トロイ」のニックネームが付いた）、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する^[40]。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示し、利用者に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する^[1]^[41]。

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した^[1]。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種はロンドン警視庁、著作権管理団体のPRS for Music（英語版）（特に違法な音楽をダウンロードしたと利用者を告発した）、Police Central e-Crime Unit（英語版）のような組織の標記を用いた^[42]。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした^[1]^[12]。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。

2012年5月には、トレンドマイクロの研究者がアメリカとカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた^[43]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporation（英語版）カードを使って200米ドルの罰金を払う必要があると主張するものである^[2]^[3]^[41]。

CryptoLocker

→詳細は「CryptoLocker」を参照

2013年に、暗号化ランサムウェアは「CryptoLocker」として知られるワームと共に再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。

最初はC&Cサーバに接続を試み、その後2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時、このマルウェアは、利用者が2,048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。

CryptoLockerは、利用者が鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている^[44]^[45]^[46]^[47]。

2014年6月2日にアメリカ合衆国司法省によって正式に公表されたように、CryptoLockerは、Gameover ZeuS ボットネットの差し押さえによって隔離された。

CryptoLocker.FとTorrentLocker

2014年9月、新種のランサムウェアがオーストラリアを襲った。（「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。）「CryptoLocker.F」の命名は、シマンテックによるものである。オーストラリア郵便公社からの宅配便の不在票を偽った電子メールによって広がった。利用者に、あるWebサイトを閲覧させて、CAPTCHAコードを入力させる。被害者には著名なところではオーストラリア放送協会が含まれていた^[48]。

この時期、別のトロイの木馬「TorrentLocker（英語版）」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった^[49]。

Cryptowall

2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。 2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。信頼できるソフトウェアを装うためにデジタル署名が付されている^[50]。 Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする（ドライブバイダウンロード）。検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。

2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった^[51] ^[52]。

KRSWLocker

→詳細は「KRSWLocker」を参照

2014年に発見された、初めて日本のユーザーを標的としたランサムウェア^[53]^[54]。

Petya

→詳細は「Petya」を参照

2016年3月に初確認されたランサムウェア。

KeRanger

2016年3月に出現したKeRangerは、macOS オペレーティングシステム上の最初のマルウェアかつランサムウェアである^[55]。

これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル（.rtf）に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。

このマルウェアは、暗号化するために2048 bitのRSA公開鍵を使う。実際には、Linuxの「Linux.Encoder.1」のコピーである。

RSA4096

WannaCry

→詳細は「WannaCry」を参照

2017年5月13日に出現した WannaCry/Wcry（泣きたくなる）という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータ（Microsoft Windows）や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる^[56]。

また、このランサムウェアは日本のマスメディアでも報道され、知名度の高いランサムウェアでもある。

GoldenEye

2017年6月、ウクライナを中心に世界各地に拡大した^[57]。ウクライナの国営電力会社やウクライナの首都キーウの国際空港に感染。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。

REvil

→詳細は「REvil」を参照

2019年4月に初確認されたランサムウェアを配布するサービスを行っているRaaS（サービスとしてのランサムウェア）のグループ。 JBSやKaseyaを攻撃した。

Conti

→詳細は「Conti」を参照

2020年5月に初確認された医療機関なども標的にするランサムウェア。

DarkSide

→詳細は「ダークサイド (ハッカー集団)」を参照

2020年8月に初確認された東欧を拠点とするサイバー犯罪を行う個人ないしはグループ。被害者の使用しているプログラムをランサムウェアを使用して暗号化して身代金を要求する恐喝を行う。アメリカ南東部にガソリンやジェット燃料を輸送し、東海岸が使用する燃料の45％を支えるパイプライン輸送を管理する会社コロニアル・パイプライン（英語版）のシステムがハッキングされた事件（コロニアル・パイプラインへのサイバー攻撃（英語版））に関与している。即座に身代金が支払われ復号プログラムが渡された。しかし、そのプログラムでは正常に機能せず、政府やセキュリティー会社などの協力で回復するまで業務に支障をきたす状態が続いた。結果として、6日間におよぶ業務停止となり、アメリカ東海岸では燃料不足問題が発生し、燃料価格が高騰した。各州が緊急事態宣言を発令、アメリカ大統領による非常事態宣言が出された^[58]^[59]。

緩和策

他の形態のマルウェアと同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい^[60]。また、ネットワーク越しのストレージ（ネットワークドライブ）中のデータも暗号化されてしまう懸念がある。

例えランサムウェアに乗っ取られても、物理的に遮断されたストレージデバイス（例：取り外し可能な補助記憶装置）に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる^[61]。ただし、侵入の為に把握した通信経路や通信機器の改変を受けている可能性があるため、被害の度合いによってはシステム構築から一新する必要もあり、被害を受けた際の迅速な手配や運用策をあらかじめ講じることが求められる。

身代金を支払わない選択を徹底することで、ターゲットから外されるという見解がある^[37]。

脚注

^ ^a ^b ^c ^d ^e Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 2012年3月10日閲覧。
^ ^a ^b “New Internet scam: Ransomware...”. FBI (2012年8月9日). 2014年4月5日閲覧。
^ ^a ^b “Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (2012年11月30日). 2014年4月5日閲覧。
^ “Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 2013年9月16日閲覧。
^ ^a ^b 杉浦隆幸／一般社団法人日本ハッカー協会代表理事. “カドカワへ再びサイバー攻撃の予告か…身代金11億円の支払いを拒否していた”. ビジネスジャーナル/Business Journal | ビジネスの本音に迫る. 2024年8月30日閲覧。
^ Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 2014年3月28日閲覧。
^ ^a ^b Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129–140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
^ Adam Young (2005年). “Building a Cryptovirus Using Microsoft's Cryptographic API”. Information Security: 8th International Conference, ISC 2005 (Springer-Verlag): pp. 389?401
^ Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security (Springer-Verlag) 5 (2): 67?76.
^ “Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
^ “And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
^ ^a ^b “Police warn of extortion messages sent in their name”. Helsingin Sanomat. 2012年3月9日閲覧。
^ ^a ^b McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 2012年3月10日閲覧。
^ ^a ^b “Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 2012年3月9日閲覧。
^ Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。
^ “Ransomware plays pirated Windows card, demands $143”. Computerworld. 2012年3月9日閲覧。
^ Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。
^ Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 2012年3月10日閲覧。
^ Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。
^ Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。
^ Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。
^ Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。
^ Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。
^ “Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。
^ NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年 8月13日17時33分（株式会社インプレス「INTERNET Watch」）
^ プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan
^ 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞（YOMIURI ONLINE）
^ Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 2012年3月10日閲覧。
^ “Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 2013年7月17日閲覧。
^ “New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 2013年7月17日閲覧。
^ “Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 2013年7月31日閲覧。
^ Deloitte Cyber Trend & Intelligence Report 2020　出版者：デロイトトウシュトーマツ
^ ^a ^b “「炎上する」「顧客や株主守れ」 KADOKAWA被害の身代金要求ウイルス、支払い是非は”. ITmedia NEWS. 2024年8月1日閲覧。
^ 情報セキュリティ10大脅威 2021 出版者：独立行政法人情報処理推進機構（IPA）
^ CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 CrowdStrike
^ Ranger, Steve; 石橋啓一郎 (2017年5月19日). “ランサムウェアはいかに世界的な脅威へと深刻化したか”. ZDNet. 2017年10月14日閲覧。
^ ^a ^b ^c 涼太郎, 福田 (2024年6月19日). “ＫＡＤＯＫＡＷＡ襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く”. 産経新聞：産経ニュース. 2024年6月19日閲覧。
^ “ランサムウエア、警察庁が2例目の解読成功身代金払わずデータ回復”. 日本経済新聞 (2025年7月17日). 2025年7月18日閲覧。
^ “ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの開発について｜警察庁Webサイト”. 警察庁. 2025年7月18日閲覧。
^ “Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 2012年8月15日閲覧。
^ ^a ^b “Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 2012年8月16日閲覧。
^ Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 2012年8月16日閲覧。
^ Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 2012年5月11日閲覧。
^ “Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 2013年9月12日閲覧。
^ “CryptoLocker attacks that hold your computer to ransom”. The Guardian. 2013年10月23日閲覧。
^ “You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 2013年10月23日閲覧。
^ “Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 2013年10月23日閲覧。
^ “Australia specifically targeted by Cryptolocker: Symantec”. ARNnet. (2014年10月3日) 2016年1月4日閲覧。
^ “Encryption goof fixed in TorrentLocker file-locking malware”. PC World. 2016年1月4日閲覧。
^ “Malvertising campaign delivers digitally signed CryptoWall ransomware”. PC World. 2016年1月3日閲覧。
^ Andra Zaharia (2015年11月5日). “Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect”. HEIMDAL. 2016年1月5日閲覧。
^ 鈴木聖子 (2015年12月5日). “ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散” 2016年1月5日閲覧。
^ “日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ：シマンテック”. ZDNet Japan (2014年12月17日). 2015年5月20日閲覧。
^ “日本語ランサムウェア「犯人」インタビュー”. 読売ONLINE IT&MEDIA (2014年12月19日). 2015年5月20日閲覧。
^ Claud Xiao and Jin Chen (2016年3月7日). “新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害”. paloalto. 2016年3月14日閲覧。
^ “ランサムウエア「WannaCry」関連記事”. ITpro (日経BP). (2017年5月17日) 2017年5月17日閲覧。
^ 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress
^ Suderman, Alan (2021年5月8日). “Major US pipeline halts operations after ransomware attack”. AP News. 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。
^ “Top US pipeline operator shuts major fuel line after cyber attack”. The Jerusalem Post (2021年5月8日). 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。
^ “Yuma Sun weathers malware attack”. Yuma Sun. (2013年11月16日) 2016年1月5日閲覧。
^ “｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓”. 東洋経済オンライン (2024年7月31日). 2024年8月1日閲覧。

発展資料

Russinovich, Mark (2013年1月7日). “Hunting Down and Killing Ransomware (Scareware)”. Microsoft TechNet blog. 2014年4月5日閲覧。
Simonite, Tom (2015年2月4日). “Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)”. MIT Technology Review. 2016年1月4日閲覧。
Brad, Duncan (2015年3月2日). “Exploit Kits and CryptoWall 3.0”. The Rackspace Blog! & NewsRoom. 2016年1月4日閲覧。

外部リンク

“Ransomware on the rise”. FBI (2015年1月20日). 2016年1月4日閲覧。
ランサムウェア被害防止対策 - 警察庁
ランサムウェア対策特設ページ - 情報処理推進機構
ランサムウェア対策について - 日本サイバー犯罪対策センター
ランサムウエア対策特設サイト - JPCERTコーディネーションセンター

[tw-russia-1] Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 2012年3月10日閲覧。

[FBI-2] “New Internet scam: Ransomware...”. FBI (2012年8月9日). 2014年4月5日閲覧。

[IC3-3] “Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (2012年11月30日). 2014年4月5日閲覧。

[infoworld-mcafeeransom-4] “Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 2013年9月16日閲覧。

[:2-5] 杉浦隆幸／一般社団法人日本ハッカー協会代表理事. “カドカワへ再びサイバー攻撃の予告か…身代金11億円の支払いを拒否していた”. ビジネスジャーナル/Business Journal | ビジネスの本音に迫る. 2024年8月30日閲覧。

[Cybersecurity_HQ-6] Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 2014年3月28日閲覧。

[young-7] Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129–140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.

[young-2-8] Adam Young (2005年). “Building a Cryptovirus Using Microsoft's Cryptographic API”. Information Security: 8th International Conference, ISC 2005 (Springer-Verlag): pp. 389?401

[young-3-9] Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security (Springer-Verlag) 5 (2): 67?76.

[kaspersky-german-10] “Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。

[kaspersky-mbr-11] “And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。

[hsfi-ransom-12] “Police warn of extortion messages sent in their name”. Helsingin Sanomat. 2012年3月9日閲覧。

[pcw-russia-13] McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 2012年3月10日閲覧。

[cw-ranactivate-14] “Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 2012年3月9日閲覧。

[zdnet-15] Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。

[cw-pirated-16] “Ransomware plays pirated Windows card, demands $143”. Computerworld. 2012年3月9日閲覧。

[arstechnica-17] Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。

[tr-extortion-18] Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 2012年3月10日閲覧。

[19] Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。

[20] Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。

[zdnet-2-21] Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。

[securityfocus-22] Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。

[washingtonpost-23] Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。

[kapersky-24] “Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。

[25] NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年 8月13日17時33分（株式会社インプレス「INTERNET Watch」）

[26] プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan

[27] 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞（YOMIURI ONLINE）

[28] Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 2012年3月10日閲覧。

[tnw-fakenudepics-29] “Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 2013年7月17日閲覧。

[tnw-osxransom-30] “New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 2013年7月17日閲覧。

[ars-cpvirginia-31] “Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 2013年7月31日閲覧。

[32] Deloitte Cyber Trend & Intelligence Report 2020　出版者：デロイトトウシュトーマツ

[:1-33] “「炎上する」「顧客や株主守れ」 KADOKAWA被害の身代金要求ウイルス、支払い是非は”. ITmedia NEWS. 2024年8月1日閲覧。

[34] 情報セキュリティ10大脅威 2021 出版者：独立行政法人情報処理推進機構（IPA）

[35] CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 CrowdStrike

[36] Ranger, Steve; 石橋啓一郎 (2017年5月19日). “ランサムウェアはいかに世界的な脅威へと深刻化したか”. ZDNet. 2017年10月14日閲覧。

[:0-37] 涼太郎, 福田 (2024年6月19日). “ＫＡＤＯＫＡＷＡ襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く”. 産経新聞：産経ニュース. 2024年6月19日閲覧。

[38] “ランサムウエア、警察庁が2例目の解読成功身代金払わずデータ回復”. 日本経済新聞 (2025年7月17日). 2025年7月18日閲覧。

[39] “ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの開発について｜警察庁Webサイト”. 警察庁. 2025年7月18日閲覧。

[reg-reve-40] “Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 2012年8月15日閲覧。

[iw-fbi-41] “Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 2012年8月16日閲覧。

[tw-pecu-42] Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 2012年8月16日閲覧。

[pcw-canusa-43] Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 2012年5月11日閲覧。

[geek-cryptolocker-44] “Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 2013年9月12日閲覧。

[guardian-cryptolocker-45] “CryptoLocker attacks that hold your computer to ransom”. The Guardian. 2013年10月23日閲覧。

[ars-cryptolocker-46] “You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 2013年10月23日閲覧。

[sophos-cryptolocker-47] “Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 2013年10月23日閲覧。

[arn-cryptolockerf-48] “Australia specifically targeted by Cryptolocker: Symantec”. ARNnet. (2014年10月3日) 2016年1月4日閲覧。

[pcworld-torrentlocker-49] “Encryption goof fixed in TorrentLocker file-locking malware”. PC World. 2016年1月4日閲覧。

[pcw-signedcryptowall-50] “Malvertising campaign delivers digitally signed CryptoWall ransomware”. PC World. 2016年1月3日閲覧。

[heimdal-51] Andra Zaharia (2015年11月5日). “Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect”. HEIMDAL. 2016年1月5日閲覧。

[52] 鈴木聖子 (2015年12月5日). “ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散” 2016年1月5日閲覧。

[53] “日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ：シマンテック”. ZDNet Japan (2014年12月17日). 2015年5月20日閲覧。

[yool085-54] “日本語ランサムウェア「犯人」インタビュー”. 読売ONLINE IT&MEDIA (2014年12月19日). 2015年5月20日閲覧。

[55] Claud Xiao and Jin Chen (2016年3月7日). “新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害”. paloalto. 2016年3月14日閲覧。

[56] “ランサムウエア「WannaCry」関連記事”. ITpro (日経BP). (2017年5月17日) 2017年5月17日閲覧。

[57] 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress

[58] Suderman, Alan (2021年5月8日). “Major US pipeline halts operations after ransomware attack”. AP News. 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。

[59] “Top US pipeline operator shuts major fuel line after cyber attack”. The Jerusalem Post (2021年5月8日). 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。

[60] “Yuma Sun weathers malware attack”. Yuma Sun. (2013年11月16日) 2016年1月5日閲覧。

[61] “｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓”. 東洋経済オンライン (2024年7月31日). 2024年8月1日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

表話編歴マルウェア
伝染性マルウェア	コンピュータウイルスコンピューターウイルスの一覧ワームワームの一覧（英語版）コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬ルートキットバックドアゾンビコンピュータ中間者攻撃マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版）アドウェアスパイウェアボットネットキーロガー Web threat（英語版）詐欺ダイヤラーマルボットスケアウェア偽装セキュリティツールランサムウェア
OS別マルウェア	Linuxにおけるマルウェア携帯電話ウイルスマクロウイルス
マルウェアからの保護	アンチキーロガー（英語版）アンチウイルスソフトウェアブラウザ・セキュリティ（英語版）モバイル・セキュリティ（英語版）ネットワーク・セキュリティ防御コンピューティング（英語版）ファイアウォール侵入検知システムデータ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版）ボットロースト作戦（英語版）ハニーポットスパイウェア対策連合（英語版）
カテゴリ


	(C)Shogakukan Inc. 株式会社小学館
	Copyright © 2005-2025 Weblio 辞書 IT用語辞典バイナリさくいん。この記事は、IT用語辞典バイナリの【ランサムウェア】の記事を利用しております。
	All text is available under the terms of the GNU Free Documentation License. この記事は、ウィキペディアのランサムウェア (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
	Text is available under GNU Free Documentation License (GFDL). Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのサイバーセキュリティ (改訂履歴)、マルウェア (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

ランサムウェアとは？わかりやすく解説

ランサムウエア【ransomware】