Ransomwareとは？ わかりやすく解説

デジタル大辞泉

ランサムウエア【ransomware】

読み方：らんさむうえあ

《ransomは身の代金の意》コンピューターウイルスの一。感染したコンピューターを復旧するためとして、不当な料金請求をするソフトウエア。身の代金型ウイルス。

IT用語辞典バイナリ

ランサムウェア

別名：身代金ウィルス，身代金ウイルス，身代金型ウィルス，身代金型ウイルス，身代金要求ウィルス，身代金要求ウイルス
【英】ransomware

ランサムウェアとは、マルウェア（悪意のあるソフトウェア）の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身代金」（ransom）を要求するソフトウェアのことである。

ランサムウェアの多くは、トロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりして、正常にデータにアクセスできないようにしてしまう。ユーザーがデータにアクセスしようとすると、アクセスが不可能になっていることを警告し、正常にアクセスできるよう復元する（復号鍵やパスワードを教える）ための対価として、ユーザーに金銭を支払うように要求する。

多くの場合、ランサムウェアの支払い要求に応じなければデータは永久に失われてしまうと脅される。あるいは、支払いに応じない限りは一定時間が過ぎるごとにファイルを削除していくと脅迫するものもある。

これまでに報告されている代表的なランサムウェアとしては、2005年5月に発見された「GPCode」（PGPcoder）や、2006年3月に発見された「Cryzip」などがある。ランサムウェアの被害を防ぐ手段としては、信頼できないソフトウェアを実行しないことや、ランサムウェアを発見したらセキュリティベンダーに連絡することなどを挙げることができる。

---

参照リンク
Ransom トロイの木馬が「身代金」を要求 - （SOPHOS）

ウィキペディア

ランサムウェア

(Ransomware から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/02/24 05:34 UTC 版)

情報セキュリティ > マルウェア > ランサムウェア

情報セキュリティと
サイバーセキュリティ

対象別カテゴリ

• ネットワーク・セキュリティ
• インターネットセキュリティ (英語版)
• コンピュータセキュリティ
• モバイルセキュリティ（英語版）
• 車載セキュリティ（英語版）

隣接領域

• 安全保障

脅威

• ウェブシェル（英語版）
• エクスプロイト
  • 権限昇格
  • DoS攻撃
• サイバー犯罪・サイバー戦争
• セキュリティホール
• スクリプトキディ
• スパム
• 盗聴
• フィッシング
  • スミッシング
• マルウェア
  • キーロガー
  • コンピュータウイルス
  • スパイウェア
  • トロイの木馬
  • バックドア
  • ボット
  • ランサムウェア
  • ロジックボム
  • ワーム
  • ワイパー
• ルートキット

防御

• アクセス制御
• アプリケーションセキュリティ（英語版）
  • アンチウイルスソフトウェア
  • セキュアOS
  • セキュアコーディング
  • セキュリティ・バイ・デザイン
• 暗号
• 侵入検知・防止システム
• データ中心型セキュリティ（英語版）
• 認可
• 認証
  • 多要素認証
  • FIDO認証
    • パスキー
• ファイアウォール
  • ウェブアプリケーションファイアウォール
• モバイルセキュアゲートウェイ（英語版）
• ランタイムアプリケーション自己保護（英語版）

• 表
• 話
• 編
• 歴

ランサムウェア（英語: ransomware）とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に身代金（ransom、ランサム）を支払うよう要求する。数種類のランサムウェアは、システムのハードディスクドライブを暗号化し（暗号化ウイルス恐喝）、他の幾種類かは単純にシステムを使用不能にして、利用者が身代金を支払うように促すメッセージを表示する（スケアウェア）。個人情報をネット上に開示するという脅迫をともなうケースも多くみられる。

こうしたプログラムは、当初ロシアで有名だったが、ランサムウェアによる被害は世界的に増大してきた^[1][2][3]。2013年6月、セキュリティソフトウェア企業のマカフィーは、2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したと発表した。この数は、2012年第1四半期で得られた数の2倍以上である^[4]。サイバー犯罪が市場として周知されるにつれてランサムウェアのビジネスへ化が進み^[5]、法秩序に一層大きな課題を提示している^[6]。

動作

ランサムウェアは、ダウンロードファイルやネットワークの脆弱性を介してトロイの木馬として増殖・侵入し、その後、多様な悪意ある動作（ペイロード）を実行するマルウェアである。

感染すると、ハードディスク内のファイルに加え、ファイルサーバーやバックアップサーバー、さらにはAmazon S3などのクラウド上のファイルサーバーまでも対象とし、一例として、犯人のみが秘密鍵を持つハイブリッド暗号を用いてファイルを暗号化する。

他方で暗号化は行わずにWindowsシェルの設定やマスターブートレコード等を変更してOSの起動や操作そのものを制限する場合もある。ウィンドウズシェルの設定や^[7]、マスターブートレコードやパーティションテーブル（修復されるまでOSの起動を妨害する。）を変更し、システムを動作不能にする^[8]。

攻撃者はスケアウェアの性質を利用し、警察や企業を騙って「ポルノや海賊版などの違法コンテンツが見つかった」と主張したり、Windowsのマイクロソフトライセンス認証の偽装通知で利用者を脅迫する^[9][10]。

最終的に、ファイルの復号やシステム変更の解除コードと引き換えに、身代金を要求する。支払い方法には、銀行振込、ビットコイン、有料テキストメッセージ^[11]、またはUkash（英語版）やPaysafecard（英語版）のようなオンライン決済金券サービスが用いられる^[1][12][13]。

分類

ランサムウェアは、その攻撃手法やビジネスモデルによって複数の種類に分類される。

暗号化ランサムウェア

最も一般的な種類である。攻撃者は感染させたコンピュータ内のファイル（文書、写真、動画など）を暗号化し、使用不可能な状態にする。ファイルの復号に必要な鍵と引き換えに金銭を要求する^[14]。

非暗号化ランサムウェア（画面ロック型）

ファイルを暗号化する代わりに、コンピュータの画面をロックして操作不能にする種類である。「あなたのPCは違法な活動に使用されました」といった偽の警告画面などを表示し、ロックの解除と引き換えに支払いを要求する。ファイル自体は暗号化されていないことが多いが、コンピュータが使用不能となる^[14]。ロッカーランサムウェアともいわれる^[14]。

ノーウェアランサム

身代金を要求するものの、データを暗号化せず窃取のみを行い、データを公表しない代わりに金銭などの対価を要求する手口^[15]。「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」において警視庁が定義した^[16]。実体としてはリークウェアと同様の動きをするものであり、海外ではリークウェアとして分類されるか、「Encryption-less Ransomware」などと称される^[17]。

MBR（マスターブートレコード）破壊型ランサムウェア

コンピュータの起動プロセスを標的とする種類である。個別のファイルを暗号化するのではなく、OSの起動に不可欠な「MBR（マスターブートレコード）」領域を暗号化または破壊する。これに感染するとOS自体が起動しなくなり、コンピュータが完全に使用不能となる。脅迫メッセージはコンピュータの起動時に表示される。代表的なものとして「Petya」が知られる^[18]。

リークウェア / ドクスウェア

「暴露型」とも呼ばれ、データの暗号化よりも情報の暴露を主な脅迫手段とする種類である。データを暗号化せずに窃取するだけのケースもある。「身代金を支払わなければ、窃取した個人情報や企業の機密情報をインターネット上に公開する」と脅迫する。被害組織にとっては、事業継続性の問題だけでなく、社会的信用の失墜にも繋がる深刻な脅威となる^[19]。

RaaS (Ransomware as a Service)

特定のランサムウェアの名称ではなく、攻撃のビジネスモデルを指す用語である。ランサムウェアを開発するグループが、SaaS（Software as a Service）のように、攻撃を実行したい技術力のない依頼主や攻撃したい人間へランサムウェアのプログラムや攻撃インフラをサービスとして提供するモデルを指す。専門知識を持たない攻撃者でも容易にランサムウェア攻撃を実行できるため、被害が世界的に拡大する一因となっている。開発者は、サービスの利用料や、アフィリエイトが得た身代金の一部を収益として受け取る^[20]。

→詳細は「Ransomware as a Service」を参照

脅迫手口

ランサムウェアによる攻撃は脅迫とセットで行われる。近年、単一の脅迫だけでなく、複数の脅迫を組み合わせることで被害者への圧力を強める手口が主流となっている。

単一脅迫

最も基本的な手口であり、暗号化したファイルの復号のみを条件に身代金を要求する^[21]。

二重脅迫 (Double Extortion)

ファイルを暗号化するだけでなく、事前に窃取した機密情報や個人情報を、ダークウェブ上のリークサイトに「公開する」と脅迫する。被害者がバックアップからデータを復元できたとしても、情報漏洩を防ぐために支払いを迫られることになるため二重脅迫という。2019年後半からこの方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。EU一般データ保護規則 (GDPR) の制裁金よりは安いとして、個人情報流出に対する企業へのペナルティを利用している様子も見られる^[22]。

三重脅迫 (Triple Extortion)

二重脅迫の手口に加え、窃取した情報を利用して被害組織の顧客や取引先へ直接連絡したり、ウェブサイトへDDoS攻撃を仕掛けたりして、さらなる圧力を加える^[23][24]。

四重脅迫 (Quadruple Extortion)

三重脅迫に加えて、被害組織の関係者（従業員やその家族など）に直接連絡を取り、嫌がらせや脅迫を行う。これにより、金銭的・社会的な圧力だけでなく、精神的にも被害者を追い詰める^[24]。

対策

他の形態のマルウェアと同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい^[25]。また、ネットワーク越しのストレージ（ネットワークドライブ）中のデータも暗号化されてしまう懸念がある。

バックアップ

→詳細は「イミュータブルバックアップ」を参照

例えランサムウェアに乗っ取られても、物理的・論理的に遮断されたストレージデバイス（例：取り外し可能な補助記憶装置）に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる^[26]。

バックアップの設計は「3-2-1ルール」に則るのが有効である。具体的には、「3つ」のデータコピーを保持し、「2つ」の異なる媒体に保存し、「1つ」を物理的に離れた場所（オフライン）に保管するというルールである。このルールは、ランサムウェア攻撃だけでなく、災害などのさまざまな障害からデータを守るのに役立つ。

さらに、ランサムウェア対策としては3-2-1ルールを拡張した「3-2-1-1-0ルール」の採用が推奨されている。追加された1つルールでは、イミュータブルバックアップやオフラインコピーが推奨されている。

ただし、侵入の為に把握した通信経路や通信機器の改変を受けている可能性があるため、被害の度合いによってはシステム構築から一新する必要もあり、被害を受けた際の迅速な手配や運用策をあらかじめ講じることが求められる。

身代金の支払いへの抵抗

身代金を支払わない選択を徹底することで、ターゲットから外されるという見解がある^[27]。

復号の試み

身代金を支払うこと無く暗号化されたファイルを復号するツールの開発が行われている^[28]。警視庁ではランサムウェアグループの「8Base」が利用する「Phobos」の復号ツールを公開している^[29]。

歴史

暗号化ランサムウェア

初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「AIDS Trojan（英語版）」というトロイの木馬（「PC Cyborg」という名称でも知られている）である。

そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189米ドルを支払う必要があると利用者に主張する。ポップは自身の行為を裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した^[30]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとモチ・ユング（英語版）によって紹介された。

AIDS Trojanは共通鍵暗号だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、RSA暗号とTiny Encryption Algorithm(TEA暗号)（英語版）を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「暗号ウイルス学（英語版）」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した^[31]。

猛威を振るったランサムウェアの例は、2005年5月に顕著になった^[32]。 2006年中頃には、Gpcode（英語版）、TROJ.RANSOM.A、Archiveus（英語版）、Krotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った^[33]。

2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている^{[34][35][36][37]}。

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している^[38]。

また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種KRSWLocker（通称カランサムウェア）が発見され「新経済サミット2015」において紹介された^[39][40]。

非暗号化ランサムウェア

2010年8月に、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。前述したGpcodeとは異なり、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、利用者に有料SMS（およそ10米ドル）を送るかどうか尋ねる。この詐欺は、ロシアと周辺諸国に多数発生した。犯行グループは、1600万米ドルを稼いだと報じられている^[10][41]。

2011年には、利用者に「詐欺の被害者」となったので、Windowsを再活性化する必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでの活性化を提示するがそれは不可能であり、利用者に数字6桁のコードを知るため、6種類提示される国際電話番号のうち、1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、巨額の長距離電話料金を発生させる^[42]。

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeとGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する^[43]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、利用者がポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体は阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する^[44]。

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された^[45]。

身代金支払いの合法性

日本ハッカー協会の杉浦隆幸は、「ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない」としており、世界的にも支払う例が多い。日本のテロ資金提供処罰法はハッカー集団を対象としていないため国内では違法とされないが、アメリカではハッカー集団を対象に含む処罰法があり、日本の企業も制裁対象となる^[46]。

ウィザード・スパイダーなど各国の警察当局から犯罪グループとして認識されている集団もあり、このような相手に支払った事実が公表されると社会的な信用を失うというリスクもある^[46]。

被害の増加とターゲットの選別

2021年、独立行政法人情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった^[47]。サイバーセキュリティ会社CrowdStrikeが行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上（52%）がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている^[48]。

ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延したWannaCryは、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった^[49]。

2023年の調査では、主要15カ国の中で日本だけ被害が減少していることが確認された^[27]。これは日本企業の多くが災害を警戒してデータのバックアップを徹底している、反社会勢力への利益供与を行わない方針の浸透、身代金がサイバー犯罪保険では保証されないなどの理由で身代金を支払わない選択を続けていることから、犯行側が割に合わないと判断しターゲットとして選ばれなくなったという見方がある^[27]。一方でセキュリティに欠陥があり、支払い余力がある大企業を狙った攻撃は行われている。

支払いを拒否して復旧を行った対象に対し、再攻撃により支払いを強要するか諦めて別な攻撃対象を探すという選択は対費用効果を勘案して決定される^[5]。

顕著な例

Reveton

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし（それ自身はZeus（英語版）を基にしている）、そのペイロードは警察を自称した警告を表示し（このことから「警察トロイ」のニックネームが付いた）、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する^[50]。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示し、利用者に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する^[1][51]。

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した^[1]。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種はロンドン警視庁、著作権管理団体のPRS for Music（英語版）（特に違法な音楽をダウンロードしたと利用者を告発した）、Police Central e-Crime Unit（英語版）のような組織の標記を用いた^[52]。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした^[1][9]。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。

2012年5月には、トレンドマイクロの研究者がアメリカとカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた^[53]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporation（英語版）カードを使って200米ドルの罰金を払う必要があると主張するものである^[2][3][51]。

CryptoLocker

→詳細は「CryptoLocker」を参照

2013年に、暗号化ランサムウェアは「CryptoLocker」として知られるワームと共に再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。

最初はC&Cサーバに接続を試み、その後2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時、このマルウェアは、利用者が2,048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。

CryptoLockerは、利用者が鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている^{[54][55][56][57]}。

2014年6月2日にアメリカ合衆国司法省によって正式に公表されたように、CryptoLockerは、Gameover ZeuSボットネットの差し押さえによって隔離された。

CryptoLocker.FとTorrentLocker

2014年9月、新種のランサムウェアがオーストラリアを襲った。 （「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。） 「CryptoLocker.F」の命名は、シマンテックによるものである。 オーストラリア郵便公社からの宅配便の不在票を偽った電子メールによって広がった。 利用者に、あるWebサイトを閲覧させて、CAPTCHAコードを入力させる。 被害者には著名なところではオーストラリア放送協会が含まれていた^[58]。

この時期、別のトロイの木馬「TorrentLocker（英語版）」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった^[59]。

Cryptowall

2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。 2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。 信頼できるソフトウェアを装うためにデジタル署名が付されている^[60]。 Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする（ドライブバイダウンロード）。 検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。 ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。

2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった^{[61] [62]}。

KRSWLocker

→詳細は「KRSWLocker」を参照

2014年に発見された、初めて日本のユーザーを標的としたランサムウェア^[63][64]。

Petya

→詳細は「Petya」を参照

2016年3月に初確認されたランサムウェア。

KeRanger

2016年3月に出現したKeRangerは、macOS オペレーティングシステム上の最初のマルウェアかつランサムウェアである^[65]。

これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル（.rtf）に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。

このマルウェアは、暗号化するために2048 bitのRSA公開鍵を使う。実際には、Linuxの「Linux.Encoder.1」のコピーである。

RSA4096

この節の加筆が望まれています。 （2016年4月）

WannaCry

→詳細は「WannaCry」を参照

2017年5月13日に出現した WannaCry/Wcry（泣きたくなる）という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータ（Microsoft Windows）や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる^[66]。

また、このランサムウェアは日本のマスメディアでも報道され、知名度の高いランサムウェアでもある。

GoldenEye

2017年6月、ウクライナを中心に世界各地に拡大した^[67]。ウクライナの国営電力会社やウクライナの首都キーウの国際空港に感染。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。

REvil

→詳細は「REvil」を参照

2019年4月に初確認されたランサムウェアを配布するサービスを行っているRaaS（サービスとしてのランサムウェア）のグループ。 JBSやKaseyaを攻撃した。

Conti

→詳細は「Conti」を参照

2020年5月に初確認された医療機関なども標的にするランサムウェア。

DarkSide

→詳細は「ダークサイド (ハッカー集団)」を参照

2020年8月に初確認された東欧を拠点とするサイバー犯罪を行う個人ないしはグループ。被害者の使用しているプログラムをランサムウェアを使用して暗号化して身代金を要求する恐喝を行う。アメリカ南東部にガソリンやジェット燃料を輸送し、東海岸が使用する燃料の45％を支えるパイプライン輸送を管理する会社コロニアル・パイプライン（英語版）のシステムがハッキングされた事件（コロニアル・パイプラインへのサイバー攻撃（英語版））に関与している。即座に身代金が支払われ復号プログラムが渡された。しかし、そのプログラムでは正常に機能せず、政府やセキュリティー会社などの協力で回復するまで業務に支障をきたす状態が続いた。結果として、6日間におよぶ業務停止となり、アメリカ東海岸では燃料不足問題が発生し、燃料価格が高騰した。各州が緊急事態宣言を発令、アメリカ大統領による非常事態宣言が出された^[68][69]。

脚注

1. ^ ^{a b c d e} Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 2012年3月10日閲覧。
2. ^ ^{a b} “New Internet scam: Ransomware...”. FBI (2012年8月9日). 2014年4月5日閲覧。
3. ^ ^{a b} “Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (2012年11月30日). 2014年4月5日閲覧。
4. ^ “Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 2013年9月16日閲覧。
5. ^ ^{a b} 杉浦隆幸／一般社団法人日本ハッカー協会代表理事. “カドカワへ再びサイバー攻撃の予告か…身代金11億円の支払いを拒否していた”. ビジネスジャーナル/Business Journal | ビジネスの本音に迫る. 2024年8月30日閲覧。
6. ^ Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 2014年3月28日閲覧。
7. ^ “Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
8. ^ “And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
9. ^ ^{a b} “Police warn of extortion messages sent in their name”. Helsingin Sanomat. 2012年3月9日閲覧。
10. ^ ^{a b} McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 2012年3月10日閲覧。
11. ^ Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。
12. ^ “Ransomware plays pirated Windows card, demands $143”. Computerworld. 2012年3月9日閲覧。
13. ^ Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。
14. ^ ^{a b c} “ランサムウェアとは?| Microsoft Security”. www.microsoft.com. 2025年9月25日閲覧。
15. ^ yoshinobu.tada (2023年10月26日). “ノーウェアランサムとは？ランサムウェアとの違いや対策を解説 - wiz LANSCOPE ブログ”. wiz LANSCOPE ブログ - サイバーセキュリティに関する情報サイト. 2025年9月25日閲覧。
16. ^ “サイバー空間をめぐる脅威の情勢等｜警察庁Webサイト”. 警察庁. 2025年11月8日閲覧。
17. ^ “The Rising Threat of Encryption-less Ransomware Attacks” (英語). F5, Inc.. 2025年11月8日閲覧。
18. ^ “話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | 技術者ブログ”. 三井物産セキュアディレクション株式会社. 2025年9月25日閲覧。
19. ^ “5種類のランサムウェア | CrowdStrike”. CrowdStrike.com. 2025年9月25日閲覧。
20. ^ “RaaSとは？”. www.cloudflare.com. 2025年9月25日閲覧。
21. ^ “【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について | アーカイブ”. IPA 独立行政法人 情報処理推進機構. 2025年9月25日閲覧。
22. ^ Deloitte Cyber Trend & Intelligence Report 2020　出版者：デロイト トウシュ トーマツ
23. ^ “三重脅迫型ランサムウェア攻撃”. ジュピターテクノロジー株式会社 (2025年4月9日). 2025年9月25日閲覧。
24. ^ ^{a b} “ランサムウェアとは？攻撃の被害や感染経路、効果的な対策をまとめて解説 | お役立ち情報”. SIDfm 脆弱性情報収集・管理ツール. 2025年9月25日閲覧。
25. ^ “Yuma Sun weathers malware attack”. Yuma Sun. (2013年11月16日). http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html 2016年1月5日閲覧。 
26. ^ “｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓”. 東洋経済オンライン (2024年7月31日). 2024年8月1日閲覧。
27. ^ ^{a b c} 涼太郎, 福田 (2024年6月19日). “ＫＡＤＯＫＡＷＡ襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く”. 産経新聞：産経ニュース. 2024年6月19日閲覧。
28. ^ “ランサムウエア、警察庁が2例目の解読成功 身代金払わずデータ回復”. 日本経済新聞 (2025年7月17日). 2025年7月18日閲覧。
29. ^ “ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの開発について｜警察庁Webサイト”. 警察庁. 2025年7月18日閲覧。
30. ^ Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 2012年3月10日閲覧。
31. ^ Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129–140. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
32. ^ Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。
33. ^ Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。
34. ^ Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。
35. ^ Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。
36. ^ Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。
37. ^ “Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。
38. ^ NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年8月13日17時33分（株式会社インプレス「INTERNET Watch」）
39. ^ プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan
40. ^ 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞（YOMIURI ONLINE）
41. ^ Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 2012年3月10日閲覧。
42. ^ “Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 2012年3月9日閲覧。
43. ^ “Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 2013年7月17日閲覧。
44. ^ “New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 2013年7月17日閲覧。
45. ^ “Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 2013年7月31日閲覧。
46. ^ ^{a b} “「炎上する」「顧客や株主守れ」 KADOKAWA被害の身代金要求ウイルス、支払い是非は”. ITmedia NEWS. 2024年8月1日閲覧。
47. ^ 情報セキュリティ10大脅威 2021 出版者：独立行政法人情報処理推進機構（IPA）
48. ^ CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 CrowdStrike
49. ^ Ranger, Steve; 石橋啓一郎 (2017年5月19日). “ランサムウェアはいかに世界的な脅威へと深刻化したか”. ZDNet. 2017年10月14日閲覧。
50. ^ “Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 2012年8月15日閲覧。
51. ^ ^{a b} “Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 2012年8月16日閲覧。
52. ^ Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 2012年8月16日閲覧。
53. ^ Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 2012年5月11日閲覧。
54. ^ “Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 2013年9月12日閲覧。
55. ^ “CryptoLocker attacks that hold your computer to ransom”. The Guardian. 2013年10月23日閲覧。
56. ^ “You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 2013年10月23日閲覧。
57. ^ “Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 2013年10月23日閲覧。
58. ^ “Australia specifically targeted by Cryptolocker: Symantec”. ARNnet. (2014年10月3日). http://www.arnnet.com.au/article/556598/australia-specifically-targeted-by-cryptolocker-symantec/ 2016年1月4日閲覧。 
59. ^ “Encryption goof fixed in TorrentLocker file-locking malware”. PC World. 2016年1月4日閲覧。
60. ^ “Malvertising campaign delivers digitally signed CryptoWall ransomware”. PC World. 2016年1月3日閲覧。
61. ^ Andra Zaharia (2015年11月5日). “Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect”. HEIMDAL. 2016年1月5日閲覧。
62. ^ 鈴木 聖子 (2015年12月5日). “ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散”. https://www.itmedia.co.jp/enterprise/articles/1512/04/news057.html 2016年1月5日閲覧。 
63. ^ “日本を狙ったランサムウェアを確認 TorLockerをカスタマイズ：シマンテック”. ZDNet Japan (2014年12月17日). 2015年5月20日閲覧。
64. ^ “日本語ランサムウェア「犯人」インタビュー”. 読売ONLINE IT&MEDIA (2014年12月19日). 2015年5月20日閲覧。
65. ^ Claud Xiao and Jin Chen (2016年3月7日). “新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害”. paloalto. 2016年3月14日閲覧。
66. ^ “ランサムウエア「WannaCry」関連記事”. ITpro (日経BP). (2017年5月17日). https://xtech.nikkei.com/it/atcl/column/17/040700124/051500002/ 2017年5月17日閲覧。 
67. ^ 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress
68. ^ Suderman, Alan (2021年5月8日). “Major US pipeline halts operations after ransomware attack”. AP News. 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。
69. ^ “Top US pipeline operator shuts major fuel line after cyber attack”. The Jerusalem Post (2021年5月8日). 2021年5月8日時点のオリジナルよりアーカイブ。2021年5月8日閲覧。

発展資料

• Russinovich, Mark (2013年1月7日). “Hunting Down and Killing Ransomware (Scareware)”. Microsoft TechNet blog. 2014年4月5日閲覧。
• Simonite, Tom (2015年2月4日). “Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)”. MIT Technology Review. 2016年1月4日閲覧。
• Brad, Duncan (2015年3月2日). “Exploit Kits and CryptoWall 3.0”. The Rackspace Blog! & NewsRoom. 2016年1月4日閲覧。

関連項目

• フィッシング
• 身代金
• 犯罪機会論
• 2014年トーヴァー作戦
• アダルトサイト
• ワイパー (マルウェア)

外部リンク

• “Ransomware on the rise”. FBI (2015年1月20日). 2016年1月4日閲覧。
• ランサムウェア被害防止対策 - 警察庁
• ランサムウェア対策特設ページ - 情報処理推進機構
• ランサムウェア対策について - 日本サイバー犯罪対策センター
• ランサムウエア対策特設サイト - JPCERTコーディネーションセンター