ロッキーランサムウェア:メール脅威から身を守る
読書時間 8 分
主なポイント
- ロッキーランサムウェアは有害な電子メールを通じて拡散し、被害者のファイルを暗号化し、復旧のためにビットコインを要求する。新たな亜種は今日でも組織にとって脅威であり続けている。
- DMARC、SPF、DKIMなどのメール認証プロトコルは、偽装されたマルスパムが受信トレイに到達する前にブロックできます。
- 強力なメールセキュリティとユーザートレーニングによる予防こそが、Lockyに対する唯一の確実な防御策である。ほとんどの亜種には公開復号ツールが存在しないためだ。
ロッキーランサムウェアは2016年に登場し、瞬く間に重大な脅威となった。被害者のコンピューター上のファイルを暗号化し、復号化のためにビットコインでの支払いを要求した。ロッキーは登場からほぼ10年が経過しているが、その動作原理を理解することは依然として重要である。亜種は現在も存在し、過去の感染がシステムに残存している可能性があり、またロッキーが導入したフィッシングの手口は、今日のランサムウェアグループによって今もなお利用されている。
ロッキーランサムウェアが特に危険な理由は、銀行トロイの木馬「Dridex」(別名Evil CorpまたはTA505)を開発したサイバー犯罪グループとの関連性と、Necursボットネットを介した大規模な拡散にある。ピーク時には、ロッキーランサムウェアは世界中の数千の組織に感染し、病院、銀行、中小企業に重大なデータ損失と業務中断をもたらした。
メールセキュリティの状況は現在進化しているものの、偽装送信者アドレス、悪意のある添付ファイル、ソーシャルエンジニアリングといったLockyが用いた戦術は、ランサムウェア攻撃の基盤として依然として存在している。強固な メールセキュリティ 対策と認証プロトコルは、これらの脅威に対する必須の第一防衛線です。
ロッキーランサムウェアとは何か?
ロッキーランサムウェアは、感染したシステム上のファイルを暗号化し、身代金が支払われるまでアクセス不能にする暗号化型ランサムウェアの一種です。データ窃取型マルウェアとは異なり、ロッキーは強力な暗号化アルゴリズムを用いて文書、画像、データベース、バックアップをロックし、ファイルの暗号化のみに焦点を当てています。
暗号化が完了すると、ロッキーはビットコインでの支払いを要求します。通常0.5~1BTCの範囲で、被害者が復号鍵を購入できるとされるTorベースの支払いポータルを提供します。しかし身代金を支払ってもファイル復元の保証はなく、セキュリティ専門家は一様に支払いを推奨していません。
医療機関はロッキーの主な標的の一つであり、病院、診療所、医療システムは深刻な混乱に見舞われた。顕著な事例として、ハリウッド・プレスビテリアン医療センターが挙げられ、同センターは 2016年2月のロッキー感染後、17,000ドル相当のビットコインを支払った 。このランサムウェアは組織の規模を問わないため、サイバーセキュリティリソースが限られた中小企業も大企業と同様に脆弱であることが証明された。
ロッキーは、難読化されたJavaScriptペイロード、動的なコマンドアンドコントロールサーバーアドレス、シグネチャベースの検知を回避するための迅速な亜種リリースなど、複数の高度な回避技術を採用している。これらの手法により、セキュリティベンダーが防御を更新しても効果を維持できた。
重要な変異体
ロッキーは急速に多くの亜種へと発展し、それぞれが検知を回避しより多くの被害者に到達するよう設計された。これらの亜種は主に、残されるファイル拡張子によって識別される:
- .locky – 2016年2月に登場したオリジナル亜種
- .zepto – 2016年6月リリース、分析対策機能が強化された
- .odin – 2016年10月版(RSAおよびAES暗号化を採用)
- .thor – 2016年11月、難読化強化版
- .オシリス – 2016年12月、更新されたC2インフラストラクチャを搭載
- .aesir – 2017年初頭のバージョンで、暗号化ルーチンが高速化されている
- .ロックアウト – 2017年、偽の請求書を通じて拡散した亜種
各亜種は、感染と暗号化の中核メカニズムを維持しつつ、シグネチャベースのアンチウイルス検出を回避するための微妙な変更を導入した。急速なリリースサイクル(時には週次)により、セキュリティベンダーが新たなサンプルに対応し続けることは困難であった。
ロッキーランサムウェアの仕組み
ロッキーの感染ライフサイクルを理解することは、組織が攻撃チェーンの各段階で効果的な防御策を構築するのに役立ちます。
1. 配送
ロッキーは、正当なビジネス通信のように見せかけた大規模な悪意のあるスパムキャンペーンを通じて侵入します。これらのメールは、有名ブランドからの請求書、支払い通知、配達受領書、または注文確認を装っています。
添付ファイルには通常、Word文書(.doc、.docm)、Excelスプレッドシート(.xls、.xlsm)、またはJavaScript(.js)やVisual Basic Script(.vbs)ファイルを含むZIPアーカイブが含まれます。NecursボットネットはLockyのピーク時に数百万通のこのようなメールを拡散させ、セキュリティ研究者は数億通に及ぶキャンペーンを確認し、スパムフィルターを圧倒しました。 スパムフィルター システムを圧倒しました。
攻撃者はメールのなりすましを利用して送信者アドレスを偽装し、メッセージが信頼できる連絡先から送信されたように見せかけました。 SPF、DKIM、DMARCといった適切なメール認証プロトコルがなければ、受信者はメッセージの真正性を確認する信頼できる手段を持たなかった。
2. マクロの有効化
被害者が悪意のあるファイルを開くと、判読不能なテキストと、次のようなメッセージが表示されます。 「内容を表示するにはマクロを有効にしてください」 または 「編集を有効にして文書を表示してください」
このソーシャルエンジニアリングの手口は、ユーザーが重要な業務情報と思われるものを閲覧したいという信頼と欲求を悪用する。Microsoft Officeはセキュリティ上の理由からマクロをデフォルトで無効化しているが、Lockyの運営者はユーザーを手動で有効化させるよう仕向ける説得力のある餌を巧妙に作成した。
マクロが有効化された瞬間、埋め込まれたスクリプトはユーザーが異常を認識する前に(多くの場合ミリ秒単位で)バックグラウンドで静かに実行される。
3. マルウェアのダウンロード
マクロが有効化されている場合、スクリプトはコマンドアンドコントロール(C2)サーバーに接続し、本体のLockyランサムウェアをダウンロードします。この2段階の手法により、攻撃者は検知を回避できます。なぜならメール添付ファイルには完全なランサムウェアではなく、小さなダウンローダーのみが含まれているためです。
C2サーバーのアドレスは頻繁に変更され、時には1時間ごとに変わるため、セキュリティツールによるブロックが困難である。Lockyの開発者はドメイン生成アルゴリズム(DGA)を用いて数百もの潜在的なC2ドメインを生成し、一部がブロックされても他のドメインがアクセス可能となるよう確保した。
4. 暗号化
ダウンロード後、Lockyは直ちにRSA-2048(鍵暗号化用)とAES-128(ファイル暗号化用)を組み合わせた方式でファイルの暗号化を開始する。このハイブリッド方式により、攻撃者の秘密鍵なしではファイルを復号化できないことが保証される。
ロッキーは様々なファイル形式を標的とします。これには文書(.doc、.pdf、.txt)、画像(.jpg、.png)、データベース(.sql、.mdb)、ソースコード(.php、.java)、バックアップ(.bak)が含まれます。ローカルドライブだけでなく、マッピングされたネットワーク共有や接続された外部ストレージデバイスも暗号化します。
暗号化後、ファイルは一意の識別子とバリアント固有の拡張子で名前が変更されます。例えば、 document.docx は A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.lockyとなり、復号化キーなしでは元のファイル名を特定できなくなります。
5. 身代金要求書
暗号化が完了すると、Lockyは複数の場所に身代金要求メッセージを配信します: _Locky_recover_instructions.txt として、またデスクトップの壁紙として表示されます。このノートには、被害者が復号化キーを購入できるとされるTorベースの支払いポータルにアクセスするための手順が記載されています。
支払いページには通常、カウントダウン(多くの場合72時間)が表示され、被害者が長く待つと価格が上昇したりファイルが失われる可能性があるとの警告が表示されます。これにより偽の緊急性が創出され、セキュリティ専門家の支援を受ける前に支払いを促す仕組みとなっています。
ロッキーランサムウェアの防止方法
予防こそがロッキーに対する唯一の確実な防御策です。ほとんどの亜種には公開復号ツールが存在せず、バックアップがない場合や身代金を支払わない限り、暗号化されたファイルは永久に失われます。
ロッキーを早期に発見するのは困難です。なぜなら、新しいバージョンは高速で動作し、従来の検出ツールを回避するためにコードを隠蔽するからです。このため、実行後に捕捉しようとするよりも、予防策を講じることがはるかに重要となります。
以下に必須の予防策を示します:
- メール認証プロトコルを導入する: SPF、DKIM、DMARCを導入し、偽装されたマルスパムが受信箱に到達する前にブロックします。PowerDMARCは自動設定、人間が読めるレポート、リアルタイム脅威アラートを提供し、あらゆる規模の組織が認証を利用できるようにします。
- 高度なスパムフィルタリングを有効にする: 添付ファイルのサンドボックス化、リンク書き換え、行動分析を備えたセキュアなメールゲートウェイを使用し、認証チェックを回避する悪意のあるメールを捕捉します。
- デフォルトでマクロを無効にする: インターネット経由のファイルにおけるマクロを無効化し、信頼できるマクロにはデジタル署名を要求するようMicrosoft Officeを設定します。
- 定期的なパッチ適用を維持する: オペレーティングシステム、アプリケーション、セキュリティソフトウェアを最新の更新プログラムで常に最新の状態に保ち、既知の脆弱性を修正してください。
- フィッシング対策に関する従業員研修の実施: 定期的なセキュリティ研修を実施し、従業員が不審なメールを見分け、予期せぬ添付ファイルを避け、予期しない文書でマクロを絶対に有効化しないよう指導する。
- オフラインバックアップを維持する: 重要なデータについては、3-2-1ルール(3つのコピー、2種類のメディア、1つのオフサイト)に従い、定期的なオフラインバックアップを保持してください。
- エンドポイント保護を導入する: 信頼性の高いマルウェア対策ソリューションを使用し、行動分析、ランサムウェア特化型検知、自動修復機能を備えること。
ロッキーは基本的にメールを介した攻撃ベクトルです。PowerDMARCのDMARCチェッカーなどのツールで強力なメール認証を実施している組織は DMARC Checker、 SPFレコードチェッカー、および DKIMチェッカー は、認証設定を検証し、なりすましマルウェアスパムキャンペーンへの曝露を大幅に低減できます。
ロックイに感染した場合の削除方法
ロックイ感染が疑われる場合、直ちに対処することでさらなる被害を防ぎ、他のデバイスへの拡散を阻止できます。以下の手順を慎重に実行してください:
- 感染したシステムを直ちに隔離してください:ネットワークから切断し(イーサネットケーブルを抜く、Wi-Fiを無効化する)、Lockyが共有ドライブに到達したり他のデバイスに拡散したりするのを阻止してください。
- 外部ストレージの切断: バックアップデータを暗号化から保護するため、すべてのUSBドライブ、外付けハードドライブ、およびマッピングされたネットワーク共有を削除してください。
- 回復ツールにはクリーンなデバイスを使用してください:信頼できるマルウェア対策ソフトウェア(Malwarebytes、Kaspersky Rescue Diskなど)を感染していないコンピューターからダウンロードし、クリーンなUSBドライブ経由で転送してください。
- セーフモードで起動する:感染したシステムをネットワーク機能付きセーフモードで再起動し、起動時にLockyが読み込まれるのを防ぎます。
- システム全体のスキャンを実行する:包括的なマルウェア対策スキャンを実行し、Lockyの実行ファイル、プロセス、およびレジストリエントリを検出して削除します。
- 身代金を支払わないでください:身代金の支払いは犯罪組織の資金源となり、ファイル復元の保証にはなりません。支払った多くの被害者は、機能する復号キーを受け取ることができませんでした。
重要な補足説明: Lockyの除去はさらなる暗号化を停止し、他のシステムへの拡散を防ぎますが、 既に暗号化されたファイルを復号化することは 既に暗号化されたファイルを復号化することはできません。 ファイルの復元には、安全なバックアップか、攻撃者の秘密復号鍵(支払い後も提供されることは稀)のいずれかが必要です。
ロッキー攻撃後のシステム復旧方法
ロッキー攻撃後のシステム復旧は、安全で検証済みのバックアップの有無に完全に依存します。ほとんどのロッキー亜種は破れない暗号化を使用しており、バックアップがない場合、暗号化されたファイルは永久に失われます。
組織は、ランサムウェア攻撃からの復旧のために構造化された復旧プロセスに従うべきである。 ランサムウェア攻撃からの復旧を図る:
- バックアップの完全性を確認する: 復元前に、バックアップが完全で破損しておらず、ランサムウェアに感染していないことを確認してください(まず隔離されたシステムでテスト復元を実施してください)。
- オフラインバックアップからの復元: 感染発生前に作成された最新のクリーンなバックアップを使用してください。業務上重要なデータとシステムを最優先に復元してください。
- 侵害されたマシンの再構築: 深刻な感染状態にあるシステムでは、既存のインストール環境をクリーンアップしようとするよりも、OSの完全な再インストールの方が安全な場合があります。
- すべての認証情報をリセット: すべてのユーザーアカウント、サービスアカウント、および管理者認証情報のパスワードを変更します。不正アクセス試行や横方向移動の兆候がないか確認します。
- 強化されたセキュリティポリシーを実施する: システムを再稼働させる前に、再感染を防ぐため防御体制を強化する。これにはメール認証、エンドポイント保護、ネットワークセグメンテーションが含まれる。
- メールセキュリティ態勢の監査: メール認証制御の見直しと改善。SPF、DKIM、DMARCが適切に設定されていることを確認し、偽装されたマルウェアスパムがユーザーに到達するのを再び防止する。
ロックイの亜種の大半には、公開されている復号ツールが存在しません。セキュリティ研究者が古いランサムウェア株向けに無料の復号ツールを時折公開することもありますが、ロックイの暗号化はほとんどの亜種において未だ解読されていません。予防策とバックアップ戦略が唯一の確実な防御手段です。
ロッキーのセキュリティ強化ロードマップ
ロッキーランサムウェアは、ランサムウェアの進化過程と多層防御の重要性を理解する上で、今なお重要な事例である。大規模なロッキー感染は2017年以降減少したが、大量のマルウェアスパム配布、マクロ有効化文書を用いたソーシャルエンジニアリング、積極的なファイル暗号化といった同マルウェアが導入した戦術は、現代のランサムウェアファミリーに今なお影響を与え続けている。
ロッキーから得られる核心的な教訓は明らかだ: 堅牢なメールセキュリティとユーザーの警戒心を組み合わせた予防策こそが、最も強力な防御策である。 組織は感染後のランサムウェア検出に依存すべきではありません。その時点では既に重要なファイルが暗号化されている可能性があるためです。
今日のセキュリティツールは、メールベースの攻撃を阻止する能力が大幅に向上しています。適切に設定されたDMARC、SPF、DKIMは、Lockyのようなランサムウェアを拡散させるために使用されるなりすましメールをブロックできます。AIを活用した脅威インテリジェンス、行動ベースの検知、強力なエンドポイント保護により、さらに多くの防御層が追加されます。
PowerDMARCは、自動化されたDMARC実装、リアルタイム脅威アラート、専門家のサポートを通じて、組織がこの重要な第一防衛ラインを構築するのを支援します。当社のプラットフォームは、あらゆる規模の企業にメール認証を容易に利用可能にし、なりすましやフィッシングメールから保護します。 フィッシングメール、ランサムウェア配信からユーザー受信箱に脅威が届く前に防御します。
DMARCデモを予約する PowerDMARCが、ランサムウェアやその他のメールベースの脅威からドメインを保護する仕組みをぜひご覧ください。
よくある質問 (FAQ)
Lockyランサムウェアの復号方法
ほとんどのLocky亜種は、公開復号ツールが存在しない破れないRSA-2048暗号化を使用しています。唯一の確実な復旧方法は、クリーンなオフラインバックアップからの復元です。
ロッキーランサムウェアはどのようにデバイスに拡散するのですか?
ロッキーは、ユーザーが悪意のあるメール添付ファイルを開きマクロを有効にすると拡散します。これによりランサムウェアの実行ファイルがダウンロードされ、ローカルドライブおよびアクセス可能なネットワーク共有上のファイルを暗号化します。
ランサムウェア攻撃をどのように見分け、回避すればよいですか?
予期しない添付ファイル(突然の請求書や支払い依頼など)が添付されたメールには注意し、予期しない文書でマクロを有効化しないでください。送信者が本物であることを必ず確認し、 暗号化されたメール を可能な限りご利用ください。
インフラストラクチャ&メールセキュリティエキスパート シフトリーダーPowerDMARC
サイバーセキュリティの分野で13年以上の経験を持ち、インフラ、事業継続、リスク管理、Eメールセキュリティを専門とする。現在はPowerDMARCのシフトリーダーを務める。ネットワークとセキュリティの大学院ディプロマを取得し、脅威を軽減し、ビジネスの回復力を確保するための戦略的なセキュリティイニシアチブを主導してきた実績がある。
最新記事 by Ayan Bhuiya(全て見る)
- 従業員向けフィッシング詐欺:リスク、事例、および予防策 - 2025年12月15日
- ロッキーランサムウェア:メール脅威から身を守る - 2025年12月11日
- 市場トップ9のDMARCプロバイダー - 2025年11月30日
