「どのような経緯でランサムウェアに感染するの?」
「ランサムウェア攻撃を防ぐための対策について知りたい」
ランサムウェアとは「ランサム(身代金)」と「ソフトウェア」を合わせた造語で、感染するとデータを暗号化されたり端末をロックされてしまうリスクがあります。復元と引き換えに身代金を要求するこの攻撃は近年増加傾向にあるため、優先度を上げて対策に取り組む必要があります。
本記事では、以下の内容を詳しく解説します。
- ランサムウェアとは
- ランサムウェアの被害事例
- ランサムウェアの感染経路
- セキュリティを強化するための対策
- 感染した場合の対応方法
本記事を読むことで、ランサムウェアに感染する原因や、感染を防ぐための対策方法が分かります。猛威を振るうランサムウェアから有効的に組織を守るためにも、ぜひ最後までお読みください。
組織を狙う情報セキュリティの脅威に課題を抱えている方、必見!
ランサムウェアの対策にはどのようなものがある?
VPN機器やOS・ソフトウェアを最新バージョンへ定期的にアップデートする体制を整え、セキュアな状態を維持することが必要不可欠です。また、脅威を総合的に捉え、必要なセキュリティ対策を検討するための資料もご用意しておりますので、ぜひこちらもご覧ください。
ランサムウェアとは
ランサムウェアとは、データを暗号化したり端末をロックしたりして業務を停止させ、復元と引き換えに身代金を要求するマルウェアを指します。なおランサムウェアという名称は「ランサム(身代金)」と「ソフトウェア」を組み合わせた造語です。
ランサムウェアに感染すると端末が使えなくなったり、データが消えてしまうなど、業務に大きな影響を及ぼすリスクがあります。さらに、攻撃者がデータを盗み、「身代金を支払わなければデータを公開する」と組織を脅す二重恐喝の手口(二重脅迫型、もしくはダブルエクストーション)も増加しており、警視庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、手口を確認できた被害の中で約8割を占めています。
ランサムウェアに感染すると業務に大きな影響を及ぼしますが、身代金を支払ってもデータを復元できるとは限りません。
被害を防ぐためには、日頃からデータをバックアップする、OSやソフトウェアを最新に保つなどのセキュリティ対策が重要です。
ランサムウェアの近年の動向
IPAが発表している「情報セキュリティ10大脅威 2024」によると、2023年に組織を狙った情報セキュリティ脅威で社会的に影響が大きかったと考えられるのがランサムウェアによる被害です。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
ランサムウェアによる被害は2020年以降、4年連続で1位になっています。対策は浸透しつつも、攻撃手法の変化などもあり、引き続き注意が必要な状況です。組織が行える適切なセキュリティ対策を知り、実行することが重要です。
なお、「情報セキュリティ10大脅威」を読み解き、組織が複数の脅威に対して行える「共通の対策」を一つの資料としてまとめています。情報セキュリティ対策の基本が分かる資料ですので、ぜひダウンロードしてください。
組織を狙ったランサムウェアの特徴
従来のランサムウェアを使用した攻撃は、不特定多数にメールを送信して、偶然感染した相手に身代金を要求する「ばらまき型」でした。しかし、近年増加しているのが、特定の組織を標的とする「標的型」の攻撃です。
標的型の特徴は、支払い能力の高い特定の組織を狙い、高額な身代金を要求するのが特徴です。標的となる組織はセキュリティ対策をしっかり行っている大手であるケースが多いため、一見、攻撃の成功率は低そうに見えます。しかし、攻撃者は標的の組織とつながりがある中小企業を経由するなどして、攻撃を仕掛けてきます。実際に、警視庁が公開している「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」の図表20によると、ランサムウェア被害の報告件数を組織の規模別にみたとき、1位は中小企業で、約6割を占めています。
事例で見るランサムウェア攻撃を受けやすい組織の特徴
ランサムウェアの被害事例を元に、攻撃を受けやすい組織の特徴を紹介します。
事例①
2023年、港運業のターミナルシステムがランサムウェア攻撃を受ける事件が発生しました。ランサムウェアはVPN機器を経由して送り込まれた可能性があり、攻撃を受けたことでデータセンター内にあるターミナルシステムの全サーバーが暗号化されました。
VPN機器やOSなどを更新せずにいると、脆弱性が残っている可能性があり、攻撃者に狙われやすくなります。また、セキュリティ対策に割ける人材やコストの不足によって充分な対策が施せていない組織も狙われやすい傾向にあります。
さらに、大企業と取引がある中小企業も注意が必要です。業務上のつながりを悪用してターゲットの組織に侵入する「サプライチェーン攻撃」により、中小企業がランサムウェアに感染する事例も数多く報告されています。
事例②
2022年、大手自動車メーカーに部品を納品していたサプライヤーがランサムウェアによる攻撃を受ける事件が発生しました。サプライヤーはサーバーに障害が起きたことに気づき、社内のすべてのサーバーを停止(ネットワーク遮断)。これをきっかけとして、大手自動車メーカーが国内全工場を一時停止する事態にまで陥りました。
上記の例のように、ターゲットとなる大企業への攻撃を目的に中小企業が踏み台として利用されるケースがあります。組織の規模が小さいという理由で攻撃対象から外れる訳ではないため、しっかりとセキュリティ対策を行うことが重要です。
ランサムウェアによる影響
ランサムウェア攻撃を受けると、以下のような影響があります。
- 金銭的な損失が発生する
身代金を支払うことで金銭的な損失が発生します。また攻撃を受けたことで情報漏えいなどが発生すると、損害賠償金の支払いを行わなければならないこともあります。 - データが参照できなくなるリスクがある
ランサムウェアによってデータが暗号化されてしまうと、顧客や取引先の情報、組織内の機密情報など、業務上必要なデータが参照できなくなり、業務を停止せざるを得ない状況が発生するリスクがあります。 - 世間からの信頼を失う
攻撃を受けるとセキュリティ対策が不十分な組織とみなされてしまい、顧客や取引先からの信頼を失うリスクががあります。 - 取引先にまで被害が及ぶ
サプライチェーン攻撃によってランサムウェアに感染する事例も珍しくありません。自組織を踏み台にされ、つながりがある組織にランサムウェアの被害が及ぶリスクがあります。
攻撃を受けると、セキュリティ対策にかける費用よりも、被害額の方が高くなることもあるでしょう。ランサムウェアの脅威が増している以上、いつ被害にあってもおかしくありません。
「関係ない」「大丈夫だろう」などと考えず、きちんと問題に向き合うことが大切です。
ランサムウェアの感染経路
ランサムウェアの主な感染経路は、次の4つです。
- VPN機器
- リモートデスクトップ
- 電子メール
- Webサイト
感染経路を知ると行うべき対策も見えてくるため、よく確認しておきましょう。
1. VPN機器
ランサムウェアの感染経路として最も多いのがVPN機器です。2023年9月に警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、VPN機器からの侵入が約7割を占めています。
VPN機器を提供するベンダーは定期的に脆弱性の修正プログラムを配布していますが、適用せずに運用し続けてしまうとランサムウェアの被害にあうリスクが高くなります。
修正プログラムを適用することでVPN機器を最新の状態に保っていれば、それだけでリスクを低減できるため、提供元が発信する情報を都度キャッチできる仕組みを整えましょう。
2. リモートデスクトップ
リモートワークの普及に伴い、リモートデスクトップ経由のランサムウェア感染も増加しています。リモート接続するための規格であるRDP(リモートデスクトッププロトコル)の脆弱性を突いた総当たり攻撃などによって、外部から不正侵入されてランサムウェアに感染してしまいます。
また、管理者アカウントが乗っ取られ、不正な遠隔操作によってマルウェアを勝手にインストールされてしまう被害も発生しています。強度の弱い認証情報にしない、脆弱性にいち早く気付けるよう脆弱性診断を実施する、などの対策が必要です。
3. 電子メール
ランサムウェアに感染させる手口として、以前から利用されているのが電子メールです。メールに記載されたURLをクリックしたり、添付ファイルを開いたりすることでランサムウェアに感染します。
メールアドレスさえ分かれば攻撃ができてしまうため、誰でもターゲットになり得ます。取引先など、日常的にメールのやり取りを行っている相手から添付ファイル付きのメールが届いた場合、マルウェアが含まれているとは思わずファイルを開いてしまう確率は高くなるでしょう。このようなリスクを回避するには、従業員教育を徹底させるといった対策が必要です。
4. Webサイト
ランサムウェアが仕込まれたWebサイトに、気付かずアクセスしてしまうことで感染することがあります。また、不正な広告だと気付かず、Webサイトのリンクをクリックしたり、ファイルをダウンロードしたりすることでランサムウェアに感染するケースも少なくありません。ランサムウェアが仕込まれていても普通のWebサイトに見えるため、見た目で判断することは難しくなっています。
Webサイト経由のランサムウェア感染を防ぐには、エンドポイントセキュリティ製品を導入するなどの対策が必要でしょう。
ランサムウェアを防ぐ5つの対策
ランサムウェアを防ぐための主な対策は、以下の5つです。
- VPN機器やOS・ソフトウェアを最新に保つ
- ファイルをバックアップする
- エンドポイントセキュリティ製品を導入する
- 脆弱性診断を実施する
- 情報セキュリティ研修を実施する
ランサムウェアにはさまざまな感染経路があるため、セキュリティを強化するには5つの対策すべてを実施するのが望ましいでしょう。
1. VPN機器やOS・ソフトウェアを最新に保つ
ランサムウェア対策でまず実施すべきことは、VPN機器やOS・ソフトウェアを更新して最新状態に保つことです。OSやVPN機器のバージョンが古いことが原因で、脆弱性を突かれてランサムウェアに感染する事例が数多く報告されています。1度更新しても新たな脆弱性が見つかる可能性があるため、定期的に新しいバージョンが配信されていないか確認し、その都度更新することが重要です。
2. ファイルをバックアップする
万が一、ランサムウェアに感染したときに備え、定期的にファイルをバックアップしておくことも大切です。バックアップがあれば、データが暗号化されてしまっても復元できます。
なおバックアップする際には、以下の点に注意する必要があります。
- バックアップに使用する装置は、端末に常時接続しない
外付けハードディスクやUSBデバイスを常に端末につないでおくと、バックアップファイルも暗号化の対象となってしまいます。 - バックアップに使用する装置は、複数台用意する
バックアップ中にランサムウェアに感染するリスクや、装置が故障した場合に備え、複数の装置でバックアップを取るのが望ましいでしょう。 - バックアップファイルの可用性・信頼性を確認する
バックアップをしても万が一の際に復元できなければ意味がないため、問題なく復元できるか定期的に確認することが重要です。
3. エンドポイントセキュリティ製品を導入する
端末に潜むマルウェアの脅威に対処できるエンドポイントセキュリティ製品の導入も、ランサムウェア対策として必要不可欠です。
エンドポイントセキュリティ製品にはさまざまな種類がありますが、代表的なものではEPPとEDRがあります。
- EPP(Endpoint Protection Platform)
端末をマルウェアに感染させないことを目的とした製品。パターンマッチング方式によって既知のマルウェアを検出・駆除する機能を主に有する。 - EDR(Endpoint Detection and Response)
端末がマルウェアに感染してしまうことを前提に、被害を最小限に抑える目的を持った製品。端末を常時監視することで不審な動きを検知・隔離するため、未知のマルウェアに対応できる。
EPPとEDRはそれぞれ目的が異なるため、どちらも導入することが必要です。EPPによって事前に対処できる多くのマルウェアを駆除し、すり抜けてきたものをEDRで迅速に対処することで、被害を最小限に抑える仕組み作りが可能になります。
4. 脆弱性診断を実施する
ネットワーク機器やOS・ソフトウェアに脆弱性が潜んでいるとランサムウェアに感染するリスクが上がるため、定期的に脆弱性診断を実施し、早期に問題に気付くことが重要です。脆弱性診断の結果を元にセキュリティ対策を進めれば、被害にあうリスクが格段に下がるでしょう。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まですべて解説
手軽に脆弱性診断を実施したい場合は、専門知識がなくても操作ができる脆弱性診断ツールがおすすめです。ツールを実行するだけで問題点をスピーディーに発見してくれるため、手間がかからず定期的かつ網羅的な診断が可能です。
▼関連記事
脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント
5. 情報セキュリティ研修を実施する
組織をあげて従業員向けに情報セキュリティ研修を実施しましょう。一人ひとりのセキュリティ意識が低いと、不用意にメールに記載されたURLをクリックしたり、ファイルを開いたりしてランサムウェアに感染してしまうリスクが高まります。
従業員のセキュリティ意識を高めるには、「どのような経緯でランサムウェアに感染するのか」「感染しないために気を付けることは何か」など、研修を通してしっかり教育することが重要です。情報セキュリティ研修は定期的に実施し、実際に発生した事例を共有するなどして、セキュリティ意識を高めましょう。
ランサムウェアに感染したときの対応手順
ランサムウェアに感染してしまったら、以下の手順で対応しましょう。
- ネットワークを遮断する
- 感染内容を確認する
- ランサムウェアを削除する
- データを復元する
素早く冷静に対処することで、被害を最小限に抑えられます。具体的な対応手順を知り、万が一に備えましょう。
1. ネットワークを遮断する
ランサムウェアに感染するとネットワークを通じて他の端末にも影響が広がるため、まずはネットワークを遮断しましょう。その際、有線LANのケーブルを抜くだけではなく、端末の無線LAN機能を無効にする必要があります。
なお、感染した端末には暗号化されたデータを元に戻すために必要な情報が残っている場合があるため、電源は落とさないようにしましょう。
大切なことは「即座にネットワークから切り離す」ことであるため、組織で自動的に遮断される仕組みを用意しておく、または端末の利用者に対処してもらうことが必要です。利用者に対処してもらう場合は、緊急時に即座に対処できるよう、事前に周知を徹底しておきましょう。
2. 感染内容を確認する
ネットワークが遮断できたら、感染内容を確認しましょう。どのようなランサムウェアに感染しているのか、どこから感染したのかを正確に把握することで、適切な対応が取れるようになります。
なお、ランサムウェアの種類は、画面に表示されたメッセージやデータの拡張子を確認することで見分けられます。種類によっては無料で復号ツールが提供されていることがあるため、確認してみましょう。
3. ランサムウェアを削除する
ランサムウェアの種類が特定できたら、ランサムウェア削除ツールや端末の初期化を行い、ランサムウェアを削除しましょう。ランサムウェアを確実に無くすには、端末の初期化が最も有効です。
しかし、初期化をすることで端末内のデータがすべて削除されるので、データのバックアップが取れていることを確認してから実施しましょう。もし、データのバックアップが取れていない場合は、ウイルス対策ソフトや駆除ツールを使い、ランサムウェアを削除しましょう。
4. データを復元する
ランサムウェアをすべて削除できたら、バックアップを元にデータを復元しましょう。もしバックアップを取得していなかった場合は、復号ツールを利用することで暗号化されたデータを元に戻せる場合があります。
復号ツールの検索は「No More Ransome」のトップ画面に表示される「復号ツール」を利用すると良いでしょう。日本語にも対応しており、復号ツールを無料でダウンロードすることもできます。
身代金を要求されたときは
ランサムウェアに感染して身代金を払うように要求された際、応じるべきか判断に迷うことがあるでしょう。しかし結論から言うと、身代金は支払うべきではありません。身代金を支払っても、データが復元できないケースがあるためです。
また身代金を一度支払ってしまうと、攻撃者から「支払いに応じてくれる組織」という認識を持たれてしまいます。支払い後に「盗んだデータを公表する」と脅され、再度身代金を要求される二重脅迫型ランサムウェアも増えています。
さらに身代金を支払ったことが別の攻撃者に伝わり、新たな攻撃の標的にされる恐れもあります。身代金を支払うとさらに被害を受けることにつながるため、安易に応じないようにしましょう。
まとめ|対策を万全にしてランサムウェアに備えよう
組織を狙ったサイバー攻撃の中でも、ランサムウェアは特に多い攻撃手法となっています。感染してしまうとデータが暗号化されて業務に支障をきたしたり、データの復元と引き換えに身代金を要求されたりします。また、復元に対する身代金だけではなく、世間へのデータの公開と引き替えに身代金を要求する二重恐喝(二重脅迫型、もしくはダブルエクストーション)をされてしまうリスクがあるため、感染しないように日頃から十分なセキュリティ対策を実施しておくことが重要です。
ランサムウェアを防ぐ具体的な対策には、以下の5つがあります。
- VPN機器やOS・ソフトウェアを最新に保つ
- ファイルをバックアップする
- エンドポイントセキュリティ製品を導入する
- 脆弱性診断を実施する
- 情報セキュリティ研修を実施する
ランサムウェアの感染経路にはVPN機器やリモートデスクトップ、メールなど、さまざまなものがあるため、上記の対策を行い攻撃を受けにくい状態を作ることが重要です。
セキュリティ対策を行わず端末の脆弱性を放置していると、攻撃を仕掛けられるリスクが高まります。また、大手企業とつながりのある中小企業が標的にされやすいため、企業規模に関わらず、確実なセキュリティ対策を実施しましょう。