ランサムウェアとは?もし感染したらどうする?対策方法を解説
INDEX
はじめに
マルウェアの中で最もやっかいで対策も難しいといわれるランサムウェア。IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威 2022」の組織部門においても、ランサムウェアの脅威が前年同様1位に選ばれています。
ランサムウェアという言葉を耳にしたことはあっても、その手口や目的について詳しく知っている方は少ないのではないでしょうか。
本記事ではランサムウェアの概要や被害事例、対策などについて解説していきます。ランサムウェアに関する知識を取り入れ、「いつ来るか分からぬ」攻撃への、しっかりとした対策を講じましょう。
ランサムウェアとは
ランサムウェア(ransomware)とは、英語のransom(ランサム)とsoftware(ソフトウェア)、2つの単語を組み合わせた造語です。ランサムは身代金と訳される通り、身代金要求を目的とするマルウェアのことです。端末の機能を無効化したり、データファイルを暗号化したりすることによって業務に影響を与え、それを元通りにすることを条件に、金銭を要求します。また支払いに応じたものの、復元ができないといったケースもあります。
従来のランサムウェアはWebサイトやメールの添付ファイルからの感染が一般的でしたが、テレワークが進んだ近年はVPNの機器を狙ったものや脆弱性を突いたものなど、手口が複雑になっています。
ランサムウェアの攻撃手法と感染経路
ランサムウェアの攻撃手法は不特定多数を狙うばらまき型や、特定の企業や組織を狙う標的型、また近年ではさらに悪質なものまで登場しています。具体的にどのような手法で、それぞれどのように侵入するのかを説明していきます。
1.ばらまき型ランサムウェア
従来のランサムウェアの攻撃手法です。WebサイトやSNS、またはメールなどを用いてコンピュータウイルスをばらまき、たまたま感染した者に対し身代金を要求します。
ばらまき型ランサムウェアの特徴としては、ターゲットを特定せずできるだけ多くの感染者を作ることです。また感染させた後はデータを使用不能にし、復旧を対価とした身代金の要求までを自動で行います。
2017年頃、世界中で大規模な被害を与えたWannaCry(ワナクライ)がこれにあたります。
2.標的型ランサムウェア
不特定多数を狙うばらまき型と異なり、特定の組織や企業をターゲットに攻撃を行うのが標的型ランサムウェアです。フィッシングメールが使われることもありますが、感染経路の多くはセキュリティの脆弱性を突き、ネットワーク内へ侵入する手法です。サーバやシステムなどに攻撃者が直接ランサムウェアを仕掛け、内部感染の拡大とデータの使用不能をもくろみます。また簡単に復元できぬよう、バックアップデータも狙われることがあります。
標的型ランサムウェアの特徴は特定のターゲットを狙うこと、また感染させた後は直接攻撃者がデータの暗号化や身代金要求の交渉を行います。そのためより重要なデータを狙って攻撃を仕掛けることができ、被害が大きくなりやすいといえます。
3.暴露型ランサムウェア(二重脅迫型ランサムウェア)
暴露型ランサムウェアも特定の組織や企業をターゲットに攻撃を行います。またファイルを暗号化し身代金を要求するという点も標的型と同様ですが、暴露型はそれだけにとどまらず、さらにはそのデータを流出させると再脅迫を行います。
例えば標的型ランサムウェアの攻撃を受けた組織や企業が、ファイル暗号化解除のための身代金支払いを渋ったり拒否したりすれば、「このデータをネット上にさらす」とさらに支払いを迫ります。このように二重に脅迫を行うため、二重脅迫型ランサムウェアとも呼ばれます。
データの流出は企業存続にもかかわり、攻撃者にとってはより確実に金銭を得られる可能性が高いため、近年はこの手法が主流となってきています。
「○○型ランサムウェア」という言葉について
同じランサムウェアを使った攻撃でも、再脅迫を行うかどうかで「標的型ランサムウェア」と「二重脅迫型ランサムウェア」のどちらに分類されるかが変わります。
「二重脅迫型ランサムウェア」が「Double-Extortion Ransomware Attack」の和訳であるように、マルウェアの種類ではなく、マルウェアを用いた攻撃手法を指し示す用語だということに注意しましょう。
ランサムウェアの被害事例
ランサムウェアの脅威は年々高まり、被害も急増しています。ここでは、実際にランサムウェアの被害を受けた企業の事例を2件ご紹介します。事例を読むことで、自社の弱点の気づきにつながるかもしれません。
事例1.大手自動車メーカーのサプライヤーが次々ランサムウェアの被害に
2022年、大手自動車メーカーの主要取引先が立て続けにランサムウェアによるサイバー攻撃を受けました。
まず2月にこの自動車メーカーへ内外装部品を供給しているメーカーが不正アクセスを受け、取引用システムを含む一部のサーバがランサムウェアに感染させられました。そのため社内にあるサーバは一旦全て停止、また自動車メーカーの国内工場も一時稼働停止に追い込まれました。
また3月にはこの自動車メーカーへ中核部品を卸しているメーカーのドイツ子会社がランサムウェアによる攻撃を受け、闇サイトで脅迫文とデータの一部がさらされました。このメーカーは2021年末にも、メキシコにある工場がランサムウェアの被害に遭ったばかりであり、犯罪者集団から狙い撃ちされている実態が明らかになりました。
セキュリティ対策が強固である親会社よりも、対策に隙のある取引先や関連企業を狙った攻撃が相次いでいることで、サプライチェーン攻撃のリスクと対策の課題が浮き彫りとなっています。
事例2.不正アクセスによるシステムダウンで164万人以上の顧客情報が流出
2022年3月、大手製菓メーカーが運用する複数のサーバが不正アクセスを受け、サーバの一部がシステムダウン。一部の商品製造や配送に影響が出た他、同社運営の通販サイトを利用する顧客164万人以上分の個人情報流出の可能性があることが明らかになりました。流出した情報の内容は、住所、氏名、生年月日や電話番号の他、メールアドレスも含まれます。
不正アクセス被害を公表した時点での流出情報の悪用はみられないとしながらも、今後流出情報を悪用した不正行為発生の可能性もあることが懸念されています。
感染経路はネットワーク機器に内在する脆弱性とみられ、またサーバの一部データが暗号化によりロックされたことから、ランサムウェアの可能性が高いと考えられています。
ランサムウェア感染を防ぐための対策
ネットワークを用いて業務を行う限り、企業規模に関係なくランサムウェアの脅威は身近にあるといえるでしょう。その脅威を防ぐためには、日頃の感染対策が重要です。ここではランサムウェアの感染を防ぐ5つの方法をご紹介します。
メールやURLへの注意喚起
メールの開封やURLをクリックする行為を狙った攻撃は、ランサムウェア感染の典型的な手口の一つです。しかしその手口も年々巧妙になっており、一見しただけでは怪しいとは分からないような内容になっているため注意が必要です。例えば、実在する人物や取引先を装い、件名や本文ももっともらしい内容で、疑いようのない業務メールに見せかけたものから、「重要」「至急」といった緊急性を含ませた内容で、人の心理を悪用するものまでさまざまです。
つい、うっかりといった一人の行動から、社内の端末が遠隔操作ツールに感染してしまうこともあります。
添付ファイルやURLが貼られたメールは、開封やクリック前に送信元へ確認するなど、不用意に開かない、アクセスしないといった全社員への注意喚起が必要です。
脆弱性のチェック
近年、ランサムウェアの被害はOSやソフトウェアの不具合などの脆弱性を突いたものが多くなっています。それを防ぐにはOSやソフトウェアの定期的なアップデートが重要となりますが、アップデートを後回しにしたり、そのまま放置してしまったりといったことが原因で、脆弱性が残ったままの企業も多くみられます。OSやソフトウェアに脆弱性が残る状態では、不正アクセスやマルウェア感染を狙う攻撃者の恰好の的になってしまうため、更新プログラムがベンダーから提供された場合は速やかに適用し、常にバージョンを最新に保つように心がけましょう。
また、テレワークが普及した昨今ではVPN機器の脆弱性を狙った攻撃も増加しています。こちらも更新ファイルやセキュリティパッチを随時適用し、脆弱性を残さないといった対策が必要です。
セキュリティ対策ソフトの導入
いくら社内で不正なWebサイトへの訪問やメール開封への注意を呼びかけ、セキュリティ意識を高めたとしても、実際にそれが不正なものかを見抜くことは非常に難しくなっています。そのためセキュリティ対策ソフトを導入し、セキュリティ強化を図ることも重要です。セキュリティ対策ソフトには不正なWebサイトへのアクセス制限や、怪しいメールへフィルタリングをかけるなどの機能が備わっています。またランサムウェアや不正なプログラムの侵入を阻み、すでに侵入してしまった場合は検知し、自動的に削除することでセキュリティを守ります。
パスワード設定の強化と多要素認証
テレワークが拡大した現在では、社外から社内のネットワークへアクセスするためにVPNを用いる機会が増えました。そのVPN接続の認証パスワードが漏れてしまったといったことや、脆弱性を突いた攻撃からパスワードを破られたことが原因でのランサムウェア感染の被害も多くなっています。
このような被害を避けるためには文字列を複雑にし、推察されにくいパスワードにするとともに、パスワードの使いまわしはしないこと、また定期的なパスワードの変更が鉄則です。さらに、一度だけ使用できるワンタイムパスワードや、顔認証・指紋認証など、パスワードに別要素を組み合わせた多要素認証を取り入れることも重要です。
データのバックアップ
ランサムウェアのやっかいなところは、ファイルが一度暗号化されてしまった場合、ランサムウェアを取り除けたとしても、そのファイルを元に戻すことは難しいところです。例え身代金を払ったとしても、攻撃者がファイルを復元してくれるとは限りません。そのため、データはこまめにバックアップをとることが推奨されます。またバックアップデータは異なる端末やハードディスクなどの媒体、または異なるネットワーク上に保存するなどの工夫が必要です。
それでもランサムウェアに感染してしまったら
いくら感染対策を施したとしても、ランサムウェアの攻撃を完全に防ぐことは難しいものです。不運にもランサムウェアに感染してしまった、または感染の疑いがある場合の対処法をご紹介します。
ネットワークの切断
まず行うべきことは、ランサムウェアに感染した端末をネットワークから切り離すことです。こうすることで、LAN経由で他の端末へランサムウェアが拡大するような二次被害を防ぐことができます。そのうえで、情報システム部門やセキュリティ管理者へ報告します。
この初動対応が遅れれば遅れるほど感染端末は増え、他のファイルまで暗号化されるなど、被害はどんどん広がります。自分一人で対処できることはほぼないと考え、まずは被害拡大を防ぐことを念頭に置き、その後の対応は情報システム部門へ任せましょう。
ランサムウェアの検知とデータの復元(復号)
ランサムウェア感染の報告を受けた情報システム部門が、ランサムウェアへの処置を施します。セキュリティ対策ソフトを導入している場合は、それを用いて検知・検出を行い、どの種類のランサムウェアに感染したのかを突き止めます。ランサムウェアの種類によっては「復号ツール」を利用することで、暗号化されたファイルを解除できる可能性もあるため、ランサムウェアの種類を特定することは重要なポイントです。
また定期的にバックアップをとっており、そのバックアップを保存している端末や媒体がネットワークに接続されていなければ、そこからデータを復元できる可能性もあります。
感染経路の調査と再発防止
ランサムウェアによる感染からデータを復元できたからといって終了ではありません。ランサムウェアがどこから侵入したのか、ファイルの暗号化以外に被害はないか、感染経路や被害の状況を詳しく調査する必要があります。感染の原因を特定できなければ再びランサムウェアの被害に遭う可能性は非常に高く、再発防止のためにも感染経路の特定は非常に重要です。
また今後再びランサムウェアに感染することのないよう、感染対策の見直しと社員への再教育を行い、セキュリティの強化に努めます。
不安な場合はアウトソーシングも検討
ランサムウェアの脅威は計り知れず、いくら社内で対策を取り、また万一の場合の対処法を身につけたとしても不安が拭えないこともあるでしょう。社内でセキュリティ対策を任せることができる部門や人材がいないというケースもあります。
そのような場合はSOC(セキュリティ・オペレーション・センター)のアウトソーシングを検討してみるのも一つの手です。
SOCはセキュリティ体制を監視し、セキュリティに関する責任を担う専門組織です。通常24時間365日体制でネットワーク、サーバなどのあらゆるシステムを監視し、サイバー攻撃やその予兆の検出や分析を行い、その対応策のアドバイスなどを行います。万一被害に遭った場合にも、自社だけで対応するよりも早急な復旧・復元ができ、感染や被害を最小限に抑えることが可能です。
SOCについての詳しい記事は
SOCを強化し、サイバー攻撃に備えた組織作りを!をご覧ください。
まとめ
データは重要な資産であり、そのデータを狙い暗号化を仕掛け身代金を要求するランサムウェアは、企業にとって最もやっかいなサイバー攻撃の一つです。このランサムウェアを完全に防ぐことは難しくとも、今自社でできるだけの対策をとり、「いつ来るか分からぬ」攻撃に備える他にありません。
自社でできる対策には限界があるためセキュリティ対策を丸々任せたい、といったお悩みはセラクへ一度お問い合わせください。
セラクでは専門性を持つセキュリティ技術者が、SOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固にお守りします。システムにより必要なセキュリティ対策の種類・レベルは異なり、セラクではお客様の状況に合わせたサービスを提供することができます。
お客様のセキュリティ対策は、多種多様なシステムの運用実績を持つセラクにお任せください。
24時間365日対応可能!
クラウド導入・運用は
セラクにおまかせください
その他の記事
