マルウェアの一種であるランサムウェアは、金銭を要求することが特徴の「身代金要求型ウイルス」として知られています。国内でも著名な企業が被害にあった事例もあり、名前を聞いたことがある方も多いのではないでしょうか。ランサムウェアに感染した場合、データの喪失・業務停止や、社会的な信用の失墜など企業としての損失は計り知れません。本記事ではランサムウェアの特徴や仕組み、脅威について解説します。また被害を防ぐための具体的な対策方法についても紹介しますので、ぜひ参考にしてください。
目次
ランサムウェアとは
ランサムウェアとはマルウェアの一種で、感染したPCをロックしたりファイルを暗号化したりして使用不能な状態にし、元に戻すことと引き換えに金銭を要求する不正プログラムです。「身代金要求型ウイルス」とも呼ばれます。ランサムウェアという言葉は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
1989年に確認された「AIDS Trojan」というマルウェアが世界初のランサムウェアだと言われており、2005年〜2010年頃には感染した端末をロックしたりデータを暗号化するランサムウェアがメールの添付ファイルを経由して拡散されるようになりました。ランサムウェアが注目されるきっかけとなったのが2017年5月に登場した「WannaCry(ワナクライ)」です。WannaCryはWindowsの脆弱性を悪用し、ネットワークを介して感染を広げるワームとセットになっていたことから甚大な被害をもたらしました。この事件をきっかけにランサムウェアへの危機意識とセキュリティ意識が高まったとも言えますが、IPAが発表している「情報セキュリティ10大脅威」の組織編では「ランサムウェアによる被害」が2021年に続き2022年も連続で1位にランクインしており、ランサムウェアの脅威は広がり続けています。
参考:IPA「情報セキュリティ10大脅威 2022」https://www.ipa.go.jp/security/vuln/10threats2022.html(2022/9/9確認)
ランサムウェアの手口
ランサムウェアの代表的な手口は以下のとおりです。
- 攻撃者がランサムウェアを配布する
- ランサムウェアがコンピュータに侵入し、必要なプロセスを開始する
- 感染したコンピュータから暗号化鍵サーバーへ通信し、暗号化に必要な鍵情報を得る
- コンピュータ上でファイルをスキャンし、暗号化する対象を選定する
- 対象のファイルを暗号化する
- 感染したコンピュータの画面を乗っ取り、身代金を要求する
またWannaCryに代表されるワーム型ランサムウェアは、ネットワークを介して次の感染先を探し高速に感染を広げます。ワームとはネットワークに接続される感染可能なデバイスに自ら侵入し、自己複製を行うサイクルを繰り返すマルウェアの一種です。これにより一台が感染するとそのPCが接続されているネットワーク上のほかの端末にも感染が広がっていきます。
ほかにも2020年以降は「暴露型」と呼ばれるランサムウェアを利用したサイバー攻撃が増加しています。暴露型は従来の手口に加えてターゲットの持つ情報を窃取し、「身代金を支払わなければ情報を暴露する」と二重の脅迫を行う手口です。
ランサムウェアの感染経路
ランサムウェアの主な感染経路は以下のとおりです。
メール
添付ファイルやリンクにランサムウェアを仕込んだメールが送付され、ファイルを開いたりリンクにアクセスしたりしたPCが感染します。
Webサイト
ランサムウェアがダウンロードされるように改ざんされたWebサイトや広告などをクリックすることによって感染します。
ソフトウェア、ファイルのダウンロード
悪意のあるソフトウェア配布サイトなどでソフトウェアやファイルをダウンロードすることにより感染します。
USBメモリ
ランサムウェアに感染したUSBをPCに接続することで、USBに保存された不正ファイルが自動でPCに読み込まれてしまい感染します。
人手による攻撃
攻撃者が特定の企業や組織にターゲットを定めて内部のネットワークに侵入し、ランサムウェアを展開します。
ランサムウェアによる被害
組織内でランサムウェアへの感染が起きた場合に考えられる被害内容と、実際の事例について解説します。
想定されるランサムウェアによる被害
ランサムウェアが企業に及ぼす具体的な被害には以下のようなものがあります。
業務停止
感染した端末が操作不能になったり、データが暗号化されたりすることで業務の継続が困難になります。WannaCryのようなワーム型のランサムウェアだった場合、社内ネットワークを通じて他のPCやサーバーにも感染する恐れがあります。これにより組織全体の機能不全につながりかねません。業務システムが影響を受けると通常通りのサービスを提供できなくなるため、業務を停止せざるを得ないでしょう。
データの損失
ランサムウェアは、感染した端末のローカルドライブだけでなく接続しているネットワークドライブ(ファイルサーバーなど)のファイルも暗号化します。クラウドストレージを利用している場合も、バックアップを自動的に同期する設定にしていると暗号化されたファイルが同期されてしまい、復旧ができなくなる可能性があります。
金銭的被害
ランサムウェアからの身代金要求に応えて支払いを行うことによる金銭的被害があります。しかし、身代金を支払ってもファイルが戻る保証はなく、却ってランサムウェアによるサイバー攻撃を助長する可能性があるため、身代金の支払いは行うべきではありません。
情報漏えい
近年増えている「暴露型」のランサムウェア攻撃の場合、攻撃者が脅迫を成立させるために窃取したターゲット組織の情報をインターネット上に公開することがあります。これにより機密情報の流出被害が発生する可能性があります。
社会的な信用失墜
業務停止や情報漏えいなどが発生すると、顧客や利害関係者からの信用失墜につながります。原因調査・事故対応・関係者対応・賠償問題なども発生し、金銭的な負担も計り知れません。
ランサムウェアの被害事例
日本国内で実際に起きたランサムウェアの被害事例を紹介します。
・2021年10月31日、つるぎ町立半田病院で院内システムがランサムウェアに感染し、電子カルテをはじめとするサーバーのデータが暗号化され、システムが使用できなくなる事態に陥りました。早期のデータ復元およびシステム復旧が困難であったため、一時救急や新規患者受け入れを停止し、2022年1月4日に通常診療を再開するまで病院としての機能が麻痺してしまうという甚大な被害となりました。
参考:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」https://www.handa-hospital.jp/topics/2022/0616/index.html(2022/9/9確認)
・2020年11月、株式会社カプコンで社内システムへの接続障害が確認され、サーバーのデータ暗号化やアクセスログの抹消、「Ragnar Locker」と名乗るハッカー集団からの身代金要求もあったことからカプコンを標的としたランサムウェアであることが判明しました。会社情報や顧客の個人情報が流出する事態にまで発展し、復旧までは2週間以上を要しました。
参考:株式会社カプコン「不正アクセスに関する調査結果のご報告【第4報】」https://www.capcom.co.jp/ir/news/html/210413.html (2022/9/9確認)
ランサムウェアへの対策
では、ランサムウェアの被害を防ぐにはどうしたら良いでしょうか。日頃から以下のような基本対策を確実に実施することが大切です。
脆弱性への対応
企業をターゲットとした攻撃の場合、公開サーバーやネットワーク機器などの脆弱性を突いて攻撃者が侵入し、ランサムウェアを展開することが多いため、社内のソフトウェアやOSは常にアップデートを行い最新の状態を保つことが重要です。特にVPN機器は内部ネットワークへの侵入経路として狙われやすいため、一層の注意が必要でしょう。
社員へのセキュリティ教育
ランサムウェアはメールやWebサイトの閲覧によって感染するケースも多いため、社員一人ひとりがセキュリティルールを徹底することが重要です。メールのURLリンクやファイルは安易に開かない、提供元が不明なソフトウェアをダウンロードしない、などの注意喚起を行い、企業全体のセキュリティ意識を高めましょう。
セキュリティソリューションの導入
エンドポイント上での不審な活動を検知するためのEDR(Endpoint Detection and Response)製品の導入や、OSのログ監視などは、侵入を検知できなかった場合にも端末で検出できるため有効です。また、ランサムウェアは暗号化の際に外部サーバーに通信するため、内部から外部へのアクセスについて不要なネットワークへの接続はブロックしておくことも有効です。その他にも、スパムフィルタリングや悪意のあるWebサイトへのアクセスを防ぐWebゲートウェイフィルタリングなども良いでしょう。
権限の最小化
必要以上の権限をあらゆるユーザに与えてしまうのは危険です。必要もないのに管理者権限を使用していると、実行権限が強いためランサムウェアに攻撃された際のリスクが高まります。特に共有ボリューム(ファイルサーバーなど)にアクセス・暗号化されてしまうと被害が甚大となるため、共有ボリュームで実行可能な処理を制限することを検討しましょう。
バックアップの管理
被害を受けてしまった場合に備えて、定期的にデータのバックアップを行い重要な情報を失わないようにします。ただしランサムウェアがアクセスできるネットワークドライブにバックアップデータがあると暗号化される恐れがあるため、バックアップデータはネットワークから切り離すといった対策を検討する必要があります。①3つ以上のバックアップデータを作成すること、②2つの異なるメディアに保存すること、③そのうちの1つは異なる場所に保存すること、という「3-2-1ルール」に沿ってバックアップを保存することが効果的でしょう。
感染した場合は迅速に対処する
万が一ランサムウェアに感染してしまった場合は、ただちに感染した端末をネットワークから切断して隔離し、ランサムウェアの駆除を行いましょう。また、身代金の支払いは応じてもデータが戻る保証がないこと、そして犯罪継続を助長することから、避けるべきとされます。
まとめ
万が一ランサムウェアに感染した場合、企業にとって壊滅的な被害を引き起こしかねません。社員へのセキュリティ教育を含め、システムの脆弱性対策や多層防御など、日頃から十分な対策を心がけましょう。また、今後さらに巧妙な手口の新種が登場することも予想されるため、常に最新の情報を収集し、感染予防に努めることをおすすめします。
