ランサムウェアとは？想定被害から対策まで徹底解説

ランサムウェアは、データを人質に身代金を要求するマルウェアです。ここではランサムウェアの概要と被害事例、想定される被害について解説します。

ランサムウェアとは

ランサムウェアとは、「身代金」を意味する「ransom」と「software」を組み合わせた言葉です。ランサムウェアは、データを暗号化して、復号と引き換えに身代金を要求します。感染したデバイス内に保存されているデータや、ネットワークを通じて侵入できるデータを暗号化し、「もとに戻して欲しければ身代金を支払え」と暗号通貨などの金銭を要求します。

想定される被害

ランサムウェアへ感染すると、どのような被害があるのでしょうか。一般的には、次のようなものが想定できます。

・データの暗号化による業務停止

・金銭的被害

・情報漏えい

ランサムウェアはデータを暗号化してしまうため、感染するとシステムを利用できなくなってしまう場合もあります。その間は業務が部分的、全面的に停止する恐れがあるため、企業は大きな被害を受けることになります。

ランサムウェアによる要求に応じてしまった場合は大きな金銭的被害が発生します。また、システムの調査・復旧にも費用がかかるだけでなく、自社にセキュリティ上の不備があった場合には損害賠償請求につながることもあります。

ランサムウェアはデータを暗号化するだけでなく、窃取することもあります。その場合、「データを流出させられたくなければ身代金を支払え」とさらに脅迫される例もあります。ランサムウェアへの感染によって、ダークウェブなどに機密情報が流出してしまう恐れもあり、重大な情報漏えいになりかねません。

ランサムウェアの被害事例

国内外問わず、ランサムウェアによる被害は後を絶ちません。ここでは、国内のランサムウェア被害事例をご紹介します。

病院の事例

病院がランサムウェア被害に遭う事例が報道されています。VPN機器の脆弱性からランサムウェアに侵入され、病院内で利用されていた電子カルテシステムなどを暗号化されてしまうといった被害があり、数ヶ月の間、通常の診療が制限されてしまった例もあります。

某大手ゲーム会社の事例

大手ゲーム会社をはじめ、大手企業でもランサムウェアの被害が報道されています。例えば、海外の現地法人に設置されていた予備のVPN装置に対する不正アクセスによって、ランサムウェアに感染してしまった事件が報告されています。この事例では、社内システムへの接続障害が発生しただけでなく、1万件を超える個人情報の流出が報告されています。

ランサムウェアへの感染は、大きな被害につながってしまいます。対策のためには、ランサムウェアがどのような手口で侵入し、攻撃するのかを把握しておく必要があります。ここでは、ランサムウェアへの感染経路と攻撃手順について解説します。

ランサムウェアへの感染経路

ランサムウェアへの感染経路は主に、以下の4つです。

・メールへの添付やURLへの誘導（フィッシングメール・フィッシングサイトなど）

・ネットワーク機器などへの不正アクセス

・外部記録媒体（USBメモリ、HDDなど）

メールへの添付ファイルに不正なプログラムが仕込まれており、この不正なプログラムからランサムウェアに感染させられるケースが報告されています。最近では、以前のように分かりやすい迷惑メールだけでなく、より巧妙に正規の送信者を偽った「標的型メール」などに注意が必要です。メールへの添付ファイルを開いてしまうことでランサムウェアに感染してしまう事例が多数報告されています。

また、フィッシングメールに記載されたURLから感染してしまう例もあります。正規のサイトに限りなく似ているフィッシングサイトへのURLを添付し、遷移先でランサムウェアをダウンロードしてしまうのです。不審なURLへの遷移は控えなければなりません。

ネットワーク機器などのIT機器への不正アクセスは、ランサムウェアの主な感染経路の1つです。警察庁の発表によれば、2021年に日本国内で発生したランサムウェア被害のうち、最も割合が多い54％がVPN機器からの侵入によるものでした。（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf）特に古いIT機器の場合、ソフトウェアのアップデートやセキュリティチェックが疎かになることも多く、脆弱性が放置されている機器からランサムウェアに感染してしまう事例が後を絶ちません。

USBメモリやHDDといった、外部記録媒体にランサムウェアが仕込まれている例もあります。通販サイトなどを装って、ランサムウェアを仕込んだ外部記録媒体を郵送する、といった攻撃も報告されています。

（参考：https://xtech.nikkei.com/atcl/nxt/column/18/00676/012000098/）

ランサムウェアによる攻撃手順

一般に、ランサムウェアの攻撃は、次のような手順で行われます。

1. 感染と情報収集
2. アクティベーションと身代金要求

ランサムウェアは、対象のデバイスに感染すると情報収集や攻撃のための準備を始めます。デバイスからネットワークを通じてより重要なデータへのアクセスを試みたり、遠隔操作ツールやハッキングツールを仕込んだりといった準備です。この時点で情報を窃取し、攻撃者に送信されていることもあります。

攻撃の準備ができたら、攻撃者がランサムウェアをアクティベート（有効化）します。情報を暗号化し、身代金の要求文章をデバイスの画面上に表示させたり、プリンターから出力させたりといった脅迫が典型です。身代金の要求が表示されるまで、ユーザーがランサムウェアに気づけないこともあります。

（参考：https://www.softbank.jp/biz/blog/business/articles/202204/security-ransomware/）

ここでは、ランサムウェアへの対策について解説します。ランサムウェアに感染すると、金銭的に大きな被害を受けるだけでなく、企業としての信頼の喪失にもつながります。次のような対策を実施し、ランサムウェアに備えましょう。

・脆弱性の改修

・OSやソフトウェアのアップデート

・セキュリティ教育の実施

・セキュリティソフトウェアの導入

・定期的なバックアップの実施

・攻撃シミュレーションの実施

脆弱性の改修

1つ目の対策は脆弱性の改修です。ソフトウェアやシステムの「脆弱性」とは、セキュリティ上のリスクとなる不具合のことです。脆弱性を放置しておくと、不正アクセス等によるランサムウェアへの感染はもちろん、ほかのサイバー攻撃の被害に遭うリスクも高まります。自社で利用している、あるいは公開しているソフトウェアやシステムには定期的な脆弱性診断を実施し、改修しておきましょう。

OSやソフトウェアなどのアップデート

2つ目の対策は、OSやソフトウェアなどのアップデートです。セキュリティの強化や脆弱性の改修が行われたシステム・ソフトウェアへのアップデートが大切です。自社で改修できるソフトウェアだけでなく、導入している他社製品についてもセキュリティアップデートを行いましょう。ランサムウェアへの感染原因として、放置されていた古いIT機器やソフトウェアの脆弱性を突かれるケースは後を絶ちません。

自社で利用しているソフトウェアや機器の管理を徹底し、ベンダーによる発表も常にチェックしておきましょう。セキュリティパッチや最新版へのアップデートといった必要な対策を怠ると、ランサムウェアへ感染するリスクが高まります。

セキュリティ教育の実施

社員やメンバーへのセキュリティ教育も徹底しましょう。ランサムウェアへの感染経路として、フィッシングメールやフィッシングサイトなどが挙げられます。不審なメールや添付ファイルは開かないように注意する、会社のデバイス・ネットワークを使って怪しいサイトにアクセスしない、といった教育を徹底しておきましょう。もちろんセキュリティ教育の徹底は、ほかのサイバー攻撃への対策としても有効です。

セキュリティソフトウェアの導入

4つ目の対策はセキュリティソフトウェアの導入です。マルウェア対策ソフトウェアや侵入検知ソフトウェアなど、ランサムウェアへの対策になるセキュリティソフトウェアは多数あります。

IPS/IDSや、ファイアーウォール、WAFなど、ネットワークを通じたランサムウェアの侵入を防ぐシステムに加え、デバイスやIT機器をはじめとするエンドポイントを保護するセキュリティ対策ソフトウェアの導入が大切です。また、セキュリティソフトウェアもOSなどと同じく最新バージョンに保つように注意しましょう。

定期的なバックアップの実施

万全の対策をしているつもりでも、思わぬところからランサムウェアに感染してしまう恐れはあります。ランサムウェアに感染してしまった時のために、必ず用意しておきたいのがバックアップです。

バックアップさえ用意しておけば、ランサムウェアの攻撃を受けてデータが暗号化されてしまっても、ある程度は復旧が見込めます。業務を早く再開でき、身代金を支払う必要もなくなるため、バックアップは必ず用意しましょう。

しかし、きちんとバックアップをとっていたつもりでも、最近ではバックアップファイルまで破壊してしまうランサムウェアも報告されています。弊社が扱っているRubrik社製ソリューションを導入し、ランサムウェアによる暗号化や破壊にも対応できる、セキュアなバックアップの用意をおすすめします。

攻撃シミュレーションの実施

自社が実施している対策が、ランサムウェア対策として本当に十分なのか検証することも大切です。弊社が扱っているPentera社のペネトレーションテスト・ランサムウェアエミュレーションを使えば、ランサムウェアによる攻撃を再現した検査を実施することができます。対策の検証や、不十分な点の改善のために、ぜひ導入を検討してみてください。

本記事では、ランサムウェアについて解説してきました。ランサムウェアは、データの暗号化や窃取を利用して身代金を要求するマルウェアで、世界中で大きな被害が発生しています。ランサムウェアに感染すると身代金が要求されるだけでなく、情報漏えいや業務停止といった被害が発生する恐れがあり、企業では厳重な対策を実施しなければなりません。

ランサムウェアに対しては、OSやソフトウェアのアップデートやセキュリティソフトウェアの導入といった基本的な対策が必要です。しかし、万一ランサムウェアに感染してしまった場合に備えてバックアップをとり、本当に対策が有効かどうかを検証することも大切です。ランサムウェアへのバックアップにはRubrikのバックアップソリューションが、対策の検証にはPentera社によるペネトレーションテスト・ランサムウェアエミュレーションの利用がおすすめです。

社内セキュリティの向上のため、ランサムウェア対策にはぜひ弊社東京エレクトロンデバイスにご相談ください。