ランサムウェアとは?その感染予防対策と、感染したらどう対策すべきかを解説
ランサムウェアは、コンピューターのデータを暗号化して身代金を要求するマルウェアの一種です。ランサムウェアに感染すると、企業は営業停止、信用の失墜など大きな損害を出してしまいます。本記事はランサムウェアの特徴から感染経路、対策方法までを紹介します。自社のランサムウェア対策でお悩みの情報セキュリティ担当者は、ぜひ参考にしてみてください。
ランサムウェア とは?
ランサムウェアとは、感染者に対して身代金を要求するマルウェアの一種です。名前の由来はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語といわれています。
ランサムウェアは1989年頃から活動を開始し、以降も手段を変えながら世界中で活動を続けています。警察庁の報告では、2022年にランサムウェアの被害にあった企業は230件。前年比で57.5%の増加となっています。また、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2023」によれば、ランサムウェアは1位にランクイン。非常に危険なマルウェアとして認識されているのです。
「情報セキュリティ10大脅威 2023」について、詳しくは以下で紹介しています。
ランサムウェアに感染すると
コンピューターがランサムウェアに感染すると、画面がロックされる、または重要なデータが暗号化されて利用不可能になるといった症状が出ます。さらに、見慣れぬテキストファイル(ランサムノート)が出現し、ファイル内にはランサムウェアに感染したことやシステムを復旧させるために金銭を要求するといった内容が書かれているのです。
ランサムウェア感染による影響
ランサムウェアが狙うのは、従業員の端末だけではありません。ランサムウェアは、ネットワークやデータベースなど、企業の基幹システムを停止させるレベルの障害を引き起こします。結果的に企業は営業活動を停止し、復旧作業に膨大なコストをかけることになるでしょう。
令和5年3月16日に警察庁が発表した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、一部の被害には復旧期間に2か月を要した事例や、復旧コストに5,000万円以上を費やした事例もあるほどです。
▼参考:令和4年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
ランサムウェアの種類
ランサムウェアは、進化をしながら数百種類もの亜種を生み出してきました。ここでは、代表的なものを3つ紹介します。
WannaCry
WannaCryは、2017年5月に世界中で被害を出したランサムウェアです。主に最新バージョンにアップデートされていないパソコンが狙われ、世界で約23万件もの被害が出ました。企業だけでなく病院でも感染が確認されており、なかには到着した救急車の受け入れができなくなるなど、人命救助に影響がでる事例もありました。
CryptoWall
CryptoWallは、2013年9月に米国で初めて確認され、その後2015年11月頃から日本でも感染が広がりました。CryptoWallは、ビットコインで身代金を要求した初めてのランサムウェアです。マカフィーによると、2015年2月から4月の調査期間で、支払われた身代金は総額約3億2,500万ドル(約490億円)に達しました。
TeslaCrypt
TeslaCryptは2015年2月に国外で注目を集め、同年12月頃に国内でも被害が確認されました。初期のTeslaCryptは主にビデオゲームのコミュニティを標的にしており、通常のファイル(文書、画像、データベースなど)だけでなく、ゲームに関連するファイルも暗号化することが特徴的でした。
Locky
Lockyは2016年1月、米国、オーストラリア、ドイツ、イギリスなど広範囲で拡大し、同年2月には日本でも感染が急増しました。国内での感染が顕著だった理由は、Lockyが多言語に対応しており、その脅迫文が日本語で表示されていたことが挙げられます。Lockyは主に、Word文書ファイルが添付されたスパムメールを通じて拡散していました。
ランサムウェアの被害事例
ランサムウェアの事例を見て、具体的にどのような被害にあっているのかを知っておきましょう。
米国のコロニアル・パイプラインの被害事例
2021年5月7日、米国コロニアル・パイプライン社はランサムウェアの攻撃を受けて1週間の操業停止に追い込まれました。感染原因はVPNへの不正アクセスであるとされています。同社は本件で身代金440万ドル(6.6億円)を支払っています。
ニップンの被害事例
2021年7月7日、大手製粉会社ニップンのサーバーがランサムウェアの攻撃を受けました。ほとんどのサーバーが暗号化されてシステム障害が発生し、基幹業務が停止。さらにバックアップシステムも被害にあっており復旧に2か月以上かかっています。
▼参考
https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2022/06/29/20220629-3.pdf
つるぎ町半田病院の被害事例
徳島県つるぎ町立半田病院では、ある日急に院内のプリンターが稼働し、印刷物に英文やURLが表示されました。内容は「あなたたちのデータは盗まれ、暗号化された」とのメッセージで、結果として院内の電子機器が使用できなくなる事態に。結果的に、X線画像や投薬の履歴、患者8万5,000人分の電子カルテが紛失することになりました。
▼参考
https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/story_20211119/
東北地方にある中堅の食品加工会社の被害事例
東北地方の食品会社では、社員が朝仕事に取り掛かると、システムが起動できない事態にあ遇。調査の結果、取引データのファイルがすべて”Lockbit”という名前に書き換えられていることが判明しました。さらに、基幹システムが利用できなくなり、取引処理を手動で行うなど、業務において不便が生じました。
▼参考
https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/ransomcrisis/
トヨタの被害事例
2022年2月28日、ランサムウェアの攻撃によってトヨタ自動車は国内の全14工場28ラインの稼働を停止しました。攻撃を受けたのは同社の主要取引先企業である小島プレス工業であり、典型的なサプライチェーン攻撃といえるでしょう。サーバーの障害でコンピューターを再起動すると、画面には英文で「このリンクにアクセスしないと機密情報を公開する」といった趣旨の脅迫文が表示されたとのことです。
▼参考
https://www.pentasecurity.co.jp/pentapro/entry/toyota-ransomware-attack
名古屋港の被害事例
2023年7月4日には、名古屋港統一コンテナターミナルシステム「NUTS」がランサムウェアの攻撃を受けました。4日の感染確認から6日の復旧まで、丸一日以上にわたって同港のコンテナターミナルは停止。物流に大きな影響が出ました。
▼参考
https://internet.watch.impress.co.jp/docs/news/1520831.html
ランサムウェアの主な感染経路
メール・添付ファイル
メールの添付ファイルにランサムウェアを仕込み、メールの受取人がダウンロード&実行してしまうと感染します。ランサムウェアに限定すれば、メールからの感染は多いわけではありません。しかし、フィッシングメールがランサムウェアを媒介するケースも増えてきています。Emotetなど主にメールを介するマルウェアへの感染からランサムウェアへの感染につながるため、十分に注意しておくべきでしょう。
VPN機器
VPN機器の脆弱性を狙った攻撃は、ランサムウェアのよくある攻撃手法です。VPNは、企業が外部(インターネット)に接続している部分ですが、ネットワーク機器を細かくメンテナンスしている企業は多くありません。ランサムウェアは脆弱性を持っているVPNを見つけ、不正アクセスで侵入してくるのです。
リモートデスクトップ
リモートデスクトップもランサムウェアが好む侵入経路の1つ。新型コロナウイルスの登場でリモートワークに移行する企業が増え、リモートデスクトップからの感染が増加しました。リモートデスクトップはセキュリティ強度を下げてしまうと、簡単に侵入されてしまうおそれがあります。たとえば、ID・パスワードが盗まれるなどの被害が出てしまいます。リモートデスクトップの脆弱性を放置するとランサムウェアに狙われやすくなります。
Webサイト
閲覧しているWebサイトが改ざんされていて、ランサムウェアをダウンロードしてしまうケースもあります。こういった攻撃は「水飲み場型攻撃」と呼ばれ、企業の公式サイトなどを改ざんすることで、無防備なユーザーを狙う方法です。資料のダウンロードリンクにランサムウェアを仕込んでおけば、ユーザーは警戒せずに偽装ファイルを実行してしまうでしょう。
アプリケーションの実行
一見便利そうなアプリケーションを装い、ダウンロードさせてランサムウェアに感染させます。注意したいのは、パソコンだけでなくスマートフォンアプリでもランサムウェアに感染するケースが増えている点です。ダウンロードするだけで自動実行されてしまう事例も報告されています。
USBメモリなど外付けHDD
所有者のわからない不審なUSBメモリや外付けHDDを拾ってパソコンに接続すると、ランサムウェアに感染します。これらの外部メディアは、ファームウェアを書き換えると接続するだけでファイルが自動実行できてしまうため「中身を見るだけ」でもリスクが高い行為です。
ランサムウェア感染を防ぐための対策
ここからは、ランサムウェア感染を防ぐためには、具体的にどのような対策をとるべきかを見ていきます。
ランサムウェア感染の対策方法
ランサムウェアはシステム内のファイルを暗号化するため、ファイルやOSシステムの定期的なバックアップは有効です。ただし、バックアップしたファイルはパソコンやネットワークから切り離した場所に保管するようにしましょう。ランサムウェアは、バックアップファイルも検索して一緒に暗号化してしまうためです。バックアップがあれば、業務が完全に停止するのを防ぐ、またはOSごと感染前の状態にリカバリーできる可能性があります。
メールの添付ファイルの開封やウェブ・ページ等のリンクをクリックする際には注意する
一昔前の偽装メールは、ひと目でわかるほど怪しいものがほとんどでした。しかし、最近は巧妙に偽装されたメールが増えてきており、気づかないうちにファイルをダウンロードして感染しているケースもあるほどです。
メール内のリンクや添付ファイルをクリックする場合は、送信元が正規の相手か確認する、添付ファイルに違和感を覚えたら開かないといった対策をしましょう。添付ファイルに違和感を覚えたら、メール以外の方法(たとえば電話など)で確認するのがおすすめです。
ファイアウォールやメールフィルターを適切に設定し、不審な通信をブロックする
サイバー犯罪者は、ランサムウェアで攻撃する際に、不正アクセスでネットワークにアクセスしています。こういった不正アクセスをファイアウォールなどで検知し、不審な通信をブロックすることが重要です。また、不審メールについてもシステム側で検知・除去できるようにすることで、従業員がだまされるリスクを低減できます。
不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する
以前は使っていたけど今は利用していないサービス、たとえば、RDP(Remote Desktop Protocol)やSMB(Server Message Block)は使わない場合は無効にします。これらのサービスは、放置していると外部からの不正アクセスの入り口として利用されるリスクがあります。
OSやアプリケーション・ソフトウェアを最新の状態にアップデートする
OSやアプリケーション・ソフトウェアは、脆弱性が見つかると脆弱性対応パッチを配布します。対応パッチが配布されたらすぐに適用し、OSやアプリケーションを最新の状態に保ちましょう。適用が遅れれば、それだけランサムウェアに感染するリスクは高まります。また、VPN機器についても定期的にアップデートを確認するように、ルールを策定・運用するのが望ましいでしょう。
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
セキュリティソフトは、定期的に定義ファイルの更新を促してきます。定義ファイルは、マルウェアなどを見つけるための辞書のようなもの。この辞書が古ければ最新のマルウェアを検知してくれません。そのため、定義ファイルは常に最新の状態に保つのが鉄則といえます。
パスワードの設定を見直す
誰でも簡単に思いつくような平易なパスワードや、複数サービスで使い回しているパスワードを使っていないか社内で見直しましょう。とくに、パスワードの使い回しは危険です。利用しているサービスのどれか1つでもID・パスワードが流出すれば、あっという間に認証を突破できるようになってしまうからです。パスワードを使い回していると社内ネットワークに侵入されやすくなってしまいます。
ランサムウェアに感染した際の対策
万が一、ランサムウェアに感染した場合の対策方法を紹介します。ランサムウェアに感染した場合は初動が肝心です。すぐに動けるように組織内でルールを決めておきましょう。
感染した端末をオフラインにする
ランサムウェアがネットワーク越しに別の端末に感染しないように、感染が確認された端末はまっさきにオフラインにします。具体的には、LANケーブルを抜く、Wi-Fiをオフにするといった方法をとりましょう。ほかにも、外部ストレージなどに接続している場合は切断してください。ランサムウェアは外部ストレージファイルも攻撃対象にするためです。
ランサムウェアの種類を特定する
感染に対処するためにもランサムウェアの種類を特定します。特定方法としては、「No More Ransom」プロジェクトの「Crypto Sheriff 」を利用するのがおすすめです。ランサムウェアが残すランサムノートのファイル名から特定する方法もありますが、一刻を争う状況ではツールを利用したほうが特定は早いでしょう。
ランサムウェアを駆除する
ランサムウェアを駆除するために、精度の高いセキュリティ対策ソフトを使ったフルスキャンを実行します。無料のセキュリティ対策ソフトでは、すべてのマルウェアを検出できる保証がないため、可能な限り信頼性の高いものを利用してください。
データの復号を試みる
ランサムウェアの種類によっては、暗号化されたファイルを複合できる可能性があります。「No More Ransom」プロジェクトが公開している復号ツール を使って、感染したランサムウェアに対応した複合ツールをダウンロードして使いましょう。
TD SYNNEXでは、ランサムウェア対策として各種バックアップ製品やソリューションを提供しています。
https://www.synnex.co.jp/solution/security/ransomware/#ransomware-product
ランサムウェアのセキュリティ対策におけるバックアップの重要性についてはこちらの記事もご覧ください。
https://blog.synnex.co.jp/security/ransomware-backup/
エンドポイントセキュリティ対策としておすすめの製品は下記からご覧いただけます。
https://www.synnex.co.jp/solution/security/endpoint-security/#endpoint-product
まとめ
ランサムウェアは、単純にシステムを停止させる妨害行為にとどまらず、身代金を要求してくるタイプのマルウェアです。万が一ランサムウェアに感染しても、身代金要求には決して応じないでください。身代金を払ったとしてもデータが復旧する保証はありませんし、さらに二次被害にあう事例も報告されています。また、身代金を払うと米国財務省外国資産管理室(OFAC)の規定によって制裁対象になるおそれもあります。
TD SYNNEXでは、ランサムウェアに関するご相談を受け付けております。 ランサムウェア対策でお困りの際は、ぜひサービスページをご覧ください。
[著者プロフィール]
Y.Kuroda
MLエンジニア&Web開発者&ITライター MLエンジニアとして働きながらとSEOの知見を活かした記事を執筆しています。ライター業務を効率化するWebサービス『MOJI-KA』を開発・運用中です。
