商品検索サイト

目次

> セキュリティ > ランサムウェアとは?その感染予防対策と、感染したらどう対策すべきかを解説

ランサムウェアとは?その感染予防対策と、感染したらどう対策すべきかを解説

世界中で被害が拡大するランサムウェア。もしも感染してしまうと、甚大な被害を受けることもあります。特にシステムの管理者は、感染を防ぐための仕組みを知っておくことが必要です。そこで、ランサムウェアの特徴について詳しく解説します。さらに、ランサムウェアはどのような経路で感染するのか、感染を防ぐための対策についても解説しますので、参考に理解を深めてください。

ランサムウェア とは?

ランサムウェアは「身代金(Ransom)」と「ソフトウェア(Software)」と組み合わせた造語で、「身代金要求型不正プログラム」と呼ばれるものです。ランサムウェアに感染するとデバイスがロックされたり、ファイルを暗号化されたりするなどの影響が発生します。それによって、通常のユーザーによるアクセス制限や、サーバーなどマシンデータの暗号化により使用が不可能となります。その間はサーバーや業務データが利用できなくなるため、業務の遂行にも大きな影響が伴うでしょう。また、ランサムウェアによっては、感染した端末に隣接する他のデバイスやシステム全体に感染が拡大するものもあります。

昨今、ランサムウェアの被害が増加した背景として、ビットコインなどの仮想通貨の流行が原因の一つと考えられています。このような仮想通貨は匿名での授受が可能となるため、攻撃者にとって都合がいいためです。

ランサムウェアの被害を受けた場合、身代金を支払えばシステムの復旧がされ元通りになると思ってしまいがちです。しかし実際のところ、そうではないケースも少なくありません。身代金を取られただけで、攻撃者に逃げられたりさらに身代金を二重に要求されたりするというリスクもあるのです。

ここで、ランサムウェアの被害事例についていくつかご紹介します。

米国のコロニアル・パイプラインの事例

アメリカの石油移送パイプライン大手のコロニアル・パイプラインは、ロシアのサイバー犯罪者集団「ダークサイド」からランサムウェア攻撃を受けました。この影響でパイプラインの操業が一時停止し、ガソリン供給に混乱が起きました。結果として、コロニアル・パイプラインは440万ドル(約4億8000万円)の身代金を支払っています。

▼参考

https://internet.watch.impress.co.jp/docs/column/dlis/1331673.html

ニップンの事例

製粉大手のニップンは、ニップン本体の主要な基幹システムサーバーとファイルサーバー、またグループ企業が利用している財務会計システム、販売管理システムなどが同時多発的に暗号化されたことを明らかにしました。被害の対象にはオンラインバックアップを管理するサーバーも含まれており、システム復旧に時間がかかる事態となりました。その影響により、4月~6月期の四半期報告書の提出期限を延長せざるを得ないという影響が出ました。

▼参考

https://www.dataclasys.com/column/ransomware_20211004/

つるぎ町半田病院の事例

徳島県つるぎ町立半田病院では、ある日突然、院内のプリンターが作動し、はき出されてきた紙には英文やURLが印刷されていました。そこには「あなたたちのデータは盗まれ、暗号化された」との記載があり、院内の電子機器が使えない状態となりました。その結果、X線の画像、投薬の記録、8万5,000人分の患者の電子カルテが、失われてしまいました。

▼参考

https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/story_20211119/

東北地方にある中堅の食品加工会社の事例

東北地方の食品会社では、朝出社した社員がシステムを起動できない事態に気づきました。パソコンの画面をクリックしてファイルを調べると、取引データのファイルがすべてLockbitというファイル名に書き換えられていたのです。さらに基幹システムが利用不可能な状態となり、その後に攻撃者とのやり取りは行わず、取引の処理をすべて手入力で行うなど業務の負担が増えるといった影響が出ています。

▼参考

https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/ransomcrisis/

ランサムウェア感染経路について

ここでは、ランサムウェアにはどのように感染するのかについて解説します。主要な感染経路については以下の通りです。

  • 電子メール(攻撃者からのEメールを受信して添付ファイルを開くことによる感染)
  • 悪意のあるWebサイト(メール本文中に記載されているURLリンクをクリックすることによる感染)
  • Webアプリ(Webアプリに不正なプログラムが含まれていたことによる感染)

このように、身近にある端末から容易に感染するリスクがあります。特に不審なメールや悪意のある不審なWebサイトには、日ごろから注意が必要でしょう。具体的には、例えば電子メール経由でランサムウェアに感染した場合、以下の流れで攻撃を受けることになります。

  1. 標的型メールを攻撃対象者に送信する
  2. メールの受信者がURLをクリックする
  3. ダウンローダーが実行される
  4. クラウド上からマルウェアがダウンロードされる
  5. 対象者のマシンにマルウェアが常駐化する
  6. クラウド上に機密情報が送信・コマンド実行

マルウェアなどの攻撃時、ハッカーはサイバーキルチェーン(Cyber Kill Chain)という考え方に基づいて行動します。サイバーキルチェーンは以下のフェーズで構成されます。

  • 偵察
  • 武器化
  • 配送
  • エクスプロイト
  • インストール
  • 遠隔操作
  • 目的達成

この各フェーズについて理解することで、有効な対策が見えてくるのです。それでは、サイバーキルチェーンの具体的な7つのフェーズについて解説しましょう。

偵察(Reconnaissance)

偵察フェーズでは、攻撃対象となる個人や企業を調査します。攻撃の内容としては、漏えいID・VPN装置やそのURLパスワードリスト(スプレー)攻撃が挙げられます。

武器化(Weaponization)

武器化フェーズでは、攻撃者がマルウェア等を作成します。

配送(Delivery)

配送フェーズでは、攻撃者が対象者にアクションを起こします。攻撃の内容としては、マルウェア添付メール送信や感染URL付きメール送信が挙げられるでしょう。この攻撃に対する防御活動としては、システムの監視、送信アドレスの受信拒否設定(メールサーバー)が有効です。

エクスプロイト(Exploitation)

エクスプロイトフェーズでは、攻撃対象にマルウェアを実行します。この攻撃に対する防御活動としては、組織内外への注意喚起が有効です。

インストール(Installation)

インストールフェーズでは、対象者がマルウェアに感染して端末に常駐化します。攻撃内容としては、PC起動時自動実行化、PC起動制御が挙げられます。この攻撃に対する防御活動としては、システムのスキャンによる検知が有効です。

遠隔操作(Command & Control)

遠隔操作フェーズでは、マルウェアとC&Cサーバーが通信可能となったり、外部からのリモートアクセスが可能となったりします。攻撃内容としては、C2通信や脆弱PCサーバーへのラテラルムーブメント、サーバー・AD権限奪取が挙げられるでしょう。この攻撃に対する防御活動としては、ネットワーク遮断、URLブロックが有効です。

目的達成(Actions on Objectives)

目的達成フェーズでは攻撃者の目的が達成されます。攻撃内容としては機密情報持ち出し、ファイルの暗号化、バックアップの削除が挙げられます。この攻撃に対する防御活動としては、システムスキャン、フォレンジックによる検知が有効です。

サイバーキルチェーンの各フェーズを理解することによって、どのような対策が有効であるかを把握することができます。自社システムがどのフェーズに対応できているのか、またはできていないのかについて参考にしてください。

ランサムウェア感染を防ぐための対策について

JPCERT コーディネーションセンター(JPCERT/CC)では、ランサムウェア対策として次の方法を紹介しています。

ファイルやシステムの定期的なバックアップを実施する

定期的にバックアップを実施しておくことで、ランサムウェアに感染したとしてもデータの復旧ができる状態にしておきます。バックアップと世代管理を行い、オリジナルとは別のネットワークにバックアップデータを保管することが推奨されています。

メールの添付ファイルの開封やウェブ・ページ等のリンクをたどる際には注意する

受信したメールやSNSについては送信者、文面、添付ファイル等注意します。不審なものや心当たりがない場合には、安易にURLをクリックしたり添付ファイルを開いたりしないようにしましょう。

ファイアウォールやメールフィルターを適切に設定し、不審な通信をブロックする

インターネット上からの感染を防ぐためにファイアウォールで外部との不審な通信を制限したり、スパムメールの判定やメール送信ドメインの検証を行うことによってメールをフィルターにかけたりするなどの対策を行います。

不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する

SMB(Server Message Block)やRDP(Remote Desktop Protocol)など普段使用していないサービスを無効化、または制限することによって感染リスクを低減します。

OSやアプリケーション・ソフトウエアを最新の状態にアップデートする

OSやアプリケーション・ソフトウエアを最新の状態にすることで、システムの脆弱性を取り除く効果があり、感染対策にも役に立ちます。

セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ

セキュリティソフトを導入することで、不審な通信を遮断したりマルウェアをブロックできたり、感染リスクが低減されます。

パスワードの設定を見直す

簡単なパスワードである場合、外部からの侵入リスクがあります。定期的にパスワードを変更するなどの対策が必要とです。

ランサムウェアに感染した際の対策について

万が一、ランサムウェアに感染してしまった場合の対応について解説します。前提として、攻撃者が身代金を要求してきたときには、身代金は支払うべきではありません。なぜなら身代金を支払ったとしても、データの暗号化やシステムのロックが解除される保証はないためです。必要に応じて、以下のような対応策を取ることをおすすめします。

感染した端末をオフラインにする

ランサムウェアに感染した端末をネットワークから隔離し、オフラインの状態にします。外部ストレージを接続している場合は、外部ストレージも切断してください。

ランサムウェアの種類を特定する

ランサムウェアに感染した端末をオフラインにした後は、どのようなランサムウェアに感染したのかを特定します。具体的には、以下の方法でランサムウェアを特定してください。

  • 感染した端末に表示されている画面をインターネットで検索し感染したランサムウェアを特定する
  • 「No More Ransom」プロジェクトの「Crypto Sheriff」を活用する

▼参考

The No More Ransom Project (日本語版)

https://www.nomoreransom.org/crypto-sheriff.php?lang=ja

ランサムウェアを駆除する

セキュリティ製品を利用することで、ランサムウェアを駆除できる可能性があります。データの復元前にランサムウェアを駆除しておくことが必要です。

データの復号を試みる

バックアップからデータを復元します。バックアップを行っていない場合は、復号ツールを活用してデータを復号しましょう。「No More Ransom」プロジェクトのWebサイトで複合ツールが紹介されていますので、こちらも参考にしてみてください。

▼参考

The No More Ransom (日本語版)

https://www.nomoreransom.org/ja/decryption-tools.html

なお、上記サイトを活用してデータを復号する際は、以下の手順書を参照してください。

  • 情報処理推進機構 (IPA)

ランサムウェアで暗号化されたファイルを復号するツールの調べ方

https://www.ipa.go.jp/security/anshin/tips/nmr_toolnavi.html

  • 日本サイバー犯罪対策センター (JC3)

ランサムウェア対策について

https://www.jc3.or.jp/threats/topics/article-375.html

日本国内においてランサムウェアの被害を受けた場合、「日本サイバー犯罪対策センター事務局」の通報窓口に連絡しましょう。

まとめ

ランサムウェアは、世界中でその被害が確認されています。身代金を要求する不正なプログラムであり、感染してしまうとデバイスがロックされたり、サーバー上のファイルが暗号化されたりすることでシステムへのアクセスが不可能となります。大企業や中小企業問わず、さまざまな企業が攻撃対象となっています。

たとえ要求に応じて身代金を支払ったとしても、システムが回復する保証はないことに注意してください。感染経路で多いのは、メールやWebサイト、アプリケーションなど多岐にわたります。サイバーキルチェーンについて理解し、対策を講じることも大切です。

また、万が一ランサムウェアに感染してしまった場合にはバックアップの存在も重要となります。なぜなら、バックアップからシステムを復旧できる可能性もあるためです。システム全体で、ランサムウェアへの対策が必要となるでしょう。

TD シネックスでは、無償でランサムウェアに関するご相談を受け付けております。

ランサムウェア対策でお困りの際は、ぜひサービスページをご覧ください。

【無償】ランサムウェア対策のご相談は当社にお任せください

TD シネックスでは、お客様の課題に沿ったランサムウェア対策をご提案させていただきます。 ランサムウェア対策の製品選択にお悩みの際は、ぜひ以下のボタンからサービスページをご確認ください。

▼TD シネックスお問い合わせフォーム

https://www.synnex.co.jp/inquiry

ウェビナーも実施しておりますので、そちらも併せてご確認ください。

▼TD シネックスウェビナー情報

https://www.synnex.co.jp/events/

▼参考

https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

https://www.dataclasys.com/column/ransomware_20211004/

https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/story_20211119/

https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/ransomcrisis/

https://jpn.nec.com/backup/netbackup/netbackup-sl-ransom.html

https://www.ipa.go.jp/files/000057703.pdf

[著者プロフィール]

中村陽平

8年間インフラエンジニアとして、システム開発から運用まで幅広く経験し、フリーランスとして独立する。IT技術に関する記事や転職、フリーランスに関する記事も多数執筆中。現在は官公庁系システムのネットワークの設計~構築・運用まで携わっている。得意分野はネットワークの設計、構築(Cisco機器)。

製品・サービスについてのお問合せ

情報収集中の方へ

導入事例やソリューションをまとめた資料をご提供しております。

資料ダウンロード
導入をご検討中の方へ

折り返し詳細のご案内を差し上げます。お問い合わせお待ちしております。

お問い合わせ