ランサムウェアとはマルウェアの一種で、侵入したシステムからファイルを暗号化し、その解除と引き換えに金銭を要求をする不正ソフトウェアです。回復と引き換えに身代金を要求するため、身代金（ransom）＋ソフトウェア（software）と呼ばれます。

感染した場合、情報漏洩や企業としての活動停止など、信頼を喪失させる脅威として深刻化している問題です。本記事では、ランサムウェア攻撃に対する対応策として有効なオフライン保存のバックアップ方法などについて解説します。

ランサムウェア攻撃は世界中で年々激化しており、多様な手口のなかでも主に下記の二種類の方法が見られます。 

情報処理推進機構（IPA）が毎年発表する「情報セキュリティ10大脅威」では、2021年以降ランサムウェアによる被害が1位です。模倣や亜種の登場、また個人から企業へとターゲットが移ることで、近年より被害件数が増加しています。 

暗号化型は、重要ファイルや共有フォルダ内のデータを暗号化する手法です。暗号化ウイルス恐喝とも呼ばれており、ランサムウェアの手口として一般的です。

具体的には、ウイルスを仕込んだ添付ファイルやサイトリンクをメールで送信し、認証通知などの重要な連絡を装います。その後、アクセスしたパソコンからUSB接続したハードディスク、LAN接続されたシステム内に侵入する手法です。

そして、侵入した先のファイルや機密情報をRSA暗号を使って暗号化します。暗号はキーを増やし続けて長文化するため解読困難です。

暗号化型の種類には「Locky」や「Wannacry」などがあります。更新を行わず古い状態のNASなど、脆弱なセキュリティをターゲットにした例が増え、データの復旧が難しい事態に発展することもあります。

二重恐喝型は、ファイルなどを暗号化した上で、読み取ったデータの公開を告知し恐喝まで行う手口です。

暗号化型同様に、ウイルスを入れたファイルやサイトリンクによってシステム内に侵入したのち暗号化し、窃取したデータをネット上に公開すると脅して身代金を要求します。

二重恐喝型の種類には、「Maze」「REvil」などがあり、医療機関や政府、企業などに高額な身代金を請求しました。また、当初暗号型であった「Locky」は、二重恐喝型に進化しています。

なお、二重恐喝型は、情報漏洩の多くが不正アクセスによるものであることから、2019年以降に増加傾向にあります。なぜなら、個人情報を流出させた企業や個人に科せられるペナルティが重く広く報道されるようになり、その回避心理を利用しており、恐喝が成功しやすいからです。

ランサムウェアに感染すると、個人・企業間の情報流出や重要なファイルの暗号化、ユーザーのアクセス権を制限しバックアップを削除するなどの現象が起こりえます。

また、ランサムウェア感染の目的は、主にデータの窃取や金銭の要求です。その影響の大きさから、要求を飲む以外に早急な対処法がなく、犯罪のビジネス化が成立してしまっています。

ランサムウェアに感染した場合、個人、企業間の情報流出、重要なファイルの暗号化、ユーザーのアクセス権を制限しバックアップを削除するなどの現象が起こります。なお、ランサムウェアの感染対象は、パソコンやネットワーク接続されたハードディスクなどです。

主な感染ルートは幅広く、ネットワークセキュリティの脆弱性を突いた侵入やメールからの感染などが挙げられます。被害は甚大であり、システムへのアクセスをロックするため、データが復旧できずにシステム停止する事故や情報漏洩などが起こりうるでしょう。

ランサムウェアを感染させる目的は、基本的にはデータを盗んだり、金銭を得たりするためです。そのため、扱う情報自体に価値があり、セキュリティ対策が十分になされていないシステムがターゲットにされやすい傾向にあります。そういった機関は資金力が十分にあるからです。

さらに、スピーディな対応や信用回復が求められる機関でもあるために、要求を飲まざるを得ず、金銭搾取の犯罪としてビジネス化しています。

また、金銭以外の被害で最悪のケースとしては、海外の医療現場で手術中止や診療が行えない状況などが挙げられます。

ランサムウェアから身を守るためには、予防が最も重要な手段です。感染する前に、普段から最新情報を知って警戒心を持ち、対策を実施する必要があります。 

ビジネス環境だけでなく、私たちは常にランサムウェアの攻撃対象にあり、いつ攻撃されるかわかりません。これらの対策は、ランサムウェア被害を最小限に抑えるために効果的です。

ここから、ランサムウェア感染のリスクを減らすための4つのポイントについて、対策方法を詳しく解説します。  

ランサムウェア感染からパソコンを保護する最も基本的な手段の一つは、信頼性の高いウイルス対策ソフトの導入です。

ウイルス対策ソフトは、ランサムウェアだけでなく他の悪意のあるソフトウェアを正確に識別し、感染する前にブロックする機能を持っています。さらに、攻撃に対する効果的な対策や感染範囲、影響度の予測なども可能です。

多くの種類のウイルス対策ソフトがありますが、定期的な更新が可能で、リアルタイム保護を提供するパッケージを選択しましょう。

オペレーティングシステム（OS）を最新状態に更新することは非常に重要です。OSの更新設定を確認し、自動更新機能を有効にするなどして、常に最新の状態を維持しましょう。

その理由としては、ランサムウェアはデバイスやハードディスクにおける既知の脆弱性を悪用して侵入するからです。例として、リモートワークの増加とともに、サービスや機器の脆弱性を狙った攻撃が多発しました。

OSの更新を行うことで、定期的に最新のセキュリティパッチがリリースされ、脆弱性が修正されて安全な状態になります。そのため、常にパソコンを最新のセキュリティ状態に保つことが可能です。

不審なメールに添付されたファイルやリンクを開かないようにすることは、ランサムウェアの感染を防ぐ効果的な方法です。

ランサムウェアは、巧妙に偽造された重要通知やフィッシングメールを介して配布されることがあります。

メールの差出人を確認する習慣を身に着け、不審な添付ファイルやリンクが含まれている場合は、開かないで決められた処置をとることが賢明です。

重要なデータの損失を防ぐために、定期的なバックアップの取得は不可欠です。バックアップの重要性は、主にランサムウェア攻撃によるデータの暗号化で、データの復旧が難しいことが理由にあげられます。

バックアップの方法は、外部ドライブやクラウドストレージなど、オフラインで保存する方法がおすすめです。ランサムウェアに感染してデータが暗号化された場合でも、重要な情報を復元できます。

オフラインで行うバックアップの方法について、保存方法や手順の詳細を次の項目から見ていきましょう。

ランサムウェア攻撃からデータを守るには、「3-2-1ルール」のバックアップなど、企業や個人でも実施可能な対策が必要です。 

「3-2-1バックアップルール」は、重要データの安全な保管に効果があります。ランサムウェア攻撃による被害や災害、障害が発生してメインデータが失われる事態になっても、迅速な復旧対応が可能です。

ここから紹介するルールでシステム環境を確保し、適切なバックアップ計画を立てることで、重要なデータの安全性を高めましょう。

データの喪失リスクを低減するために、バックアップを複数用意し、分散して保存することが重要です。単一のデータ保存方法では、元データとバックアップデータの両方を攻撃された場合に対応できなくなる状況を想定しています。

まず、元のデータを2回コピーして、元データとバックアップ用のコピーを2つ、計3つのデータを用意しましょう。

次に、2つのバックアップ用のコピーデータをそれぞれ異なる媒体に保存します。この対策により、一方の媒体がランサムウェア攻撃を受けた場合でも、もう片方の媒体からデータの復旧が可能です。

例えば、一つは外付けハードディスクに、もう一つはNAS（Network Attached Storage）デバイスに保存するなどして、リスクを分散させます。

バックアップ用のコピーデータのうち1つを完全にオフラインで保存します。ネットワークから切断された状態が重要です。

ランサムウェア攻撃は、接続されたネットワーク経由でデータが暗号化されます。最大の脅威を避けるために、少なくとも片方のデータはオフライン保存することがポイントです。

外付けのハードディスクやNASなどへのバックアップが完了したら、それらをネットワークから物理的に切断し、オフライン状態にします。 

LTO（Linear Tape-Open）テープは、大量のデータの長期間保存が可能なため、バックアップ先として有効です。

LTOテープはコスト効率が良く、データの安全性が高い特徴があります。また、オフライン保存にも適しており、ランサムウェア攻撃からデータを守るのに適した保存先です。

RDX（Removable Disk Exchange System）ドライブは、ディスクの取り外しが可能なバックアップツールです。持ち運びにも最適な大きさで、災害時や緊急時にも役立ちます。

さらに、RDXはリムーバブルディスク技術で、外付けハードドライブの利便性とテープドライブの耐久性を兼ね備えています。

ランサムウェア攻撃による被害を最小限に抑えるための有効な手段は、適切なバックアップの実施です。しかし、ランサムウェア攻撃に備えてバックアップを行う際、下記の注意事項があります。 

これらの注意点を踏まえ、ランサムウェアに感染した場合でも、データを安全に保護し、迅速に復旧できるように整備しましょう。 

ランサムウェア攻撃を受けた場合、同期型のクラウドストレージは暗号化される危険性が十分あります。

データのバックアップ先として、同期型クラウドストレージサービスを利用しているケースが大半です。しかし、サービスの利便性が高い一方で、暗号化されたデータがクラウドに同期され、上書きされるリスクもあります。

クラウドストレージの同期機能を利用する場合、重要なデータのバックアップコピーを非同期の環境にも保存することが必要です。さらに、同期ではなくアップロード形式でデータ管理のできるサービスが望ましいでしょう。

バックアップの世代管理は、異なるタイミングでのバックアップデータを複数保持することが、有効な対策です。

ランサムウェア攻撃を受けた場合でも、復帰の必要な特定の時点でのバックアップからデータを復旧できます。世代管理を有効活用するためのポイントは以下の通りです。

企業や個人にとって深刻なセキュリティ被害にあわないために、ランサムウェア感染予防は必須です。感染の影響を最小限に抑えるために、以下の準備をしておきましょう。 

データ暗号化ソフトの導入は、ファイルやデータが盗まれた際に有効です。ランサムウェア攻撃によって重要なデータが盗まれても、暗号化されているため情報が漏洩しません。

ソフトによって暗号化されたデータは、アクセス権保持者のみが閲覧できる仕組みです。そのため、内部感染から発生した情報漏洩のリスクに対して効果があります。

ログ管理ソフトの導入は、ランサムウェア攻撃による不正アクセスや感染時のプログラムの異常動作を検知するために重要です。

定期的にシステム上の活動をログに記録し、分析するログ管理ソフトにより、パソコンやシステムへの不正侵入を早期発見できます。

ランサムウェアに感染してしまった場合でも、イメージバックアップソフトを用意しておくことで、被害を最小限に抑えられます。

イメージバックアップソフトはシステム全体のスナップショットを定期的に作成し、安全な環境に保存が可能です。感染後には、保存したイメージバックアップを使用してシステムを以前の状態に戻すことができるため、データの損失を防ぎます。

ランサムウェアは、企業や個人にとって情報漏洩や業務停止などの深刻なダメージをもたらします。暗号化型・二重恐喝型など、多種多様な攻撃に対して、セキュリティ体制の強化と予防が重要です。 

ランサムウェアから保護するために、これらの対策を実施しましょう。それにより、ランサムウェアのリスクを軽減し、感染した場合でも迅速に復旧することができるようになります。

日々進化する脅威に対して、セキュリティは継続的な努力が求められます。日頃から脅威への対策と情報に注意を払い、常にアップデートし続けることが重要です。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。