ランサムウェアとは、感染するとコンピュータのファイルの暗号化やデータへのアクセスをロックするマルウェアの一種で、解除の代わりに身代金の支払いを要求されます。

感染の主な原因は、ネットワークやリモートデスクトップなどのセキュリティの脆弱性やメールによる侵入があります。企業規模や業種を問わずランサムウェアの攻撃対象となり得ます。

ランサムウェアによりファイルが暗号化され、個人や企業の重要な情報が漏洩し、システムへのアクセスが遮断されるといった被害が発生します。そのため、社内のネットワークやサーバーが使用不能に陥り、生産や事業活動が停止する恐れがあります。

ランサムウェアに感染した際のリスクは、業務やサービスの中断、情報の漏洩、顧客や取引先からの信頼の損失、そして身代金の要求です。

まず、暗号化や端末のロックにより、重要なデータやPCへのアクセスが不可能になり、結果として業務やサービスの提供が停止します。

次に、攻撃者はしばしば機密情報を盗み出し、それを公開すると二重の脅迫をします。このような情報漏洩は、組織の信用を大きく損ない、従業員の個人情報や業務に関する機密が攻撃者によって公開される事例が発生しています。

ランサムウェア攻撃はサービスの中断だけでなく、DDoS攻撃などを通じてさらに企業の運営を妨害し、顧客や取引先などの関連企業からの信頼を失うリスクもあります。例えば、情報の暴露と同時にDDoS攻撃を行い、更なる業務停止のリスクを高めるといった被害も起こりえます。

そして身代金を要求された際には、身代金を支払ったからといって暗号化が解除されることを保証するものではないため、支払いに応じるべきではありません。実際には、身代金を払った後も再び攻撃を受ける企業が存在することが報告されています。

ランサムウェアによるサイバー攻撃の被害報告は、令和4年に230件に達し、令和2年後半からは増加傾向にあります。

被害の発生した企業や団体の規模を見ると、大企業63件、中小企業121件と、規模に関係なく広がっています。業種別では、製造業が75件、サービス業が49件、医療や福祉が20件と、様々な業種で被害が報告されています。

これらの被害の中で、警察が特定できた182件の手口のうち、119件が二重恐喝によるもので、全体の65%を占めています。

さらに、要求された対価について、54件中50件で暗号資産を使った支払いが求められており、これは93%に上ります。

出典元：警察庁　広報資料より

ランサムウェアの被害事例は国内海外で数多く報告されています。

今回はそのうち10個の事例を解説します。

 2023年7月の名古屋港統一ターミナルシステム（NUTS）の事例です。ランサムウェアのサイバー攻撃による障害が発生し、7月4日から6日までの間、コンテナの取り扱い作業が停止しました。名古屋港運協会と愛知県警察本部の調査で、ランサムウェア感染を原因とするシステムトラブルだったと判明したのです。

名古屋港は、特に自動車産業を中心とする中部地方の経済にとって重要な役割を果たす港であり、日本で最も取り扱い貨物量が多い港の一つです。

ランサムウェアによる今回の攻撃は、日本政府が重要と位置づけるインフラの一つである「物流」セクターに影響を与え、短期間で対処し復旧には至ったものの、港湾事業や周辺の物流インフラに影響を与えた重要な事例です。

2023年6月、エーザイの自社のサーバーがランサムウェア攻撃を受けた事例です。エーザイは攻撃を検知した後、影響を受けたシステムへの対処として、特に物流関連の国内外システムを速やかにネットワークから隔離しました。

さらに、攻撃には、ダブルエクストーションと呼ばれる、盗み取ったデータの公開を脅して、金銭を要求する手法でした。

エーザイは、今回のランサムウェアの サイバー攻撃に対処するため、外部の専門家に相談していることも明らかにしています。

 2022年10月、東海国立大学機構は自ら管理するアカウント情報を保持するサーバーがランサムウェアによって暗号化され、身代金を要求されました。このセキュリティ攻撃により、学生及び職員の約48,150件の個人情報が漏洩した可能性があります。

侵入された原因のひとつは、2022年8月に行われたファイアウォール設定の誤りでした。さらに、職員がパスワードの変更を怠ったことも、攻撃を受けた理由の一つです。この攻撃は、学生や職員の重要な個人情報、例えば氏名や生年月日などを含む個人データも対象となりました。

2022年10月、沖縄県那覇市の市立図書館がランサムウェアのサイバー攻撃により重大な被害を受けました。この攻撃でバックアップデータを含む重要な情報が暗号化され、図書の貸し出しサービスが一時的に中断されたのです。

このシステムには、市内の8つの図書館を利用する19万人の利用者データや69万冊の蔵書情報が含まれていました。

この攻撃では、図書館のVPNのファームウェアが定期的に更新されていなかったため、セキュリティの脆弱性が狙われました。

図書館スタッフは、身代金を支払うことなく対処し、クラウドに保存されたExcelファイルを活用して新たな貸し出しサービス管理システムを立ち上げました。このシステムは月末までに全図書館で導入されました。

2020年、カプコン株式会社は、ハッカー集団「Ragnar Locker」によるランサムウェアの攻撃を受け、北米のカプコン法人が使用していた旧型VPN装置を通じて社内ネットワークに侵入され、顧客や売上、取引先情報など約1TBのデータが漏洩しました。採用応募者情報も漏洩の可能性があるとされています。

この事例では、「Ragnar Locker」は、自分たちのウェブサイトで盗んだデータを公開し、カプコンに対して1100万ドル（約11億5000万円）のビットコインでの身代金を要求しましたが、カプコンは支払いを拒否しています。

アメリカ合衆国と英国に400以上の施設を有する医療サービス業界の大手、ユニバーサル・ヘルス・サービス（UHS）の事例です。2020年9月にランサムウェア攻撃を受け、そのシステムが利用不能となりました。

内部のIP電話システムの使用不可や患者のカルテへのアクセス不可になり、救急患者の受け入れが一時停止され、他の病院への転送が必要となってしまいました。その後、システムが完全に回復するまでには3週間を要しました。

この攻撃に関して、犯行グループがUHSに要求した身代金の額や、同社が身代金を支払ったかどうかについての情報は公表されていません。

キヤノンUSAは、2020年8月、ハッカー集団によるランサムウェア攻撃を受けたことを報告しました。

この攻撃の結果、24のドメインがアクセス不能になり、合わせて10テラバイトのデータが盗み出されました。詳細な原因は公開されていませんが、社内で使用されるアプリケーションや電子メールシステムに障害が生じた事例です。

本田技研工業が2020年6月にサイバー攻撃の対象となり世界に展開する30の工場のうち約3割が稼働停止するという深刻な影響を受けた事例です。

全従業員のパソコンの使用が一時的に停止する事態に至りました。

国内外の9つの工場で操業が停止し、生産や出荷が一時的に中断されるだけでなく、ネットワークシステムにも障害が発生しました。

宇陀市立病院が「GandCrab」と呼ばれるランサムウェアによるサイバー攻撃を受けた事例です。感染の原因は、GandCrabを検出できないセキュリティソフトを使用していたこと、また、セキュリティソフトウェアを最新の状態に更新していなかったことです。

その結果、病院が保有する約1133人の患者データが暗号化され、アクセスできなくなりました。

また、感染したコンピュータは、システムログを誤って削除してしまい、感染経路の追跡やバックアップの存在も確認できませんでした。

病院は感染したサーバーとパソコンからランサムウェアを除去し、システムを再設定した後、セキュリティソフトウェアを最新版に更新するなどの対処をして、電子カルテシステムの復旧を完了させました。復旧作業中は紙のカルテを利用して診療活動を継続しました。

株式会社日立製作所が自社の社内システムがランサムウェア「WannaCry」に感染した事例です。社内ネットワークの利便性を優先したセキュリティ設計や、事業継続計画(BCP)がサイバー攻撃への有効な対策となっていなかったことが感染の原因です。

この攻撃は、工場、病院、鉄道を含む様々な産業で使用されるシステムに影響を及ぼし、世界250カ国以上で20万件以上の被害が確認されました。

最初の感染箇所は、ドイツにあるグループ会社の事業所内の電子顕微鏡操作装置であった可能性が高いといわれています。

ランサムウェアによるサイバー攻撃をうけ、感染した際には取るべき対策があります。

ランサムウェアの被害を最小限にとどめ、また今後の防止を図るためにも、感染時の対処方法を理解しましょう。

ランサムウェアによるサイバー攻撃を受けた際には、二次感染を防止し、被害の拡大を防ぐために速やかにデバイスのインターネット接続を断つことが重要です。 端末のLANケーブルを外したり、無線Wi-Fiをオフ にすることで、オフライン化が可能です。

ランサムウェアに感染したデバイスをインターネットから切り離すことで、他のデバイスへの感染拡大を防止できます。

オフラインにしたデバイスをセキュリティ専門家が調査することにより、攻撃に使用されたランサムウェアを特定し、防御策の策定に必要な情報を得ることが可能です。ランサムウェアに関する様々な対処や攻撃防止策の検討において貴重な情報となります。

まずは、感染の経路、影響を受けた範囲、及び外部に流出した可能性のある情報を正確に把握するために、セキュリティの専門業者に調査を依頼しましょう。専門業者は、感染の原因や経路を明らかにするフォレンジック分析を含む詳細な調査を行います。

専門家の助言により、感染したランサムウェアの種類の特定からデータの復旧、さらには将来の感染防止の対処に至るまでサポートを依頼することが大切です。 

ランサムウェアの感染源を明らかにすることは、将来の感染を防ぐ上で非常に重要です。感染源を特定するには、システムログの検証、メールの送受信記録の確認やネットワークトラフィックの分析が必要です。また、ファイルやフォルダの変更履歴の検査やユーザーからの情報収集が必須です。

しかし、これらのプロセスは専門知識を要するため、個人や企業が独自に行うには難易度が高い場合が多いです。そのため、サイバーセキュリティの専門家に依頼するのが好ましいです。

ランサムウェアに感染した際は、直ちに必要な関係者への報告を行うことが重要です。この場合の関係者は、企業の経営層、セキュリティチーム、法務部門などです。さらに、警察や情報処理推進機構(IPA)などの外部機関への報告も必要になります。

情報が外部に漏れてしまった場合、情報の隠蔽や偽りの報告は、2022年4月に施行された改正個人情報保護法に違反し、刑事責任を問われることがあります。法律違反にならないように、透明性を持って正確な情報を報告することが求められます。

また、ランサムウェアなどのサイバー攻撃の防止の対策として、セキュリティソフトの導入や被害を抑えるために定期的なバックアップを実行しましょう。

サイバー攻撃をうけ、ランサムウェアに感染した場合、感染を防止しようと端末を完全にシャットダウンすると、RAMに保存された貴重なログデータが失われる可能性があるため、スリープモードを利用して電源を切らないようにしましょう。

多くの企業がランサムウェア攻撃に遭遇し、身代金を支払うケースが散見されますが、支払いがデータの復旧を約束するものではありません。実際に、支払いを行ったにも関わらず、再度攻撃の対象となる企業もあります。身代金の支払いは避け、攻撃への防止対策を講じるべきです。

万が一、情報漏洩が疑われる場合は、専門の調査業者に相談し、適切な防止の対処をすべきです。また、インシデントが発生した場合には、関係者に迅速に報告することが求められます。

2022年4月に施行された改正個人情報保護法により、事故の隠蔽や虚偽報告を行った場合、刑事罰の対象となる可能性があるため、法律違反にならないような対処が必要です。

ランサムウェアによる サイバー攻撃への防止対策は、あらゆる企業にとって必須となっています。

ランサムウェアのようなサイバー攻撃に対処するには、組織として全社的なセキュリティ対策と個人レベルの防止対策が必要です。

有効なランサムウェア攻撃に対する防止対策を解説します。

個人レベルでできるランサムウェア攻撃への対処として、スパムメールに記載されたリンクはクリックしないことです。また信頼できないサイトに記載されているリンクもクリックは厳禁です。

巧妙なメールによるサイバー攻撃が国内でも増加しています。不審なメールへの対策として関連するキーワードで検索するなどして情報収集しましょう。そして、公式サイトなどで発表されているか確認することで、リスクを軽減できます。

ランサムウェア攻撃は、ファイルに潜伏するマルウェアに感染させることで、ネットワークに侵入します。そのため、不審なサイトからファイルをダウンロードしないことがランサムウェア攻撃への防止対策になります。

ランサムウェアの被害を避けるためには、エンドポイント（ネットワークに接続された機器）の保護が不可欠です。

エンドポイントのランサムウェア防御には、端末への侵入を事前に防ぐ検知と、侵入したウイルスやマルウェアを自動的に排除、またはその動作を阻止する機能が必要です。

このような機能を持つエンドポイントセキュリティ製品がランサムウェアの効果的なセキュリティ対策となります。

警戒心を持ち、不審なメールからの添付ファイルは開かないよう注意しましょう。攻撃者は巧妙に攻撃を仕掛けます。特にメールの内容が疑わしい場合や、見慣れない送信者からのものは開かないことが賢明です。

Windows Office製品のマクロ機能は、悪意のあるソフトウェアの実行に利用されることがあるため、事前に無効化しておくことを推奨します。 

従業員のセキュリティ意識の向上も非常に重要です。会社の全社的セキュリティ対策とは別に個人レベルでのランサムウェアの対策が必要です。

各従業員が、攻撃者の手口に精通し、常に攻撃の可能性があるという認識を持って業務にあたることで、被害に遭うリスクを軽減できます。攻撃の脅威が身近に存在するという意識を持ち、日々の業務を遂行することが推奨されます。

マルウェアやランサムウェアを含む、幅広い脅威の対策としては、セキュリティソフトウェアの利用が効果的です。

もしも不審なリンクをクリックしてしまった場合でも、そのリンク先が既にブラックリストに登録されているサイトであれば、セキュリティソフトウェアによってアクセスが自動的にブロックされます。

さらに、パーソナルファイアウォールのような追加機能を有効にしておくことで、ネットワークの保護も強化されます。 

ランサムウェアによるデータの暗号化への対処として、定期的なバックアップの実施は不可欠です。

ただし、バックアップデータを同一ネットワーク内に保存すると、元のデータと共に暗号化されるリスクがあります。そのため、クラウドサービスなど異なるネットワークへのバックアップが推奨されます。

なお、盗み出されたデータを公開する二重脅迫型ランサムウェアの場合、バックアップがデータ復旧を支援するものの、漏洩したデータの公開を完全には防げないことを理解しておく必要があります。

バックアップは迅速な復旧を可能にしますが、データの漏洩防止策としては十分ではない点を念頭に置くべきです。

ランサムウェア攻撃者の完全な阻止は困難であるため、継続的な通信監視が不可欠です。具体的には、セキュリティベンダーが提供するMDR（Managed Detection and Response）サービスなどを活用し、年中無休でセキュリティを監視することが重要です。

このようなサービスは、攻撃を前提にした防御策を提供し、万が一侵入されても迅速に察知し、対処します。エンドポイントの感染拡大を防ぎ、被害を最小限に抑えることが可能になります。

 OS、ソフトウェア、およびデバイスの常時更新はセキュリティ対策の基本です。ランサムウェアは主に脆弱性を突いて侵入するため、システムやプログラムを最新の状態に保つことが、感染を防ぐ上で極めて効果的です。

ソフトウェア開発者は脆弱性が見つかると迅速に対応し、修正パッチをリリースする傾向にあるため、これらの更新を適時に適用することで、既知のセキュリティリスクを減少させることが可能です。 

ランサムウェアの攻撃は、企業の規模や業種を問わず対象となり、国内および海外での被害事例は増加しています。

ランサムウェアの攻撃の手口も巧妙化しており、企業はランサムウェアのサイバー攻撃に対する防衛策を策定することが必須といえるでしょう。

またランサムウェアに感染すると、企業に甚大な被害をもたらす危険性があるため、感染時の対処法も確立することが重要です。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。

>>無料でのお問い合わせはこちら