ランサムウェアは、悪意のあるソフトウェアであるマルウェアの一種です。中でもランサムウェアとは、感染した機器のデータを暗号化し、それをもとに戻すことと引きかえに身代金を要求するマルウェアを指します。

年々その攻撃手口が巧妙化しており、企業や組織の対策が追いつかず、ランサムウェアの被害が増加しています。

 ランサムウェアは、身代金という意味をもつ「Ransom」と「Software」を合わせてできた造語です。 その名の通り、感染した機器上で身代金として多額の金銭を支払うよう要求する点が最大の特徴です。

身代金は、銀行振込などではなく、暗号資産（仮想通貨）で支払いを求められることが多いため、支払い手段から攻撃者のあとを追うことは非常に困難です。

以前は、暗号化をもとに戻すことを交渉材料として身代金を要求するランサムウェアが主流でした。しかし近年はその手口が多様化しており、「二重脅迫型」とよばれるランサムウェア攻撃が登場しています。

二重脅迫型のランサムウェアに感染すると、身代金を支払わなければ暗号化したデータをもとに戻せないと脅すだけでなく、盗んだ情報を公開するとして、二重で脅迫されます。

年々ランサムウェアの手口は巧妙化しており、新しい攻撃手口のランサムウェアが現れています。中でも被害が大きく流行したランサムウェアは、攻撃内容の特徴などから名前がつけられ、広く注意喚起されます。

こちらでは、代表的なランサムウェアの種類について説明します。

 Cryptowallは、CryptoLockerとよばれるランサムウェアが前身となっています。CryptoLockerは、主にメールを感染経路とし、感染した端末の共有ネットワークドライブ、USBドライブ、一部のクラウドストレージドライブ内にあるファイルなどを暗号化し、身代金を要求するランサムウェアです。

 CryptowallもCryptoLockerと同様の特徴をもちますが、攻撃手法がより高度で検知が困難になるように改良されています。主な感染経路はメールであり、メールに添付された請求書や履歴書などに装った圧縮ファイルを解凍することで感染します。

また、Webサイト上に悪意のある広告を掲載し、広告をクリックさせることで感染を誘導する事例も報告されています。

PETYAは、Windowsのコンピュータで動作するランサムウェアです。2016年に確認され、2017年にはPETYAのコードを発展させたランサムウェアであるGoldenEyeが登場し、世界中で猛威をふるいました。

PETYAは、特定の重要なファイルのみを暗号化する旧式のランサムウェアとは異なり、ハードディスク全体をロックして端末を使えないようにする機能をもつ点が特徴です。

具体的には、 WindowsのMBR（ マスターブートレコード）を改ざんし、コンピュータを起動不能にする機能をもっています。MBRはコンピュータの起動に必要な情報が記録されており、コンピュータの起動時に最初に読み込まれるものです。

そのため、PETYA・GoldenEyeに感染すると、データを暗号化されるだけでなく、コンピュータ自体をロックされる被害も確認されています。

 WannaCryは、2017年に世界中で流行したランサムウェアです。Windowsのコンピュータを標的とし、身代金を暗号資産（仮想通貨）のビットコインで要求しました。

 WannaCryの特徴は、ワーム型ランサムウェアである点です。ワームとは、宿主となるファイルを必要とせずに自己増殖可能なマルウェアを指します。 そのため、WannaCryに感染すると、感染した機器が存在するネットワーク上でさらに感染が拡大し、深刻な被害をもたらしました。

 WannaCryは、Windowsの脆弱性を悪用することで感染拡大します。そのため、Microsoft社が公開していたセキュリティパッチを適用しておらず、セキュリティ対策が不十分だった企業を中心として、 WannaCryの被害が確認されています。

ランサムウェアは、標的のコンピュータに侵入すると、段階的に攻撃をしかけていきます。

攻撃フェーズは、「脆弱箇所からの侵入」、「遠隔操作開始」、「情報の取得・持ち出し」、「ランサムウェアの展開」の4ステップに分けて考えることができます。

攻撃者は、まず企業や組織のネットワーク、およびネットワーク上の機器における脆弱性を探し、侵入を試みます。ランサムウェアの侵入口として、VPN（仮想専用線）の脆弱性や、RDP（リモートデスクトッププロトコル）の脆弱性がよく狙われます。

また、メールに不正なURLを挿入したり、ランサムウェアを仕込んだファイルを添付したりすることで、ランサムウェアを含むファイルのダウンロードや実行を誘導する方法もあります。

攻撃者は、企業や組織の内部ネットワークへ侵入したあと、遠隔操作ツールを用いて企業ネットワーク内の機器を遠隔操作することを試みます。また、内部ネットワークでさらなる感染拡大や情報収集をするために、管理者権限などの強力な権限を奪取しようとします。

不正なツールで遠隔操作などの攻撃活動を行うと、ウイルス対策ソフトなどに検知・ブロックされる可能性が高いです。そこで、ランサムウェアは検知・ブロックを逃れるために、もともと機器に標準で備わっている正規のツールを悪用して攻撃活動を行うことがよくあります。

攻撃者は遠隔操作の土台を作ったあと、暗号化するファイルを見つけるために、ファイル拡張子で探索するなどして情報を収集します。

近年は、暗号化されたデータの復旧だけでなく、盗んだデータの外部公開を交渉材料として脅す二重脅迫型のランサムウェアが確認されています。そのため、攻撃者は二重の脅迫に利用できそうな機密情報を取得し、攻撃者が管理するサーバに持ち出すことがあります。

攻撃基盤を整え、身代金の要求をするために必要な情報がそろうと、攻撃者はランサムウェアを展開します。

データの暗号化などを行い、攻撃対象の端末にランサムノート（身代金を要求し、支払い方法や支払わない場合の被害などを記した文書）を表示させます。

続いて、実際にあったランサムウェア攻撃の被害事例を紹介します。

 2023年3月、映像制作業を展開する「株式会社放送映画製作所」にて、ランサムウェアの被害が発生しました。本事例は、同社のサーバに障害が発生し原因を調査したことがきっかけで、ランサムウェア攻撃の被害が発覚しています。

初期調査にて、同社のサーバへの不正な侵入と内部データのロックが確認されました。ロックされたデータフォルダには、番組制作、配信業務など業務に関わる情報が含まれていたとのことです。

 外部機関による調査の結果、データ流出の疑いを完全に払拭することは困難だが、調査においては、データが社外に流出した証跡は検出されなかったことが発表されています。

2022年2月、 トヨタ自動車の主要取引先である「小島プレス工業」がランサムウェアに感染したことが発表されました。

同社は社内サーバの障害を検知したため、ネットワークを遮断し安全確認を行いました。その後サーバを再起動すると、データが暗号化されており、端末上に身代金の支払いを要求する旨が記載された脅迫メッセージが表示されたとのことです。

被害の拡大を防ぐためにネットワークを遮断したことで、同社は業務で必要なシステムが使用できなくなりました。それが原因で、トヨタ自動車は自動車の部品の調達に支障をきたし、すべての工場の稼働を一時停止する事態に陥りました。

リモート接続機器の脆弱性を悪用され、不正アクセスにつながったと発表されています。

2021年8月、製粉業や食品業を展開する「株式会社ニップン」は、同年7月に公表したシステム障害について、同社サーバへの不正アクセスが原因であったことを発表しました。この攻撃により、同社が保管する企業情報や個人情報の一部が流出した可能性があるとしています。

一度の攻撃で大半のサーバが同時攻撃されたため、BCP（事業継続計画）を大きく上回る被害が発生したと同社は述べており、侵入されたサーバの記憶域の全部もしくは大部分が暗号化されました。

また、感染拡大を防ぐために、全サーバの停止と社内外のネットワークの遮断を行ったため、社内システムやファイルサーバへのアクセスが不可になりました。

ランサムウェア攻撃から企業や組織を守るためには、感染経路を理解し、適切な対策をとる必要があります。

こちらでは、代表的な感染経路を6つ紹介します。

ウェブサイト上で、ランサムウェアを埋め込んだファイルやソフトウェアのダウンロードを促し、ランサムウェアに感染させる手口があります。

中には、正規のサイトを改ざんすることで、閲覧しただけでランサムウェアをインストールしようとする悪質な手口もあり、見なれたウェブサイトへのアクセスであっても注意が必要です。

USBメモリや外付けのHDDなどの外部デバイスを感染経路として、  ランサムウェアに感染するケースがあります。

外部デバイスの中には、接続しただけで指定された処理を自動実行するオートラン機能を備えているものがあります。この機能を悪用することで、パソコンにUSBメモリを接続しただけで自動的にランサムウェアがインストールされます。

メールにランサムウェアを埋め込んだファイルを添付し、添付ファイルを開くことでランサムウェアに感染させる手口があります。メールの配布方法によってさらに二種類の攻撃手法に分類できます。

「標的型攻撃」は、特定の企業や組織を狙ってメールの差出人や件名、本文などを偽装したメールを配布する攻撃です。「ばらまき型攻撃」は、明確な標的を持たず、機械的にメールでランサムウェアをばらまく攻撃です。 

メール内に無害にみせかけた不正なリンクを仕込み、クリックさせることでランサムウェアに感染させる手口があります。

メールの受信者に不審を抱かせずにクリックを誘導するために、取引先からのメールに偽装したり、銀行やカード会社などからのメールに偽装して重要メールと思い込ませたりすることがあります。そのため、一見安全そうにみえるメールであっても注意が必要です。

ランサムウェアの感染経路として、リモートデスクトップの脆弱性を悪用されたケースが多く報告されています。

リモートデスクトップは、コンピュータの画面を別の端末画面に転送して表示させるために、RDP（リモートデスクトッププロトコル）という技術を利用します。攻撃者は、RDP利用時に使用するユーザIDやパスワードを盗み、内部ネットワークに侵入してランサムウェアをばらまくことがあります。

また、RDPの脆弱性が悪用され、ランサムウェアに感染するケースもあります。

ランサムウェアの感染経路として、もっともよく狙われるのが VPN機器です。VPN機器の脆弱性をついた攻撃が多く報告されています。

VPN（仮想専用線）は、物理的に離れた場所にある拠点間を専用の仮想的なネットワークでつなぐ技術です。VPN利用時は、専用のルーターやスイッチを利用するため、こうした専用の機器自体がランサムウェアに感染すると、一気に感染が拡大するリスクがあります。 

ランサムウェア攻撃に対して、どのような対策をとればよいのでしょうか。こちらでは、個人が行うべき対策と組織が行うべき対策に分けて説明します。 

まずは、個人が行うべき対策を紹介します。簡単に実践できる対策ばかりですので、日ごろから意識して取り組みましょう。

フィッシングメールや不審なウェブサイト経由で、ランサムウェアに感染する事例が報告されています。そのため、メールの送信者や文面、添付ファイル、ウェブサイトのドメイン名などには注意を払い、心当たりがない場合や不審な点がある場合はクリックしないようにしましょう。

知人や取引のある企業等からのメールに見えるものであっても、送信元や文面が偽装されているケースがあります。また正規のウェブサイトに見えるものであっても、正規のウェブサイトが改ざんされているケースがあります。 

また、組織内に不審なメールなどを見つけた場合の報告先が用意されている場合は、報告するよう心がけましょう。同様のメールが他の人にも届いている可能性があるため、報告することで組織内での注意喚起につなげることができます。

無害なソフトウェアを装って不正なプログラムをダウンロードさせ、ランサムウェアに感染させる手口が確認されています。

そのため、自己判断でソフトウェアをインストールせず、組織のシステム管理者の管理下で行うようにしましょう。 

また、システム管理者に許可されたソフトウェアをダウンロードする際は、正規のウェブサイトや組織が案内しているリンクからダウンロードしましょう。

リモートデスクトップサービスやVPNの利用時に用いるパスワードが脆弱であったために内部ネットワークに侵入され、ランサムウェア攻撃の被害にあう事例が確認されています。

そのため、組織が定めた規則に準拠したパスワードを設定し、適切に管理しましょう。パスワードが初期設定のままであったり、推測されやすいものであったりする場合は、すみやかに、大文字・小文字・数字・記号を組合せた、複雑性が高く、長い文字列に変更しましょう。

ランサムウェア攻撃の手口は、日々巧妙化しており、ウイルス対策ソフトが検知・ブロックできないケースも存在します。

そのため、組織による技術的なセキュリティ対策だけに頼らず、個人がセキュリティリテラシーを向上させることが大切です。組織内で展開されるセキュリティ教育コンテンツには積極的に取り組み、ランサムウェアをはじめとしたサイバー攻撃に対する理解を深めましょう。

続いて、企業や組織レベルで実践すべきランサムウェア攻撃への対策を説明します。組織のセキュリティ担当やシステム管理者の場合は、未実施の対策がないか見直してみましょう。

ランサムウェアの感染拡大を防ぎ暗号化の被害範囲を抑えるために、ユーザアカウントなどに付与するアクセス権限は必要最小限に設定しましょう。

特に、管理者権限は攻撃者に悪用されやすいため、必要最小限のメンバーに絞って権限を付与し、有効期限を設けるなどして、より慎重に管理することをおすすめします。

また、各ユーザの端末や組織内のサーバからアクセス可能なネットワークの範囲を必要最小限に制限することで、ランサムウェアが感染拡大するリスクを低減しましょう。

ランサムウェア攻撃への対策は、組織のセキュリティ担当だけでできるものではありません。会社全体で必要な対策はセキュリティポリシーとして明文化して公表し、各部門、各個人がルールとして確実に対策を実施するように周知しましょう。

ランサムウェア攻撃にあわないための対策だけでなく、被害にあった場合の対応についてもガイドラインなどで定め、ランサムウェア感染時に迅速に対応できるよう備えるとよいでしょう。

ランサムウェア感染後にシステムを復旧できるように、定期的にデータのバックアップをとりましょう。

ランサムウェアの中には、感染した機器につないでいる外部デバイスや同じネットワーク上のバックアップサーバを探索して暗号化し、復旧できないように工夫されたものもあります。そのため、バックアップデータは 「3-2-1ルール」で保存することが推奨されます。

「3-2-1ルール」とは、「データを3つ作成」して「２つの異なるメディアで保存」し、「1つは別の場所で保管」することです。 「3-2-1ルール」で保存することで、バックアップデータにまでランサムウェア感染の被害が及び復旧の手段がなくなるリスクを低減することができます。

攻撃者がリモートデスクトップサービスなどのアカウントなどをのっとり内部ネットワークに侵入することで、ランサムウェアに感染することがあります。

こうした攻撃からアカウントを守るために、多要素認証の導入などによる認証機能の強化をしましょう。また、ユーザの過去のアクセス履歴などを分析してリスクを判定し、リスクありと判断した場合は認証をブロックする「リスクベース認証」を積極的に活用するとよいでしょう。

ネットワークやサーバの障害をきっかけにランサムウェア感染に気づいたという事例が報告されています。そのため、ネットワークのトラフィックやネットワーク機器のリソースなどを監視し、異常を検知した場合はアラートを通知するようにしましょう。

異常な動きを早期に発見することで、感染拡大の防止につながります。また、ネットワーク機器のログを収集して監視・分析することは、ランサムウェア感染時の被害状況の確認や被害範囲の特定にも役立ちます。

ファイアウォールやIPS・IDSにて、不審な通信を検知しブロックするように設定しましょう。IDS・IPSは、通信の監視や管理者への通知、不審な通信のブロックを行うシステムです。

また、不審なメールをブロックするために、SPF・DKIM・DMARCといったメール送信ドメイン認証機能を導入しましょう。メール送信ドメイン認証機能とは、  送信元メールサーバのIPアドレス認証や電子署名のしくみを用いて送信者の身元を確認し、メールが正当なサーバから送信されたものであるか検査する技術です。

ビジネス用のメールソフトには基本的にメール送信ドメイン認証機能が備わっているため、組織で利用しているメールソフトで本機能が有効になっているか確認しましょう。

メールや外部デバイス経由でランサムウェアに感染することがあるため、各個人のセキュリティリテラシーを高めることが大切です。

ランサムウェア攻撃の対策として日ごろから注意すべきことや、感染した場合の対応方法・報告先などについて整理し、組織内で教育しましょう。また、フィッシングメール訓練を定期的に行うことで、不審なメールを見極める力を向上させ、不審なメールへの警戒心を高めるとよいでしょう。

ランサムウェア対策ソフトを導入することで、ランサムウェアを含むマルウェアの検知・ブロックをすることができます。

マルウェアの検知方法は主に二種類あります。パターンマッチング型は、あらかじめマルウェアのパターンファイルを登録し、パターンに合致するプログラムを検知する方法です。パターンマッチング型を利用する場合、パターンファイルは常に最新のものに更新して利用しましょう。

振る舞い検知型は、 登録されたパターンにとらわれず、通常と異なるプログラムの振る舞いなどに注目し検知する方法です。パターンマッチング型は、未知のランサムウェアを検知できない可能性があるため、振る舞い検知機能も備えたウイルス対策ソフトを導入するとよいでしょう。

セキュリティ対策の基本として、機器のOSやソフトウェアに対して公開されたパッチはすみやかに適用し、常に最新状態を保ちましょう。

リモートワークが増加して以降、リモートデスクトップサービスやVPN機器の脆弱性を狙った攻撃が活発化しています。そのため、リモートデスクトップサービスやVPN機器については、特に注意を払ってパッチを管理しましょう。

SOC（セキュリティオペレーションセンター）とは、 ネットワークやシステムの監視やログ分析を行い、 サイバー攻撃の検出や対応策の提言を行う専門組織です。組織内にSOCを設置する、あるいはSOC機能を外部に委託することで、より高度なサイバー攻撃対策を目指すことができます。

システム担当者や情報システム部門でセキュリティ対策を実施するには限界があります。そのため、サイバー攻撃の検出や対策検討の専門部隊を確保し、年々巧妙化するサイバー攻撃に備えましょう。

ランサムウェアに感染した場合、その後の対処で被害の範囲や復旧までの速度が変わります。こちらでは、ランサムウェア感染後に実施すべき対応策を紹介します。 

感染端末の隔離は、感染拡大を防ぐために重要な初動対応です。ランサムウェアに感染したことが判明したら、すみやかに端末を社内ネットワークやインターネットから切断しましょう。

感染端末内に復旧に必要な情報が残っていることがあります。また、 被害状況や感染経路の調査に必要な情報が残っていることもあります。

そのため、感染端末の電源は切らないようにしましょう。

ランサムウェア攻撃の被害にあったら、自社を管轄するサイバー犯罪相談窓口または警察署に相談・通報してください。警察では、事件捜査を行うほか、対策に必要な情報の提供、他の企業への注意喚起などを行います。 

組織内にSOCなどのサイバー攻撃に関する専門家がいる場合は、すみやかに相談しましょう。組織内に専門組織がない場合は、取引のあるセキュリティベンダやIPAの相談窓口、JPCERT/CCなどのセキュリティ専門家に連絡し、感染後の対処法について指示を受けましょう。

他の端末がランサムウェアに感染したり、攻撃者が社内ネットワークに侵入して攻撃活動をしたりしている可能性があります。

全社的な被害状況を把握し適切な対策をとるために、必要な関係者にランサムウェア感染の情報を展開し、組織全体で連携しながら対応を進めましょう。

ランサムウェアの種別によっては、暗号化されたデータの復元ツールが公開されています。初動調査にてランサムウェアの種別を特定できたら、対応する復元ツールを調査し、存在する場合は活用しましょう。

「3-2-1ルール」で保存したバックアップのうち、ランサムウェア感染の疑いがなく最も新しいバックアップデータを利用して、システムの復旧を試みましょう。 「3-2-1ルール」は、 3つのバックアップデータを作成し、それらを2つの異なる媒体に保管し、1つは別の場所に保管するという、バックアップ取得時の推奨方法です。

身代金は支払わないことが推奨されています。身代金を支払ったとしても、暗号化されたデータが復元される保証がなく、感染経路や被害状況の解明ができるわけでもないためです。

また支払い後に、別の攻撃や支払い要求を受けるリスクがあるため、身代金要求は無視するべきといえるでしょう。

感染した端末の隔離や、警察への通報、セキュリティ専門家への相談など初動対応としてすみやかに実施すべきことが完了してから、ランサムウェアの特定・駆除を行いましょう。

ウイルス対策ソフトやウイルス駆除ツールを活用したり、場合によってはコンピュータを初期化したりすることでランサムウェアを駆除します。

ランサムウェアは、メールやウェブサイト、VPN機器の脆弱性など様々な経路で感染します。そのため、ランサムウェア攻撃への対策は個人と組織の両面で実施することが重要です。

個人ができる対策として、不審なメールやウェブサイトに注意し、管理者の許可なしにソフトウェアをインストールしないことがあげられます。また、強力なパスワードの設定やセキュリティ教育を受けることも大切です。

組織レベルでは、ランサムウェア対策ソフトや不審な通信のブロックシステムの導入、ネットワーク監視といった技術的な対策が効果的です。そのうえで、セキュリティポリシーの確立やランサムウェア攻撃対策に関する教育の実施といったソフト面の対策をすることが重要となります。

万が一ランサムウェアに感染した場合は、身代金を支払わず、感染端末の隔離や警察への通報を迅速に行い、ランサムウェアの特定・駆除を行いましょう。 

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。