ランサムウェアとは、非常に危険なマルウェアの一種で、コンピュータやネットワークに侵入し、感染した端末やシステムをロックし、データを暗号化および窃取します。復旧と引き換えに、暗号通貨などを利用して身代金（ランサム）を要求し、応じない場合はデータの削除や公開をすると脅迫してきます。

近年、ランサムウェアによる被害は世界中で拡大しており、個人に加え、政府、医療、金融、教育機関など、大企業や機密性の高い組織がしばしば攻撃されています。身代金を支払った団体数は減少する一方、攻撃数は増加し、2023年には被害総額が過去最高の1,650億円に達しています。

ランサムウェアに感染したら、次のような深刻な被害が発生する可能性があります。詳しく見てみましょう。

ランサムウェアに感染すると、金銭的な被害が多岐にわたり発生します。

攻撃者は、復旧と引き換えに数万円から数億円にも及ぶ身代金を要求します。これを支払ってしまうと大きな金銭的被害になります。その上、支払っても復旧できないケースは1/3にも上ります。さらに、被害者が脅迫に屈することで攻撃者の動機付けとなり、ランサムウェア攻撃がなくならない原因ともなります。

また、データ・システム復旧、対策チームの組織化や機器の交換などのセキュリティ強化、社内教育など、原状回復と再発防止策のためにも大きな費用がかかります。

ランサムウェアに感染すると、コンピュータやシステムが停止し、ファイルやデータを利用できなくなるため業務が遅延・停止してしまいます。特に企業や組織にとっては多大な損害となり、生産性の低下や顧客満足度の低下にもつながります。日本でも、日立製作所やホンダ自動車など社会的影響の大きな企業が被害に遭っています。

ランサムウェアに感染すると、データが暗号化されるだけでなく、顧客・取引先・従業員の情報、機密情報や知的財産など、重要な情報が窃取される可能性があります。攻撃者が盗んだデータをインターネット上で公開したり、販売したりする危険もあります。

特に、金融機関などの重要な個人情報を取り扱う企業は、高度なセキュリティとデータ保護を要求され、情報漏洩が起こると、顧客の信頼を失い、企業の評判を落とします。既存顧客が離れたり、新規顧客の獲得が難しくなったりすることもあります。

ランサムウェアに感染して情報漏洩すると、プライバシーの侵害や知的財産権の侵害などが発生して、法的な責任を問われる可能性があります。

民法、個人情報保護法、知的財産法、EUの一般データ保護規則（GDPR）など、情報保護関連の法律は多数あり、違反した場合は、行政処分や罰金、裁判費用、和解金や損害賠償金の支払いなどのリスクがあります。

ランサムウェアは、さまざまな方法でコンピュータやネットワークに侵入します。

警視庁の2023年3月の報告「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、感染経路は、62%が「VPN機器からの侵入」、19%が「リモートデスクトップからの侵入」、9%が「不審メールやその添付ファイル」となっており、外部からの接続機器の脆弱性や認証情報の弱さを突いた侵入が81%と大半を占めています。

この主要な感染経路3つについて、詳しく解説します。

VPN機器とは、インターネット上に、仮想プライベートネットワーク（Virtual Private Network）を構築するための機器です。この機器により、リモートワークや分散型ネットワークなどにおいて、安全な経路を使ってデータをやり取りできますが、脆弱性を突いてランサムウェアの感染経路となる可能性があります。

リモートデスクトップとは、インターネット経由で、遠隔地にある別のコンピュータを操作することができる機能です。この機能により、自宅や外出先からでもオフィスのコンピュータにアクセスできるため、リモートワークにも便利ですが、ランサムウェアの感染経路となる可能性があります。

攻撃者は、リモートデスクトップのRDP（Remote Desktop Protocol）などをスキャンして開放されているポートを見つけます。未使用のアカウントや脆弱なパスワード、未更新のソフトウェアなどがあると、その脆弱性を突かれて侵入してきます。ファイアウォールやアンチウイルスソフトなどセキュリティ対策を無効にする場合もあります。

Eメールは、スマホやSNSの普及により減少傾向にあるものの、インターネットの利用者の8割が日常的に使用し、ビジネスや学会など公式な場でも使用されている主要なコミュニケーションツールですが、ランサムウェアの感染経路となる可能性があります。

攻撃者は、偽装した差出人や件名でEメールを送り、リンクや添付ファイルを開かせてランサムウェアをダウンロードさせます。スパムフィルタやセキュリティソフトなどセキュリティ対策を回避する場合もあります。

ランサムウェア感染による被害は甚大です。攻撃者はあらゆる手段を使って感染を試みます。ランサムウェアから身を守るためには、できる限りの予防策を講じることが非常に大切です。

ランサムウェアの感染経路で最も多いのがVPN機器からの侵入です。VPN機器のセキュリティ強化は最重要事項として優先して行いましょう。次のような対策があります。

VPN機器を初期設定や弱いパスワードのまま使用すると、攻撃者に簡単に推測され侵入される危険があります。パスワードは、長く複雑なものにすること、複数のサービスやVPN機器で使い回さないこと、定期的に変更することが必要です。

VPN機器でも脆弱性やバグが発見されることがあります。攻撃者はその穴を突いてVPN機器に侵入するため、定期的にアップデートしたりパッチを当てたりして修正することが必要です。

VPN機器に接続できるユーザーが多いと、ランサムウェアに感染した場合の被害が拡大します。アクセス権限を付与するのは必要なユーザーのみに制限し、同時に不正な接続がないか監視しましょう。

Eメールは、ランサムウェアの主な感染経路のひとつです。巧妙に偽装された不審なメール、添付ファイルやリンクは、絶対に開いてはいけません。差出人名やEメールアドレス、件名をよく確認し、開く前にウイルススキャンを実施するといいでしょう。差出人に事実確認したりメール自体を削除するのも有効です。

特に、警察・裁判所・市役所などの公的機関からの振込や罰金の通知、金融機関からの不正アクセスの報告、インターネット業者からのウイルス感染の通知など、正当性や緊急性を理由に、迅速な対応を要求するものが多いので、注意しましょう。

ランサムウェアに感染した場合、迅速かつ適切な対応が必要です。そのためには、予めインシデント対応計画を策定し、セキュリティチームを組織化しておくことが非常に重要です。また、定期的な見直しや訓練により、最新の対応ができるようにしておきましょう。

なお、インシデント対応計画とは、感染した場合の対処方法と手順、責任者と連絡先などを明確にし、感染の発見や拡大防止、復旧作業などを効率的に行うためのものです。セキュリティチームとは、ランサムウェアに関する専門知識や技術を持ち、インシデント対応計画を迅速に実施できるメンバーで構成します。

ランサムウェアの感染は、スタッフの知識不足により発生することもあります。全スタッフを対象に、レベルやニーズに合わせて、ランサムウェアの基礎知識、危険性、主な感染経路、VPN機器・リモートデスクトップ・Eメールの安全な使い方、感染予防策や感染時の対処法などについて、教育することが大切です。

大切なデータやシステムは、定期的にバックアップしておきましょう。感染時にバックアップから復旧できる場合があります。外付けハードディスクなど物理的な媒体や、オフラインやクラウドサービスなど感染に影響を受けない別の場所にコピーします。常に最新版を保持するため、定期的に確認することも大切です。

ネットワークの監視とは、専用のツールやシステムを使用してネットワークの稼働状況を観察し、異常な動きや攻撃の兆候などを検知することです。これにより、ランサムウェアの侵入を早期発見して対応することで、被害を最小限に抑えることができます。

ユーザー権限の厳密化とは、ユーザーに付与するアクセス権限を必要最低限に抑えることです。管理者権限や共有フォルダの操作・アクセスを制限したり、パスワードの認証を強化したりします。これにより、ランサムウェアの実行や感染拡大を防ぐことができます。権限の確認や変更・削除を定期的に行うことも大切です。

ランサムウェアの検知・駆除、データやファイルの保護・バックアップ・復元ができる、ランサムウェア対策ソフトを導入しましょう。これにより、ランサムウェアの感染を防ぎ、被害を最小限に抑えることができます。定期的にアップデートを行い、常に最新の脅威に対抗できるようにすることが大切です。

ランサムウェア対策に使用するOS、ソフトウェア、ツール類は全て、攻撃者が脆弱性やバグを悪用して侵入しないように、定期的にアップデートを行い、常に最新の状態に保つことが重要です。

万が一ランサムウェアに感染してしまった場合は、どのように対処すべきでしょうか。慌てて身代金を払うのは、攻撃者の思惑通りです。次に挙げる方法で、落ち着いてひとつずつ対処しましょう。

ランサムウェアに感染したら、最初にすべきことは、感染した端末や機器とネットワークを遮断することです。ランサムウェアの感染拡大を防ぐため、ネットワークケーブルを抜く、無線LANやBluetoothの電源を切る、ファイアウォールやルータを使うなどの方法で、速やかに遮断しましょう。

ランサムウェアに感染したら、感染した端末や機器の内容や状況を確認して記録し、ランサムウェアの種類を特定して影響範囲や復旧方法などを判断します。スクリーンショットや写真、文書などで、ランサムウェアのメッセージや画面、暗号化されたファイルやフォルダ、システムログや設定などを保存しましょう。

ランサムウェアに感染したら、警察への被害報告も必要です。最寄りの警察署または各都道府県警察のサイバー犯罪窓口に通報して、感染内容の記録やログなどの証拠を提出しましょう。警察の捜査や摘発、再発防止に協力できます。警察は、事件の捜査だけでなく、ランサムウェアに関する情報やアドバイスも提供してくれます。

ランサムウェアに感染したら、ランサムウェアの除去ももちろん必要です。次のような方法で除去して再感染や再暗号化を防ぎましょう。

感染した端末や機器にウイルス対策ソフトをインストールします。スキャンして検出されたランサムウェアを削除します。ウイルス対策ソフトは定期的にアップデートして、常に最新の状態を保つことで、新しい脅威に対応できます。

感染した端末や機器のデータをバックアップし、OSやソフトを初期化、再インストールします。準備などに手間はかかりますが、ランサムウェアを完全に除去できます。

ランサムウェアに感染したら、データの復号も大切です。次のような方法で可能な限り復号してみましょう。

感染した端末や機器に、感染前に作成したバックアップデータを戻して、バックアップから復元する方法です。バックアップツールを利用するといいでしょう。

また、ランサムウェアの暗号化を解除できる復号ツールを利用する方法があります。感染したランサムウェアの種類やバージョンに対応した復号ツールを探し、インストールして実行する必要があります。復号ツールを探す場合は、必ず信頼できるソースから入手しましょう。

ランサムウェアに感染してしまった場合、絶対にしてはいけないこともあります。いざと言う時のために、次に挙げる禁止事項を覚えておきましょう。

ランサムウェアに感染しても、感染後にデータ・バックアップ、つまりデータやシステムを別の場所にコピーして保存してはいけません。

感染後のデータ・バックアップにより、バックアップ先にもランサムウェアが感染する危険があり、感染拡大や再感染の原因になります。また、感染前のバックアップを上書きしてしまい、データ復旧を難しくする可能性もあります。それを目的に、攻撃者がメッセージでデータ・バックアップを誘導することもあります。

ランサムウェアに感染しても、感染した端末をすぐに再起動してはいけません。

感染した端末の再起動により、データを消失したり、感染内容が不明になったりする危険があります。攻撃者がデータ復旧を不可能にし、感染の証拠を隠すために、再起動時にデータやメッセージを削除するようプログラムされたランサムウェアがあります。

ランサムウェアに感染しても、警察や専門家に相談する前に、すぐに身代金を支払ってはいけません。

身代金を支払っても、データが復旧できる保証はありません。攻撃者は身代金を受け取っても、復号化のキーを提供しない、偽のキーを提供するなどで、被害者を騙すことがあります。また、支払いに応じてしまうと、脅迫に屈しやすい攻撃対象と認識され、さらなる利益のために再攻撃される恐れがあります。

ランサムウェアは、感染により金銭被害や業務停止、情報漏洩や法的リスクなど深刻な影響を受ける、非常に危険なサイバー攻撃です。ランサムウェアから身を守るために、できる限りの予防策を講じることが非常に重要です。また、万が一感染してしまった場合は、心を落ち着けて、迅速かつ適切に対処することが大切です。

米国政府が提供しているランサムウェア情報サイトも有益です。参考にしてみてください。

CISA（Cybersecurity and Infrastructure Security Agency）：ランサムウェアのガイドライン・リソース

StopRansomware.gov：ランサムウェア情報のポータルサイト

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。