ランサムウェアとは? 攻撃の流れや感染経路、対策方法などを詳しく解説
組織の重要なデータを窃取・暗号化し、身代金を要求するサイバー攻撃「ランサムウェア」。2023年の、国内のランサムウェアの被害件数は197件と高い水準を維持しており、依然として企業や官公庁、医療機関や教育機関など多くの組織にとって脅威となっています。この記事では、そんなランサムウェアのリスクを抑えるために、ランサムウェアの特徴や攻撃の流れ、感染経路や被害防止策、万が一感染してしまった場合の対処法などを詳しく解説します。
ランサムウェアとは?
ランサムウェアとは、攻撃の解除と引き換えに金銭を要求するサイバー攻撃のことです。身代金を意味する「ランサム」と「ソフトウェア」を組み合わせた造語であり、身代金を目的とするサイバー攻撃は、基本的にランサムウェアに含まれると捉えて差し支えありません。
手口としては、組織内にあるファイルを暗号化して利用不可能な状態にし、そのファイルを復号することを引き換えに、組織へ金銭を要求します。攻撃に遭った組織は、業務で扱うファイルが暗号化されたことで業務停止状態に追い込まれ、金銭的損失および社会的信用の失墜など、甚大な被害を受けてしまいます。
また、近年ではファイルの暗号化に加えてファイルの窃取も行い、そのファイルを暴露すると脅して身代金を要求する「二重恐喝(ダブルエクストーション)」も増えてきています。この手口により、実際に機密情報が暴露され、情報漏洩に至った国内企業も存在します。
そのほか、初期のランサムウェアは、攻撃者が不特定多数のユーザーにフィッシングメールを送り、添付ファイルやWebサイトのリンクを開かせてランサムウェアに感染させる「ばらまき型ランサムウェア」が一般的でした。しかし昨今は、あらかじめ特定の組織に狙いを定め、その組織や関連する企業へフィッシングメールを送ったり、VPN機器などの脆弱性を悪用したりして感染させる「標的型ランサムウェア」が主流となっています。
ランサムウェアの攻撃の流れ
初期侵入
前述の「標的型ランサムウェア」の攻撃は、主に「初期侵入」「内部活動」「ファイル持ち出し」「ランサムウェア実行」という4つの段階に分けられます。「初期侵入」では、PCやサーバーをランサムウェアに感染させることを目的に、まず組織のネットワークへの侵入を試みます。侵入する方法としては前述の通り、フィッシングメールやVPN機器などの脆弱性の悪用が挙げられます。
内部活動
ネットワークへの侵入に成功すると、続いて「内部活動」が行われます。攻撃者は遠隔操作ツールを用いてネットワーク内にあるPC等を遠隔操作し、管理者権限などの獲得を試みます。そのなかで、検知や監視を逃れるために攻撃者が悪用するのは、組織が利用するクラウドストレージなど正規サービスのツールが多いとされています。このように、標的とする組織で利用されているツールやシステムといった環境を悪用する攻撃は、「環境寄生型」と呼ばれます。
ファイル持ち出し
内部活動によって十分な権限を獲得できると、攻撃者は次に組織のネットワーク内を探索。身代金要求の条件として利用するためのファイルを窃取します。そして、窃取したファイルを1か所に集約し、攻撃者側のサーバーへアップロードを行います。
ランサムウェア実行
アップロードが完了すると、最後に標的とする組織へランサムウェアを送り込んで実行します。確実に実行するために、獲得した権限を用いて、事前にセキュリティ対策ソフトウェアなどを停止させることもあります。そして、グループポリシー機能などを利用し、ランサムウェアをネットワーク内へ展開・実行します。ファイルの暗号化を行った後は、対象の端末に身代金要求の画面を表示させて脅迫を行います。
ランサムウェアの感染経路の変化
前述のとおり、ランサムウェアの攻撃は不特定多数のユーザーを狙う「ばらまき型ランサムウェア」から、特定の組織を狙う「標的型ランサムウェア」へと変化しています。これは、企業や官公庁、医療機関などにある、より高い価値のデータを狙った攻撃へシフトしてきていることが考えられます。
攻撃の手法も、従来のフィッシングメールに加えて、VPN機器などネットワーク環境の脆弱性を狙ったものが増加しています。これは、2020年のコロナ禍を機に多くの組織でテレワークが普及したことに伴い、PCで業務を行う環境が、組織の堅牢なネットワークから組織外のネットワークに変化したことが要因の一つといえます。
併せて、従来はファイルを暗号化し、復号を条件に金銭を要求するものでしたが、現在はファイルの窃取も行い、暴露すると脅迫するより悪質な手口「二重恐喝(ダブルエクストーション)」が増加しています。
これらのことから、より効率的に、高額な身代金を、確実性を高めて得ようとする攻撃者の思惑が感じとれます。
ばらまき型ランサムウェア | 標的型ランサムウェア | |
---|---|---|
攻撃手法 | フィッシングメール | フィッシングメール、 VPN機器などの脆弱性の悪用 |
攻撃対象 | 主にPC | PC、 サーバー、 制御系システム など |
感染事象 | ファイルの暗号化、 PCのロック |
管理者権限を奪取してシステム全体を乗っ取り、 PCやサーバー内ファイル暗号化・窃取 |
要求内容 | ファイルを復号することを条件に身代金要求 | ファイルを復号する・暴露しない・ダークWebサイトで販売しないことを条件に身代金要求 |
警察庁が公開する「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年(2023年)におけるランサムウェアの被害件数は197件で、高水準を推移しています。そのうち、ファイルを窃取した上で暴露しないことを条件に身代金を要求する「二重恐喝(ダブルエクストーション)」が多くを占めています。
また、これら被害状況のうち、復旧に1か月以上を要した事案が28件、復旧費用に1,000万円以上を要した事案が44件あったとのことです。
ランサムウェアの被害防止策
エンドポイント等のセキュリティ製品を導入する
ランサムウェアの被害を防ぐには、まずPCなどのエンドポイントの対策強化を行う、セキュリティ製品を導入することが重要です。振る舞い検知などを搭載した次世代アンチウイルスや、エンドポイントを常時監視し不審な挙動を通知するEDR(Endpoint Detection & Response)などが有効です。また、メールの添付ファイルなどを自動で分析し、不正なプログラムが混入していればその切り離しを行う「ファイル無害化」サービスも効果的です。
セキュリティ製品を速やかにアップデートする
導入したセキュリティ製品を、最新の状態に維持することも欠かせません。新たなサイバー攻撃の手口が発覚すると、製品を提供するするベンダーはそれらの対策を講じたセキュリティ更新プログラムを配布することがあります。ランサムウェアに関しても対策が強化されている可能性があることから、アップデートの通知が届いた際は速やかにアップデートを実行することが必要です。
OSやアプリケーションを常に最新の状態に
OSやアプリケーションも、更新プログラムが公開された際はできる限り速やかにアップデートを行います。新たなバージョンでは、旧バージョンで見つかった脆弱性が解決されていたり、最新のマルウェアの手口に対処できるプログラムに修正されていたりする場合があるためです。OSやアプリケーションの脆弱性は攻撃者の標的となりやすいことから、古いバージョンのまま使い続けないように注意が必要です。
添付ファイルやWebサイトのリンクを安易に開かない
ランサムウェアの感染は、メールやWebサイトが発端となるケースが少なくありません。メールの件名や本文が日本語としておかしいなど、少しでも怪しく感じる場合は添付ファイルを開かないようにしましょう。悪意のあるプログラムを実行するために、マクロの有効化を求める添付ファイルもあるため、そのようなメールには特に注意する必要があります。
また、取引先など実在する企業や従業員を装ったなりすましメールの手口も存在します。そのようなメールの添付ファイルは、開く前に本人に電話などで確認するのも有効といえます。
メールに記載されているURLや、信頼性が確認できないWebサイトに掲載されているリンクも、安易にクリックしないようにしましょう。攻撃者が仕掛けたリンクの中には、クリックと同時に不正なプログラムのダウンロードが始まり、ランサムウェアに感染させるタイプも含まれているため、十分に注意することが必要です。
定期的にバックアップをとる
ランサムウェアの被害に備えて、日頃からファイルをバックアップしておくことも大切です。万が一、ファイルが暗号化されたとしても、バックアップデータ利用して復旧できます。ただし、バックアップに使用するハードディスクなどの記憶媒体がネットワークに接続されたままだと、バックアップデータも含めて暗号化される可能性があります。記憶媒体は、バックアップが完了するごとにネットワークから切り離しておきましょう。
ログの記録
いくら対策を講じても、ランサムウェアなどのサイバー攻撃を100%防ぐことはできません。万が一の事態に備えて、日頃からPC操作などのログを記録しておくことで、被害の最小化や原因の調査に役立てることができます。
例えば、あるPCでランサムウェアの感染が確認された際に、ほかのPCにも感染していないかをログから洗い出すことが可能です。感染が確認された場合は、そのPCをネットワークから速やかに遮断することで、感染拡大を食い止めることができます。
また、ランサムウェアの流入元をログから調査し、原因を特定することで再発防止策の検討に役立てたり、セキュリティの専門機関にログの調査を依頼し、今後の対策に向けてより効果的なアドバイスをもらったりすることも可能です。
ランサムウェアに感染した場合の対処法
感染したPCをネットワークから遮断
もし、組織内でランサムウェア感染が起きてしまった場合、どう対処すればよいのでしょうか。先ほども触れましたが、まずは感染拡大を防ぐために感染PCをネットワークから遮断しましょう。有線接続を行っている場合はLANケーブルを抜き、無線接続を行っている場合はWi-Fiをオフにします。「Wi-Fiをオフにする方法がわからない」といったケースも考えられるため、今一度オフにする方法を確認しておく、組織内で周知しておくことをお勧めします。
また、感染原因の調査などに必要なログが消失してしまう場合があるため、PCやネットワーク機器などの電源は、絶対にオフにしてはいけません。
ほかに感染しているPCがないかを調査
続いて、ログなどを参考にほかに感染しているPCがないかを調査し、感染を確認した場合は同様にネットワークから遮断します。感染しているPCがネットワーク内に1台でもあると感染が広がってしまうため、徹底して感染PCを洗い出す必要があります。
窃取されたファイル等の被害状況を調査
次に、どのファイルが窃取されたのか、または暗号化されたのかを、ログなどを基に調査します。被害状況を把握することで、復旧に向けた対応策の検討と速やかな実施につなげられます。また、後述でも紹介しますが、サイバー攻撃の被害や情報漏洩が発生した組織は、警察や個人情報保護委員会などの機関へ報告する必要があります。その際、報告内容の一つとして被害状況を伝えることが望まれるため、あらかじめ把握しておくことが大切です。
警察・個人情報保護委員会などへ報告
ランサムウェアの被害に遭った際は、ログデータを持参し、最寄りの警察署や都道府県警察本部のサイバー犯罪相談窓口へ報告しましょう。さらなる被害の未然防止に向けて捜査が行われると共に、被害を受けた組織へ復旧やその後の対策に向けたサポートが行われます。
また、顧客情報など、漏洩によって個人の権利利益を害する恐れがある情報が漏洩した場合は、個人情報保護委員会へ報告することが義務化されています。被害発生後3~5日以内という早い段階での報告が求められるため、組織としてあらかじめ報告すべき内容を把握しておくことをお勧めします。
ランサムウェアの対策なら「SKYSEA Client View」
クライアント運用管理ソフトウェア「SKYSEA Client View」は、クライアントPCやソフトウェアといったIT資産の情報、PCの操作ログを収集・一元管理できる機能を搭載し、組織の情報漏洩対策や安全なIT資産管理をご支援します。さらに、業務と関係ないアプリケーションの使用やデータのWebアップロードなど、組織のセキュリティポリシーに反するPC操作を制限することも可能。近年激化するランサムウェアに対しても、脆弱性対策やエンドポイントセキュリティの強化など、階層的な防御を通じてリスク対策をサポートします。
「使いやすさ」にこだわり、直感的に操作しやすい画面を搭載。また、オンプレミス版とクラウド版をご用意し、管理するPCの台数やワークスタイルなど、利用環境やニーズに応じていずれかをお選びいただけます。情報漏洩対策とIT資産管理の効率化に向けて、ぜひ「SKYSEA Client View」の導入をご検討ください。