数あるサイバー攻撃の中でも、組織の脅威として特に注目を集めているのが「ランサムウェア」です。ランサムウェアはセキュリティの脆弱性を突いて感染し、ファイルの暗号化や画面のロックによって、身代金の要求や、事業停止による売上低下などの被害をもたらします。本記事では、ランサムウェアの感染経路や対策方法の基礎を解説します。
増加するランサムウェアの脅威
近年、サイバー攻撃は激化の一途をたどっており、特にランサムウェアの被害は深刻です。警察庁によるランサムウェア被害の報告件数は右肩上がりで増加しており、企業や個人を問わず、増え続ける被害に歯止めがかかる様子はありません。
具体的には、企業・団体などにおけるランサムウェア被害は2022年上半期にはすでに114件が報告されており、前年の下半期は85件、上半期は61件であったことから急速な増加傾向にあることが伺えます。
企業規模や業務・業態を問わず、多種多様な企業が標的にされており、一部の企業ではすべての業務が停止するほどの被害を受けているほか、機密情報の流出が発覚するなどの重大な事態にも発展しています。
また、情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」の2022年版集計においては、「個人」および「組織」向けの脅威の順位で第1位が「ランサムウェアによる被害」であるという結果が出ています。
2021年度にも、同様の集計でランサムウェアによる被害は第1位にラインナップされており、企業や組織にとって対策しなければならないサイバー攻撃の代表例として広く認識されています。
ランサムウェアとは
ランサムウェアはコンピューターなどの機器に悪影響を及ぼすマルウェアの一種で、感染させた端末を強制的にロックしたり、ファイルを暗号化したりして操作不可能な状況に陥らせる機能を持っています。前者を「画面ロック型」、後者を「暗号化型」とも呼ばれます。
画面ロック型は、感染した時点で端末が強制的にロックされ、攻撃者が解除しない限り、端末の操作が一切できなくなってしまう点が特徴です。
一方の暗号化型は、端末内に保存されているデータが暗号化され、復号用の鍵を使用しなければ暗号化を解除できない状態に陥ります。どちらの場合も、被害側からは端末を操作不可能にされます。
悪意のある第三者が意図的に標的の端末をランサムウェアに感染させてから、端末の所有者に対してロックの解除と引き換えに金銭を要求する手口が一般的です。つまり、端末に保存されているデータが人質とされてしまいます。
代表的なランサムウェアの種類
ランサムウェアは、特徴の違いでいくつかの種類に分けられます。ここでは、代表的な3つのランサムウェアの種類と特徴を紹介します。
WannaCry(ワナクライ)
WannaCry(ワナクライ)は、Windowsの脆弱性を標的にしたランサムウェアで、Windows端末のアップデートが最新の状態にない端末だと感染しやすくなります。WannaCryに感染すると、端末内に保存されているファイルが暗号化され、復元するためには「秘密鍵」と呼ばれる解除用の鍵を必要とします。
WannaCryは2017年5月頃に世界中で猛威を振るい、企業規模にかかわらず、過去最大級の被害をもたらしました。感染力はすさまじく、攻撃が始まってからわずか数日の間に30万台以上もの端末へ「WannaCry」を感染させています。日本国内でも被害が報告されており、全世界で150か国以上もの国家がWannaCryによる攻撃を受けています。
Cryptowall(クリプトウォール)
Cryptowall(クリプトウォール)も、Windows端末を標的としたランサムウェアです。Cryptowallの特徴は、ファイルの内容だけでなく、ファイル名も含めてデータの暗号化を行う点にあります。ファイル名も同時に暗号化することで、復元をさらに難しくさせ、身代金の要求を通しやすくする効果を与えています。
暗号化型のランサムウェア被害を受けた場合、端末を操作できる状態であれば、バックアップファイルを復元させることで暗号化されたデータのリカバリーが可能です。しかし、Cryptowallは該当のファイルに対応するバックアップを自動的に検索して同時に暗号化してしまうため、バックアップからの復元も不可能にしてしまうケースが少なくありません。
Cryptowallの感染源は、悪意のある第三者から送りつけられた添付ファイルの開封や、不正な広告の閲覧、Webサイトに仕掛けられた実行ファイルなどが多く見られます。
PETYA/GoldenEye(ペトヤ/ゴールデンアイ)
PETYA/GoldenEye(ペトヤ/ゴールデンアイ)も、前述の2つのランサムウェアと同様に、Windowsを狙うランサムウェアです。PETYA/GoldenEyeはファイルのみならず、ハードディスクのMBR(マスターブートレコード)も一緒に暗号化される点がほかの2つと異なります。
MBRとは、OSを起動する際に、最初に読み込まれるハードディスクの領域です。そのため、MBRが暗号化されてしまうと攻撃者側の意図したとおりに起動を制御され、感染から数十分ほどで端末が強制的に再起動し、攻撃者が用意した脅迫画面が映し出されます。WannaCryは端末を操作できますが、PETYA/GoldenEyeは操作自体ができなくなってしまうこともあるため、画面ロック型に近い性質を持っています。
脅迫画面には身代金を要求する内容が書かれていることが多く、金銭を支払わなければ暗号化を解除できないことから、データと引き換えに金銭を支払ってしまう被害者が後を絶ちません。
ランサムウェアの主な感染経路
ランサムウェアの主な感染経路は、メールやWebサイト、外部から持ち込まれたUSBメモリ、リモートデスクトップなどさまざまです。ここでは、それぞれの感染経路について詳しく解説します。
ばらまき型フィッシングメール・標的型攻撃メール
メールによるランサムウェアの攻撃は、数ある手法の中でも特によく用いられます。
ランサムウェアを感染させるメールの代表例として、「ばらまき型フィッシングメール」や、「標的型攻撃メール」などが挙げられます。
いずれも見知らぬ第三者から送りつけられたメールの添付ファイルを開封したり、本文内に記載されているリンクへアクセスしたりすることで、感染させる手口が一般的です。
フィッシングメールは主に個人を標的とし、標的型攻撃メールは企業や公的機関を標的にする点で異なります。
フィッシングメールはなんらかの流出元から不正に入手したメールアドレス宛に無差別にランサムウェアを仕込んだメールを送信するため、私用のメールアドレスや、企業で働く従業員の個人用メールアドレスなどに届きます。一方、標的型攻撃メールは最初から企業や公的機関を狙うため、ビジネスメールのような文面になりすまして送られてきます。
偽装・改ざんされたWebサイトの閲覧
偽装・改ざんされたWebサイトの閲覧も、ランサムウェアに感染する原因のひとつです。例えば、信頼できる企業や団体が運営しているWebサイトに見せかけ、実は攻撃者が内容を精巧に真似て作成したミラーサイトであるといった偽装の手口が見られます。また、既存のWebサイトであっても、不正アクセスした攻撃者が内容を改ざんしてランサムウェアを仕込むケースがあります。
このように偽装・改ざんされたWebサイトに設置されている入力フォームにIDやパスワードを入力させたり、サイト内に仕掛けられたファイルをダウンロードさせることによって感染させるのが主な手口です。
改ざんされたサイトを運営している企業は、すぐに改ざんに気がつかないケースもあるため、発覚に時間がかかるほど多くの被害者を生み出し、ランサムウェアの感染が加速度的に拡大していきます。
Webサイトを閲覧する際は、そのサイトのURLが不自然ではないか、日本語が怪しくないかなどをよく確認した上で閲覧することが大切です。
USBメモリの接続
USBメモリにランサムウェアが仕込まれている場合は、端末に接続したタイミングで端末側に自動的にコピーされることで感染を引き起こします。
USBメモリの所有者に悪意がある場合はもちろん、所有者が知らないうちにランサムウェアに感染しているファイルをUSBメモリに保存し、それをほかの端末に接続して感染するケースもあります。感染した端末を利用したUSBメモリを介して、次から次へとほかの端末へと感染を拡大させてしまった結果、甚大な被害を及ぼしかねません。
なお、USBメモリだけでなく、記録媒体であれば外付けHDDやCD、DVDなどを用いた場合でも同様のプロセスで感染の原因になります。これらの媒体から端末にファイルをコピーする場合は、ランサムウェアに感染していないかどうか事前にチェックしておくことが重要です。企業や組織では、セキュリティソフトウェアを導入して信頼できる媒体・機器以外の接続を拒否するなどの対策も有効です。
リモートデスクトップ経由
リモートデスクトップとは、ある端末に対し、インターネットを経由して別の端末で接続し、デスクトップ環境を遠隔操作できる仕組みのことです。リモートデスクトップは設置された機器を遠方でも利用できるようになるなどのメリットがある一方で、ランサムウェアに感染する原因にもなり得ます。
警察庁が発表した「令和4年上半期における脅威の動向」によれば、リモートデスクトップはランサムウェアの感染経路のうち全体の15%を占めており、後述するVPN機器からの侵入に次いで2番目に多い割合です。この背景には、テレワークに使用される端末やネットワークの脆弱性を悪用して標的の端末に不正アクセスを仕掛け、ランサムウェアに感染させる手口が増えていることが考えられます。
働き方改革やDX推進などの観点から、リモートデスクトップを業務に活用する企業や組織は一般的になりつつあります。しかし、セキュリティ対策が不十分なままテレワークを実現すると、セキュリティリスクの増大を招きかねません。ランサムウェアの脅威を十分に理解した上で、テレワーク環境に合わせた適切な対策を行う必要があります。
VPN機器からの侵入
VPNとは、拠点ごとに専用ルーターを設置することでインターネット上に仮想的な専用線を敷設し、指定したユーザーだけがアクセスできるようにしたネットワークのことです。基本的には、VPNによって第三者のアクセスを遮断できるため、安全にデータをやり取りできます。
しかし、近年では、このVPNがランサムウェアの感染源として大きな割合を占めています。警察庁の発表によれば、VPNはランサムウェアの感染経路の53.9%を占めており、全ての感染経路の中でも最多です。
本来、VPNは安全にデータを送受信するための仕組みですが、知識不足や設定ミスなどで正しい設定が行われないと、かえって安全性を損なう原因になります。セキュリティの脆弱性を狙って攻撃者が送り込んだランサムウェアに感染してしまい、社内機器の多くに感染を拡げてしまう例も少なくありません。
また、VPNを使用している間は自宅とオフィスが同一のネットワーク上で結ばれるため、自宅で使用している端末がランサムウェアに感染していると、オフィスのネットワークにもランサムウェアの感染を拡大させるおそれがあります。
ランサムウェアに感染した場合の被害
前述のように、ランサムウェアに感染した端末は、暗号化解除やロック解除のために身代金を要求されるケースが一般的です。しかし、実際には単に端末を使用できなくなるだけでなく、さまざまな被害が想定されます。
まず、攻撃者からの身代金の要求に応じた場合は、直接的な金銭的被害を受けることになります。自力での復旧が見込める場合であっても、バックアップまでの巻き戻しなどで復元できなかったデータの損失は免れません。
ほかにも、ロック状態から復元までの期間の業務の一時停止や、個人情報・機密情報などの漏えい被害が挙げられます。
感染した端末を使用できない状態が続けば、業務の継続は困難になり、遅延による顧客の信頼低下や売上の減少にもつながるでしょう。また、個人情報が流出すれば企業としての信頼やブランドイメージが大きく損なわれ、管理責任を問われれば賠償金の支払いを命じられることもあります。
中には原因の特定に時間がかかり、業務停止が想定以上に長引いて、なかなか通常業務に戻れないケースもあります。キャッシュフローに余裕がない企業であれば、事業の継続に重大な支障をきたすことも考えられます。
なお、身代金の要求に応じたからといって、すぐに全ての暗号化が解除される保証はありません。むしろ攻撃者を増長させ、さらに被害を広める可能性があります。
ランサムウェアに感染すれば、いずれの場合でも甚大な被害を受けます。まずは未然に感染を防ぎ、被害を受けないための対策を取ることが大切です。
ランサムウェアに感染しないための対策方法
ランサムウェアに感染しないための対策方法として、不用意にファイルの開封やダウンロードを行わないことや、使用しているソフトウェアやOSを最新の状態に保つこと、USBメモリの制御やセキュリティ対策ソフトの導入などが有効です。
ビジネスを行っていると、日々さまざまなメールを受信しますが、中には見知らぬ宛先から送られてくるものもあるでしょう。このようなメールはむやみに開封せず、ウイルス対策ソフトで検疫したり、読まずに削除したりすることをおすすめします。また、OSを最新の状態に維持することで、セキュリティの脆弱性を最小限に抑えられます。
USBメモリは悪意を持って持ち込まれるものもあるため、事前に所有者が判明しているUSBのみを接続できるように制限することで、被害を食い止めやすくなります。
また、最近ではセキュリティ対策ソフトにもランサムウェア攻撃に対応しているものが数多くあるため、ソフトの導入も効果的です。ランサムウェアが端末に侵入すると直ちに検知し、内容を解析して隔離・削除を行えます。
ランサムウェアへの対策方法をさらに詳しく知りたい方は、以下の記事もご参照ください。
関連リンク:ランサムウェアとは? 対策方法やよくある手口を解説
もしランサムウェアに感染してしまったら?
さまざまな対策を行ったとしても、ランサムウェアに感染してしまうこともあるでしょう。もしランサムウェアに感染したことが判明したら、該当の端末を直ちにネットワークから切り離すことが重要です。感染した端末をネットワークに接続したまま放置すると、ネットワーク経由でほかの端末に感染して、被害を拡大させるおそれがあります。
原因の究明や端末のリカバリーなどの対策は、ネットワークから隔離した後で、周囲へ感染させない状況を確立させてから行いましょう。
ランサムウェアの被害を受けると、焦りや不安から安易に攻撃者の要求に応じてしまう例は少なくありません。しかし、前述のように身代金を支払ってもデータが無事に復元される保証はないため、言われるがままに応じることは避けましょう。自社だけで直ちに対処できない場合は、警察へ通報して指示を仰ぐことも方法のひとつです。
ランサムウェアに感染したときの対応については、以下の記事もご参照ください。
関連リンク:ランサムウェアとは?特徴と対策方法について紹介
ランサムウェアの脅威には「NetApp データ保護ソリューション」
ランサムウェアを対策するなら、NetAppのデータ保護ソリューションがおすすめです。NetAppなら、端末のパフォーマンスを低下させずに快適な動作環境を維持したまま、ランサムウェアをはじめとしたサイバー攻撃への脅威に対応できます。
NetAppでは、ランサムウェアの脅威に対する阻止機能と、万が一感染してしまった際に速やかに該当のファイルを検出し、データのリカバリーを高速化するための多層的で堅牢なストレージを提供しています。たとえランサムウェアの侵入を許しても、バックアップにはデータ置き換え不可のコピーを作成するため、改ざんから保護されます。
検出にはAIを活用しており、攻撃の兆候をいち早く検知してアラートを発するとともに、感染前の安全なリカバリーポイントを作成します。また、データのリカバリーは数秒から数分と非常に高速で、原状復帰までの時間を大幅に短縮できます。
まとめ
世界中で被害を拡大しているランサムウェアは、日本国内でも重大な脅威として認識されており、相次ぐ攻撃への対策が急務です。
ランサムウェアに感染する主な経路は、メールやWebサイト、USBメモリなどの外部記憶媒体、リモートデスクトップなどが挙げられます。テレワークの普及によるVPNの脆弱性を狙われるケースも多く、働き方改革やDX推進に伴うセキュリティ対策も重要です。
ランサムウェアに感染すると、業務停止による信頼や売上の低下など、さまざまな被害が想定されます。感染しないための対策として、不審なメールの切り分けやOSのこまめなアップデートを行いましょう。もし感染してしまったときに、いち早く復旧できる体制を整えておくことも求められます。
ランサムウェア攻撃に対応できるセキュリティ対策ソフトもあるため、導入をおすすめします。安全に業務を継続できる環境を維持し続けることが大切です。
