ランサムウェアとは？感染対策や感染後の処置などを解説

ITコラム

IPA（日本情報処理推進機構）から情報セキュリティ10大脅威 2022が3月29日に発表されましたね。
近年、サイバーセキュリティは企業にとって対応必須事項として認識されていると思います。今企業にとって恐ろしいとされるサイバー攻撃は何なのか？どんな被害があるのか？どのように被害に遭うのか等、少しでも知っておく事で対策の参考になるかもしれません。
本稿では、情報セキュリティ10大脅威において2年連続で首位となっている「ランサムウェア」について解説していきたいと思います。

ランサムウェアとは？

ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせて作られた造語で、暗号化などによってデバイスそのものや、保存されているファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭（身代金）を要求するという特徴を持つ攻撃です。

ランサムウェアの種類

ランサムウェアにはいくつか種類がありますので見ていきましょう。

端末（画面）ロック型ランサムウェア（ブロッカー）

何らかの形で企業や個人のデバイスに入り込み、ロックして使用不可能にする、あるいはロックしたように見せるタイプのランサムウェアです。
支払いを要求するメッセージが画面にずっと表示されるのが代表的です。
アダルトサイト等、他人に相談しにくいサイト閲覧があったから金銭を要求されているのだと被害者は思い込み、身代金が手の出しやすい金額に設定されている為、支払ってしまったなどの事例は少なくないかもしれません。

ファイル暗号化型ランサムウェア（クリプター）

何らかの形で企業や個人のパソコン、スマホ、サーバ等に入り込み、中のデータを暗号化してしまいます。一度暗号化されたファイルは開くことができず、元に戻すには復号化するしかありません。攻撃者は使えなくなったファイルを盾に取り、復号鍵がほしければ○○円払え、というふうに身代金を要求してきます。
過去にランサムウェアに感染してしまい、身代金を支払った企業は多数存在します。ただ、実際にファイルを修復できたケースとできなかったケースがあり、必ずしも復号鍵を貰えるわけではありません。また、攻撃者に成功体験を与えることで次の被害に遭ってしまうリスクが上がります。万が一被害に遭っても身代金は払わない事を推奨します。

ファイル消去型ランサムウェア（ワイパー）

感染したデバイス上のデータを消去するタイプのマルウェアです。
ファイル暗号化型ランサムウェアのように見せかけて実はワイパーだったという場合には、ファイルが損傷して修復不可能な状態になっている為、身代金を支払ったとしてもデータを復元することはできないでしょう。

マルウェアとランサムウェアの違いとは

マルウェアとは悪意のあるソフトウェアやコード全般を指す用語で、一般的にサイバー攻撃はこのマルウェアを使って仕掛けられます。マルウェアは、刑法に触れる悪意のある行為全般を総称する「犯罪」と同じ立ち位置です。「犯罪」と総称されるものの中に誘拐という行為があるのと同様に、「マルウェア」の中には様々なソフトウェアが存在し、そのうちの一つがランサムウェアということです。

マルウェアに関する詳しい解説はこちら

マルウェアとは？ウイルスとの違い、感染経路や対策方法について解説

なぜランサムウェアは危険なのか？

企業にとって情報は現金と同等に守るべき資産です。
情報そのものに価値があるだけでなく、その情報が扱えないことで事業活動が行えないとなると現金以上と言っても過言ではありません。ランサムウェア被害に遭ってしまった場合、その「情報」を凍結または消去されてしまう為、一度の被害が企業の存続に影響してしまう場合もあります。
また、医療機関や金融機関が標的になってしまった場合には、企業の先にいる個人にも被害が及び、人々の生活に影響するリスクもあります。
そして近年、ランサムウェアはより悪質な暴露型（二重恐喝型とも呼ばれます）が主流と化しています。
そもそも、凍結されたデータを複合化する為の身代金を支払ってもデータが元に戻る保証はない上に、その機密情報をダークウェブ（闇市場）に開示するという二段階の恐喝が控えているランサムウェアで、実際に情報を公開された被害も出ています。
このように一言にランサムウェアと言っても被害の大きさはピンキリで、深刻度の高い損害に繋がりうる危険なマルウェアなのです。

ランサムウェアの被害事例

懐かしい話ですが、ランサムウェアを語る上では外せないほど、それまでに類を見ない大規模な被害となったのが、2017年5月12日から始まったWannaCryです。アメリカ・ホワイトハウスの発表によると、被害国は150ヶ国、30万台以上のコンピュータが被害に遭いました。Windowsの脆弱性を突いたWannaCryがそれまでのランサムウェアの傾向と大きく違ったのは、自己複製しながら瞬く間に感染を広げるワーム機能を保有していたことでネットワークを通じてかなり速いスピードで感染が広がったことです。
ランサムウェアには身代金を要求する役割のほかに、コンピュータへ感染するためのマルウェアが組み合わさっており、それまでのランサムウェアに使われたのは自己複製能力のないトロイの木馬などが多かったのですが、WannaCryは自らを複製して増殖するワーム機能を持っていたタイプだった為に急速に拡大し世界的被害につながりました。
WannaCryの被害は日本でも確認されており、有名企業をはじめとしたいろいろな団体で確認されました。その数は600ヶ所で、2,000以上の端末に上ります。

近年の国内被害事例で印象的なところでいうと、大手ゲーム会社で、売上情報や営業資料だけでなく取引顧客や従業員など関係者の個人情報データがターゲットにされた事例や、徳島県の町立病院で患者の電子カルテがターゲットになった事例でしょう。
大手ゲーム会社のランサムウェア被害は脆弱性を突いたネットワークへの不正アクセスをきっかけに1万6000人以上の個人情報が漏洩するに至りました。11億以上の身代金を要求された大規模な被害事例です。相手が企業となれば、身代金額も数千万円～数億円単位に高額化します。企業が脆弱性対策に本腰を入れなければいけないと気付かされる象徴的事案となりました。
また、徳島県の町立病院のランサムウェア被害では電子カルテがターゲットになったことにより、2か月間患者を受け入れられない事態に発展しました。身代金の要求には応じていないものの、新システムを導入するのに2億円以上投資し、営業再開に数ヶ月を要しました。当病院以外にも国内の病院でランサムウェアの被害に遭った企業は数件確認されており、年々増加傾向にあります。
社会インフラに係わる企業が被害に遭い、事業停止となると一般人の生活に支障が出るだけではなく、医療機関に被害が及ぶと人命にかかわる事態に発展しかねません。徳島県の町立病院の事案では、有名企業や大手企業でなくとも標的とされてしまうこと、身代金を支払わなくとも高額な損害が出るという事、事業停止による社会的影響を思い知らされる結果となりました。

ランサムウェアは増えている？

以前のランサムウェアは、不特定多数にランサムウェアをばらまいて多くの被害者から泣き寝入り出来る程度の少額を搾取するというスタイルが一般的でしたが、2019年あたりからは周到に準備した上で特定の企業を狙って高額の身代金を要求するスタイルが増加しています。
更に病院や製薬会社などの医療関連業種がターゲットになっている傾向も無視できません。
ランサムウェア攻撃はお金儲けが目的です。医療関連業種はランサムウェアによる影響が深刻化しやすい為、身代金の支払う確率が高い標的であると位置づけられている可能性があります。仮に身代金の支払いに応じなくても、医療データ自体の価値が高いという点もターゲットにされる所以かもしれません。

ランサムウェア増加の一因「RaaS」とは

ランサムウェア攻撃増加を後押しする背景の一つにRaaSの存在があります。RaaSはRansomware as a Serviceの略です。闇市場（ダークウェブ）ではランサムウェアそのものがクラウドサービスとして比較的安価に売買されており、これによって攻撃を仕掛ける為の相応なスキルがなくともランサムウェア攻撃を仕掛けられるようになってしまいました。
サイバー犯罪市場は新規参入者が相次ぐようになり、高いスキルを持つ犯罪者の方はRaaS提供者に転じる事でこれまで以上に多額の資金を入手できるようになったと言えます。
オリンピックや新型コロナウィルス等、”時勢を代表する何か”があるとそれに乗じたサイバー犯罪が増加します。そして現在は、ロシアによるウクライナ軍事侵攻によりサイバー攻撃市場はより激化しています。

ランサムウェアの感染経路

ランサムウェアだからと言って感染経路が特有であることはありません。
他のマルウェアと同様、悪意のあるメールに記載されたURLをクリックしたり、それに添付されたファイルを実行したり、不正サイトへのアクセスしたり、そこで不正なファイル（またはアプリ）をダウンロードしたり、マルウェアが仕込まれたUSBメモリを挿入したりという被害者自らの行動がトリガーになって感染する事が多いです。
しかし、標的型攻撃の増加に伴い、予め入手しておいたアカウント情報（ID/PASS等）を使ったり、VPN等の脆弱性を突くなどしてネットワーク侵入を果たすことでランサムウェアを仕込む方法が急激に増加しています。
テレワーク・クラウド利用の拡大に比例してランサムウェアを筆頭としたマルウェア被害も増加しているのです。

ランサムウェアの感染対策とは

ランサムウェアを含むマルウェア対策に100％のものは存在しません。しかし、より感染リスクを低減させる為に対策は必須です。

1.マルウェア感染のトリガーになる行動は避ける

ランサムウェアの感染経路として前述した通り、被害者自らの行動がトリガーになって感染に至るケースがあります。
これらを抑止する為に以下の対策が有効です。

スパムメールフィルタで不審なメールは極力受信しない
WEBフィルタリングで不正サイトへのアクセスを抑止する
外部記憶媒体の使用を禁止にする
SNSなどに用意されている疑わしいURLにはリンクから飛ばずに直接検索してWEBサイトに到達するように心がける
無料のアプリやソフトをダウンロードする際には事前に評判を検索するなど、マルウェアが仕込まれている可能性を疑う

2.脆弱箇所を排除する

人の手によってマルウェアを招き入れてしまう他にも、直接侵入されてしまうケースもあります。
これらを抑止する為に以下の対策が有効です。

ログイン情報を定期的に変更＆複雑なもので設定する
多要素認証や生体認証を活用して本人認証を強化する
必要最低限のアカウント運用で適切なアクセス権限を付与する
OSやソフトのセキュリティパッチは可及的速やかに適用する
（脆弱性が補完されないので）サポート切れサービスを使わない

3.多層防御の実施

マルウェアはネットワークの出入り口から侵入してくることもあれば、USBメモリやログイン情報の搾取によって直接LANに侵入してくるケースもあります。
これらを抑止する為に以下の対策が有効です。

出入口対策を実施する（IDS／IPSやUTMの導入）
内部対策を実施する（EPP／EDRの導入）
公開用サイトを護る（WAFの導入）

4.インシデント発生を想定しておく

ここまでやっても未知の攻撃には無効である可能性があります。
近年注目されているのは感染後対策の考え方です。たとえ感染しても被害を拡大させない用意をしていく事も重要でしょう。

適切な方法でバックアップを取っておくなど復旧手段を用意しておく
（暴露型ランサムウェアへの抵抗にはなりませんが、事業停止に至らない為に必要な対策です。バックアップ先のデータまで人質とならないよう、ネットワークを切り離しておくことを推奨します）
ログ監視・分析をリアルタイムで行い、異常を瞬時に検出し迅速に対処できるようにする（EDR／MDR／SOCの導入）

まとめ

近年のサイバー攻撃被害は有名企業や大手企業に限られたことではありません。
自社が直接感染しなくても、マルウェア自体に自ら増殖し感染を拡大させる機能があれば、取引先などの関連会社から派生して自社にも侵入されてしまいます。
近年急速に広まっているEmotetも同様の機能がついているため被害報告が多発しています。
セキュリティ対策は、情シス担当が孤軍奮闘するのではなく会社全体でセキュリティ意識を高めて取り組むべきです。万が一不審なメールを受信しても添付を開いたりしないよう、日頃から「怪しいメールの嗅ぎ分け」が出来るように社員教育を徹底したり、マルウェア感染に気がついたらすぐにPCをネットワークから切断し、隠ぺいせず迅速にセキュリティ管理者に通報するという環境作りも重要な対策手段です。
人材流動が活発な年や季節には必ず再掲していきたいですね。

Emotetに関する詳しい解説はこちら

Emotet（エモテット）とは？被害事例や脅威、感染対策についてICT Solution!

この記事に関連するお役立ち資料はこちら

情報システム・セキュリティ学びスタートアップガイド
～経営層に響かせろ！セキュリティ対策の重要性～

企業へのサイバー攻撃は年々巧妙化し、企業におけるセキュリティ対策はますます重要になっています。ただし、担当者の方々がセキュリティリスクについて理解されていても、経営層に理解されず、必要な予算を確保できないケースも多いと聞きます。
本資料では、そんな経営層に向けて、大企業だけでなく中小企業こそセキュリティ対策が重要である理由を丁寧に紹介しています。

ダウンロードする