ランサムウェアはマルウェアの一種

ランサムウェアとは、マルウェアの一種です。感染後にコンピュータをロックしたりファイルを暗号化したりすることで使用不能にし、元に戻すことを条件に金銭（身代金）を要求するものです。こういった特徴から、「Ransom（身代金）」「Software（ソフトウェア）」を組み合わせてランサムウェアという造語が誕生しました。

ランサムウェアで使用不能になったデータを自力で復旧させるのは難しく、だからといって身代金を払っても元に戻る保証はありません。
独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威 2024」では、組織向けの脅威としてランサムウェアが9年連続で選出され、4年連続1位となりました。犯行手口や感染方法は年々巧妙化し、被害も甚大化しています。企業や組織はランサムウェアの感染を防ぐとともに、被害を拡大させないための対策が求められるでしょう。

最近のランサムウェアの攻撃手法

以前はランサムウェアの攻撃として、個人や組織を問わない無差別の「ばらまき型」攻撃がよく見られましたが、最近は特定の企業や組織を狙った「標的型」「侵入型」攻撃による、多重脅迫が増えています。
暗号化からの復旧だけでなく、身代金を支払わなければデータを暴露すると脅すもので、DDoS攻撃によって企業や組織のシステムやサービスを停止させて損害を与えたり、窃取した情報を利用して関係各所を脅迫したりする場合もあります。

多重脅迫は、被害を受けた企業や組織だけでなく、第三者も巻き込む手口です。たとえデータを復旧させられたとしても、失った信頼を回復するには時間がかかるでしょう。
場合によっては、企業の存続が危ぶまれるほどの被害に発展するおそれがあります。

ランサムウェアによる被害

ランサムウェアの被害は、国内外で増加しています。実際にランサムウェアに感染した場合、考えられる被害には次の4つがあります。

業務の停止

ランサムウェアに感染すると、端末やシステムが使用不能になったり、データが暗号化されたりすることで、業務やサービスの提供が停止します。

2022年に起こった国内の事例では、医療施設でランサムウェア感染により院内システムが使用不能になり、復旧には約2ヵ月を要しました。利益の損失はもちろん、サービスを利用できないことでユーザにも被害が拡大してしまいます。

情報漏えい

ランサムウェアが実行される過程では、情報の窃取が行われることが多いです。身代金の要求に応じなければ、窃取された情報が公開されたり、Webマーケットで販売されたりするリスクがあるでしょう。さらに、身代金を支払っても情報が漏えいしない保証はありません。

信頼喪失

ランサムウェアによって情報漏えいやサービスの停止などがあれば、企業や組織の信頼性を損なうでしょう。さらに、ランサムウェアを使った攻撃者は、窃取した情報を利用し、第三者をも脅迫することがあります。機会損失だけでなく、信頼喪失によってもビジネスへの深刻な影響が懸念されます。

金銭的損失

警察庁が2024年3月に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェアの被害から復旧に至るまでの期間について、1週間以上1ヵ月未満との回答が32％で最多でした。業務やサービスが1週間以上停止すれば、金銭的な損失は莫大なものになります。
被害の調査や復旧にかかった費用総額は100万円未満が23％で最多ですが、次いで500万～1,000万円未満という回答が20％となっています。ランサムウェアの被害では、金銭的な損失も大きいといえるでしょう。

ランサムウェアの攻撃プロセス

ランサムウェアによるサイバー攻撃は、次の4段階の攻撃プロセスがあります。ランサムウェアの感染を防いで被害を抑えるためには、攻撃のプロセスを知って、プロセスごとの対策を行うことが重要です。

1. ネットワークへの侵入

攻撃者は事前にターゲットとなる企業者や組織の脆弱性を調べ、ネットワークに侵入します。以前はメールへのファイル添付やWebサイトからの侵入が主でしたが、最近ではターゲットを絞った手口に変化してきました。
リモートワークが一般化したこともあり、社内システムに接続するVPN機器からの侵入、リモートデスクトップからの侵入が増加しているため、注意が必要です。

2. ハッキング

内部ネットワークに侵入した攻撃者は、ハッキングツールや遠隔操作ツールなどでネットワーク内の端末を操作し、権限の拡張やターゲットとなるデータの特定を行います。
セキュリティの検知や監視を避けて活動するために、企業や組織で正規に利用されているシステムやツールなどを利用する例が多いようです。

3. データの持ち出し

ネットワーク内で機密性の高い情報にアクセスできるようになると、攻撃者は脅迫に必要な情報を探索し、窃取を行います。
窃取した情報は攻撃者のサーバにアップロードされ、持ち出されます。

4. ランサムウェアの実行

データのアップロードが完了すると、攻撃者はランサムウェアを展開し、ファイルを暗号化します。確実にランサムウェアを実行するため、事前にセキュリティ機能を停止させることもあり、その後対象となる端末に身代金要求画面が表示されます。

ランサムウェアに感染してしまったときの対処法

ランサムウェアの感染が疑われたり、感染が確認されたりした場合は、被害が広がらないよう対処しなければなりません。以下で紹介する手順ですみやかに駆除してください。

＜ランサムウェアに感染した場合の駆除方法＞

社内での駆除に不安がある場合は、セキュリティベンダーに相談すると安心です。万が一感染したときのために、事前に手順を確認しておきましょう。

ランサムウェアの被害の予防方法

ランサムウェアの被害を防止するためには、攻撃プロセスの中で食い止める必要があります。ここでは、企業や組織が行うべき、ランサムウェアの予防方法を紹介します。

セキュリティツールの導入

ランサムウェアの被害を防ぐためには、アンチウイルスソフトやEDR（Endpoint Detection and Response）を導入しておきましょう。アンチウイルスソフトはランサムウェアの感染を予防するもの、EDRは万が一侵入された場合に素早く検知し対処するものです。

また、定義ファイルに頼らないウイルスソフトを導入しておくことも有効です。ランサムウェアは日々進化しており、定義ファイルでは検知できないものも増えているため、未知の不正ファイルにも対応できるセキュリティツールを利用すると安心です。

定期的なOSやソフトウェアのアップデート

OSやソフトウェアのアップデートは、ランサムウェア対策として重要です。アップデートすることで、OSやソフトウェアに含まれる脆弱性に対し、修正するセキュリティパッチが適用されます。

昨今はVPNの脆弱性を利用したランサムウェア攻撃も増加しているため、VPN機器のアップデートも定期的に行いましょう。

バックアップと保管

万が一ランサムウェアに感染し、データが暗号化されてしまったときに備え、重要なデータは定期的にオフラインでバックアップをとっておきましょう。
オンラインで保存しておくと、感染した際にバックアップまで暗号化されてしまう可能性があります。バックアップから復旧する際の手順も確認しておき、実行テストもしておいてください。

認証方法の強化

ランサムウェアの攻撃プロセスでは、データの暗号化の前に、内部ネットワークに侵入して権限の拡張やデータの窃取が行われます。最近では、VPN機器やリモートデスクトップの認証パスワードの不備をついた侵入も増えているため、システムやサービスの認証を強化しておくことが大切です。権限を持つユーザは絞り込み、多要素認証を利用することで侵入を防ぎましょう。

社内ルールの策定と運用

社員のリテラシー教育で、ランサムウェアの危険性を理解させることも重要です。不審なメールを安易に開かない、開発元がわからないフリーソフトをダウンロードしない、外部接続機器は勝手に利用しないといったルールとともに、感染してしまったらどのように対処すべきか手順を策定しておきましょう。

ランサムウェア被害を防ぐには、事前の対策が重要

ランサムウェアの被害は年々増加しており、手口も巧妙化しています。もし感染すれば、業務やサービスの停止による利益損失だけでなく、顧客からの信頼喪失など被害は多方面にわたるでしょう。被害に遭ってからの復旧には時間も費用もかかり、簡単ではありません。

NECフィールディングでは、ランサムウェアの被害を未然に防ぐため、お客さまの環境やお悩みに合った対策を提案します。ランサムウェア対策に不安があれば、お気軽にお問い合わせください。

ランサムウェアに関するオンラインセミナーはこちらからご覧ください。

【アーカイブ配信】※配信日：2024年9月30日まで
その時現場では何が起こる？ランサム被害の実態と、業務復旧に本当に必要だったもの
改めて学ぶHCIの基礎と、Nutanixで実現するランサムウェア対策

関連記事

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。