ランサムウェアとは?対策するには何が必要?わかりやすく解説
社内ネットワークなど、ITの活用は企業に大きな利益をもたらします。しかし、ネットワークを利用する以上、社内のデータは常に狙われているという認識を持たなくてはいけません。
特に企業のデータを人質に取り、金銭を要求する「ランサムウェア」に対しては、対策を万全にする必要があります。具体的に対策するために、ランサムウェアの知識を身に着ける必要があるでしょう。
この記事では、ランサムウェアの概要や危険性、感染した場合の対応などを解説いたします。感染しないための対策法まで網羅しておりますので、ぜひ最後までご覧ください。
目次
ランサムウェアとは?
ランサムウェアは、コンピューターに侵入し、企業に大きな損害をもたらします。ビジネスへのIT導入が当たり前の現代、ランサムウェアの脅威と対策方法を理解しておかなければ、安全に事業を行うことはできません。この章ではランサムウェアの概要を解説します。
デバイスに侵入するマルウェアの一種
ランサムウェアとは、社内の端末に侵入し、データやファイルを使用できなくする「マルウェア」の一種です。身代金を意味する「Ransom」と「Software」を組み合わせて「Ransomware」と呼ばれるようになりました。
ランサムウェアの検出件数はここ数年非常に多くなっており、その原因は新型コロナウィルスによる「リモートワーク」が普及したことと言われています。自宅や出張先など、社外から会社の端末へアクセスする機会が増えたことで、ランサムウェアの被害件数も増加しているのです。
マルウェアとは?
マルウェアは、コンピューターウイルスの総称です。悪意をもって開発されたソフトウェアであり、コンピューター利用者へ被害をもたらします。ランサムウェアが身代金を目的にコンピューターへ侵入するのに対し、マルウェアは単純な攻撃や損害を目的に使用される場合があります。
ランサムウェアが企業にもたらす被害とは?
ランサムウェアは企業に大きな被害をもたらす場合があります。それは社内だけでなく、時に顧客や取引先に及ぶ場合も。ランサムウェアの被害と脅威について見ていきましょう。
データを人質に身代金を要求される
会社の端末がランサムウェアに感染すると、社内のデータを人質にとられたり、端末の操作をロックされたりしてしまいます。感染した端末が社内ネットワークに繋がっている場合、他の端末にもランサムウェアが拡大してしまう恐れも。感染した端末の停止だけでなく、社内でのデータ共有も滞ってしまうため、復旧するまで業務を再開できません。
感染した端末の画面には、解除用のキーコードと引き換えに多額の金銭を要求するメッセージ(ランサムノート)が表示されます。ランサムノートの表示によって初めて感染に気づく場合がありますが、その時点ではすでに感染が拡大している可能性が高いです。感染が発覚した時点でローカル・グローバル両方のネットワーク接続を切り、被害状況の確認を急がなければなりません。
さらに、ランサムウェアの被害からの復旧には多額のコストが必要になります。警視庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、被害に合った企業のうち3割以上が、1,000万円以上の調査・復旧費用を要したとされています。その内8%の企業は5,000万円以上を費やしており、ランサムウェア感染による被害の大きさが伺えるでしょう。
このように、ランサムウェアへの感染は業務に多大な負荷がかかり、時間的にもコスト的にも大きな損失を招いてしまうのです。
顧客や取引先に被害が及ぶ場合もある
ランサムウェアへの感染は、自社の端末やデータだけでなく、取引先や顧客情報にも被害が及ぶ場合があります。ランサムウェアには端末からデータを抜き取る種類もあり、顧客の情報や機密事項などを人質に取られる可能性があるのです。
自社のデータが暗号化されただけであれば、時間とコストをかければ復旧し、感染前同様に業務を再開可能です。しかし、取引先や顧客情報が抜き取られていた場合はそうはいきません。
ランサムウェアにより個人情報や取引先企業の情報が流出した場合、被害状況を公に報告する必要があります。外部へ流出した情報量の多い・少ないに関わらず、企業の社会的信用が落ちることになるでしょう。自社の信用を保つためにも、ランサムウェアへの対策は万全にしなければなりません。
ランサムウェアの種類と特徴
ランサムウェアには「暗号化型ランサムウェア」と「非暗号化型ランサムウェア」の2種類があります。それぞれの特徴を理解しておくことで、ランサムウェア対策を万全にしましょう。
この章では暗号化型・非暗号化型の詳細を解説していきます。
暗号化型ランサムウェア
暗号化型ランサムウェアは、感染するとファイルや端末自体を暗号化され、データの閲覧や編集などが行えなくなるランサムウェアです。暗号化型ランサムウェアは、さらに以下の2種類に分けられます。
- ファイル暗号化型ランサムウェア
- ディスク暗号化型ランサムウェア
ファイル暗号型ランサムウェアは、文書や画像などのファイルを暗号化するタイプです。特定のファイルが閲覧・編集不可となりますが、端末自体は操作できます。これに対し、ディスク暗号化型ランサムウェアはシステムドライブごと暗号化されるため、CPUが起動できなくなるタイプです。
このほかにも、特定のソフトウェアやシステムを暗号化するランサムウェアがあり、いずれも復号化に高額な身代金を要求されてしまいます。
非暗号化型ランサムウェア
非暗号化型は、デバイスをロックし使用できなくするタイプのランサムウェアです。非暗号化型ランサムウェアには以下のような種類があります。
- 画面ロック型
- OS起動阻止型
- DDoS型
- ワイパー型
画面ロック型に感染した場合、デスクトップ画面やログイン画面で動作がロックされ、それ以降の操作が行えなくなります。OS起動阻止型は、OSを起動するのに必要なシステムが改ざんされ、使用不可になるタイプ。いずれも解除し、デバイスを使えるようにするのに多額の身代金を要求されます。
DDoS型は企業のサーバーに向け大量のデータを送信し、処理能力の低下やサーバーダウンを生じさせる攻撃手段です。PC自体は動いていますが、処理が追いつかないほどデータを送信され続けるため、まともに端末を動かせなくなってしまいます。
ワイパー型はファイルやデータを破壊してしまうランサムウェアです。このランサムウェアがバックアップにも侵入した場合、データの復元が困難となってしまいます。
日本で起きたランサムウェア被害の事例
ランサムウェアが企業にもたらす被害は、実際に攻撃を受けた事例から学ぶことが可能です。
ランサムウェアによる重大な被害は、国内でも発生しています。感染するとどのような被害が及ぶのか、過去に国内で起きた事例から学んでみましょう。
大手自動車メーカーのサプライチェーンが攻撃された事例
2022年、国内の大手自動車メーカーのサプライチェーン企業が不正アクセスによるランサムウェアの攻撃を受け、サーバーやパソコンの一部でデータが暗号化されました。社内外の機密情報が流出することはありませんでしたが、部品の生産がストップしたことにより、メーカーの提携する他の工場も稼働を止める事態に。
生産ラインの停止は1日に留まりましたが、完全に復旧するまでには1か月弱を要しました。この件で同メーカーの自動車1万3千台以上の生産に遅れが出たとされており、メーカーそのものの信用を落とす事態になったのです。
侵入の原因は、メーカーと外部企業とのリモート接続機器の脆弱性を狙われたことだった。国内トップシェアを誇る大手企業も被害を受けたとして、ランサムウェアの脅威を世に知らしめた事例といえるでしょう。
家庭用ゲームソフトメーカーが攻撃された事例
2020年、国内の大手ゲーム機・ゲームソフトメーカーがランサムウェアによる攻撃を受けました。業務時間中に社内システムへの接続障害を感知し、すぐさまシステムを遮断。システム障害を感知した端末内に脅迫メッセージが届いているのを発見し、同日中に障害の原因がランサムウェアであることが判明しました。この事態によって、一部の企業情報と数件の個人情報が流出したことを発表しています。
同社はランサムウェアの発覚後、早急に警察への連絡と外部企業への復旧支援を要請しました。侵入の原因となったのは、同社の北米の法人が保有していた「旧型のVPN装置」が攻撃を受けたことであり、これを機に全てのVPN装置の安全性を確認することとなったのです。
この件は、ランサムウェアの被害から企業を守るために、機器のセキュリティ対策を常に最新の状態へするべきという教訓となりました。
医療機関が攻撃された事例
2022年10月、地域の総合医療を担う医療機関がランサムウェアの攻撃を受け、電子カルテなどの情報システムが利用不可となりました。同施設では電子カルテが使用不可能となったことで、一時的に紙カルテを運用することとなりました。
電子カルテを復旧するまでには6週間、通常診療にも必要なシステムの復旧には2か月以上を要し、その間は医療の提供効率が大きく下がることに。外来診療の人数制限や、予定診療・手術のリスケジュールなどがひつようになりました。電子カルテをはじめとする医療機関の情報システムは、円滑な診療・会計・情報共有に欠かせないツールであり、システムが攻撃を受けたことで病院の運営に大きく影響したのです。
医療機関を狙ったランサムウェアの事例は増えています。同施設では個人情報の流出被害はなかったものの、ランサムウェアの種類によっては、患者や関係者、医療機関に所属する職員の情報が流出する重大な事態になりかねません。
この件は、サイバー攻撃の危機にさらされるのは企業だけでなく、公的機関などにも及ぶことが示された事例です。
ランサムウェアの感染経路とは?
ランサムウェアによる被害を防ぐには、ランサムウェアの感染経路の理解が重要です。感染経路を理解できれば、社内でのランサムウェア対策と、社員のネットワークリテラシーを強化可能です。
この章では、ランサムウェアの感染経路を細かく分けて解説します。
VPN機器
ランサムウェアの感染経路として最も注意すべきなのがVPN機器です。ランサムウェアの侵入経路のうち半数以上(71%)を占めるのがVPN機器の脆弱性を狙ったものとされています。VPN機器が感染経路となる原因としては、機器のセキュリティアップデートを行わないことが挙げられます。
そもそもVPNは、社内ネットワークの安全性を高めるために用いられるセキュリティの一種です。しかし、VPN機器のファームウェアをアップデートしないまま使用していたり、古いVPN機器を放置したりしていると、ランサムウェアの侵入を許してしまうのです。
VPN機器は、メーカーが提供するアップデートやセキュリティパッチをこまめにチェックし、常に最新のセキュリティ対策をする必要があります。古すぎる機器はアップデートの提供が終了している場合もあるため、アップデートの有無を確認することも重要です。
また、安全性の高いVPNネットワークの構築には、専門的な知識が必要となります。感染原因の大部分を占めるVPNに対しては、コストをかけてでもセキュリティ対策を万全にしなければなりません。セキュリティエンジニアへ対策を依頼すると、最適なVPNネットワークの構築とセキュリティ対策ができるでしょう。
リモートデスクトップ
VPN機器に次いで多い感染経路がリモートデスクトップです。リモートデスクトップとは、自宅や出張先など遠隔地の端末から会社のPCにアクセスし、そのまま操作できる機能のこと。便利な機能ですがセキュリティ対策がおろそかになりやすい側面があり、ランサムウェアからも狙われやすいです。
リモートデスクトップを利用する場合はVPN接続下でなければ使用できなくする、リモートデスクトップ用にセキュリティソフトを導入するなどの対策が重要です。また、危険性に対する社員の教育も重要。安全に運用するためのマニュアル・研修を充実させなければなりません。リモートワークが積極的に導入されるようになった今、働き方に合わせたセキュリティ対策も講じる必要があるのです。
メールの添付ファイルやURL
メールに添付されているファイルを開いたり、記載されているURLリンクへアクセスすることでも感染する場合があります。いわゆる迷惑メールと同じ手法であるため、感染の危険性はないと思われがちです。しかし、ランサムウェアを利用する犯罪集団は、取引先のメールに偽装したり、企業やブランドの公式サイトからロゴをコピーしたりして信頼性を高めようとします。
また、一見安全そうなアドレスからのメールも、公式のアドレスに見えるよう工夫されている場合があります。社員のセキュリティ教育が甘い企業は、感染する可能性が高いです。人的要因が大きいため、セキュリティソフトを充実させるだけでなく、社員一人ひとりにランサムウェアに対する危機感を理解してもらいましょう。
外付けHDDやUSB
オフラインの感染経路として、USBメモリや外付けHDDなどの外部ストレージを端末へ接続することがあります。
近年、NASの導入やクラウドストレージの利用が普及し、外部ストレージを使用したデータのやり取りは減少傾向にあります。しかし、取引先へ直接データを持ち込む場合や、ネットワーク環境の整っていない場所へデータを持ち込む場合は、外部ストレージを使用する場合もあるでしょう。
外部ストレージを経由して感染するのは、ランサムウェアに感染している端末のデータをストレージに保存し、社内の端末に持ち込んでしまった場合です。また、オンライン通販でソフトウェアを購入した際、データの入ったUSBメモリにランサムウェアが仕込まれている場合もあります。気づかないまま多くの端末で使用してしまうと、ランサムウェアの感染が拡大してしまうことに。外部ストレージ内をこまめにウイルススキャンしたり、プログラムの自動実行を行わないよう設定したりなど、予防を徹底することが重要です。
Webサイトの閲覧
Webサイトを閲覧することで感染するランサムウェアもあります。
Webサイト上にはさまざまなファイルやソフトのダウンロードのリンクがあります。公式サイトなど、安全性の高いサイトからのダウンロードは問題ありませんが、中にはランサムウェアを潜ませているダウンロードリンクもあるのです。
特に悪質なのが、知名度が高いソフトウェアのダウンロードリンクに偽装しているもの。予防するには、ソフトウェアのダウンロードを公的サイトからのみに限定し、怪しいサイトからのダウンロードを実施しないように気を付けなければいけません。
さらに、サイトにアクセスしただけでダウンロードが始まるケースもあるため、社内の端末でのwebサイトの閲覧やダウンロードには注意しなければいけません。
ランサムウェアに感染したらどうすればいいのか
ランサムウェアへの感染が発覚した場合や、ランサムノートが画面上に表示された場合は、速やかに対処し被害の拡大を防ぐ必要があります。適切な対処法を理解し、いざという時に焦らず対応しましょう。
①ネットワーク接続を切断する
ランサムウェアへ感染した場合、なるべく速やかに、感染した端末をネットワークから切断してください。感染した端末から他の端末へランサムウェアが拡大していく恐れがあるからです。仮にNASなどのハードディスクへ感染が広がった場合、復旧が困難になってしまう恐れも。すぐに実施できる切断方法としては端末に繋がっているLANケーブルを抜く、端末のWi-Fi機能をオフにするなどが挙げられます。
②ランサムウェアの種類を特定する
次に、セキュリティ対策ソフトで端末をスキャンし、ランサムウェアの種類を特定しましょう。スキャンで特定できない場合、身代金を要求する「ランサムノート」のテキストや画像をインターネットで検索し、一致する種類を特定します。感染したランサムウェアを特定することは、データの復号化を迅速に行うのに役立つため、なるべくすぐに実行してください。
③感染範囲と感染経路を確認する
ランサムウェアの特定後、感染したデータやシステムの範囲と、感染経路を特定します。感染したデータは、顧客情報や機密情報、社内ITインフラなど、暗号化・窃盗されると大きな被害が及ぶ情報を優先して確認しましょう。
また、感染経路を特定しなければ、脆弱性のあるシステムや機器が判明せず、再び感染してしまう恐れも。かならず確認し、以降の対策対策に役立てましょう。
④システムやデータの復号化を行う
感染範囲を特定した後は、原状回復を行います。バックアップデータを使用し、感染した端末を初期化・復旧しましょう。
なお、ランサムウェアの解除ツールを導入している場合は、初期化は行わずに暗号化を解除できる可能性があります。一部のランサムウェアは、「no more ransom」プロジェクトに復号化ツールが公開されているので確認してみましょう。バージョンや種類の違いで対応できないものもありますが、感染したランサムウェアの復号ツールが公開されているか確認してみてください
No More Ransomとは?
欧州の慶事機構やセキュリティ関係の会社が立ち上げたプロジェクトです。ランサムウェアについての最新情報や、過去に使用されたランサムウェアの復号化ツールが後悔されています。
リンク:The No More Ransom Project
ランサムウェア感染後の注意点は?
ランサムウェアに感染した場合、落ち着いて対処しなければ被害が拡大してしまいます。感染後に行ってはいけないことを理解しておき、正しく対処しましょう。
シャットダウンや再起動をしてはいけない
ランサムウェアに感染した場合、焦って端末をシャットダウンしたくなるでしょう。しかし、シャットダウンや再起動をすると、それまで作業中だったデータが消えてしまう恐れがあるため、絶対に行ってはいけません。
シャットダウンすることで一時的に暗号化は止まりますが、ランサムウェアを駆除できた訳ではないのです。再起動すれば暗号化が再開し、シャットダウン時よりも多くファイルを使用できなくなってしまう恐れもあります。感染発覚後は電源を落とさず、ネットワークからの切断を優先してください。
感染後にバックアップをとってはいけない
ランサムウェアに感染した状態でバックアップを行うと、感染したデータごとバックアップされてしまいます。サーバーやNASなどのストレージそのものが感染してしまい、最悪の場合復旧困難となってしまう恐れも。感染後は手動でのバックアップはもちろん、自動バックアップによる被害拡大を防ぐため、速やかにネットワークから切断しなければなりません。
金銭の要求に応じてはならない
ランサムノートに提示される金銭の要求には絶対に応じてはいけません。金銭を支払ったとしても、暗号化が解除されるという保証はないのです。
また、身代金を払うことによって、再度ランサムウェアを使用したサイバー攻撃の標的になる可能性も高くなります。感染後は速やかに感染の拡大阻止や復旧に努め、金銭の支払いを行わずに解決することが重要です。
ランサムウェアの対策方法
ランサムウェアに感染してしまった場合、膨大な復旧費用と時間を要することになります。その間、事業が成り立たなくなる可能性もあり、企業にとっての損失は計り知れません。
そうならないため、徹底したセキュリティ対策を用意しておくのが重要です。この章では、ランサムウェアに感染しないためのセキュリティ対策法について解説していきます。
①セキュリティ対策を万全にする
ランサムウェアへの感染を予防するためには、セキュリティ対策が最重要です。セキュリティ対策としては以下の方法があります。
- セキュリティソフトを導入する
- VPN接続の導入
- OSやファームウェアのアップデート
セキュリティソフトウェアの導入により、メールや添付ファイル、接続したストレージなどをスキャンし、ランサムウェアをいち早く検知できます。疑わしいファイルからのダウンロードやリンク先の表示をブロックすることで、ランサムウェアを端末に取り入れることがなくなるでしょう。
また、強固なVPNネットワークの構築も重要です。リモートでの業務効率向上を図りつつ、ランサムウェアへの感染を防ぐためには、VPN接続を導入することが必須といえます。機器自体の脆弱性をカバーするためにも、デバイスやVPN機器のOSとファームウェアは常に最新の状態を保ちましょう。
②データのバックアップを徹底する
定期的にデータのバックアップをとっておくことで、感染前の状態に復元することが可能です。バックアップによる復元は、復号化ツールやセキュリティソフトで復旧できなかった場合にも端末を復旧できます。
バックアップは常時ネットワークにつないでいるストレージと、定期的にバックアップし、ネットワークから切断しているストレージの2か所用意しておくと安全です。常時接続型はランサムウェアがストレージに入り込んでしまう恐れもあるため。オフラインの保存先を用意しておけば、万が一の事態に備えられます。
③社内のITリテラシー教育を充実する
社内のセキュリティ教育も重要です。ランサムウェアの感染経路の多くがVPN機器やリモートワークであることから、ネットワークを利用する社員一人ひとりの理解が必要といえます。
具体的には、ランサムウェアの脅威を理解する研修や、予防策・対応方法などをマニュアル化して配布するなど、社内教育を充実させると良いでしょう。メールチェックや情報収集のためのWebサイト閲覧、自宅や外出先から社内の端末へアクセスする場合など。さまざまなシーンで感染の恐れがあることを十分に理解し、感染時に適切な対応を行えるように促してください。
ランサムウェアには最新のセキュリティ対策を
ランサムウェアが企業にもたらす被害は重大であり、件数も多いことから、対策を万全にする必要があります。
ランサムウェアは日々新しい種類が生まれており、セキュリティ対策も常にアップデートしなければいけません。
その場合、専門知識を持ったセキュリティエンジニアが介入することで、社内データをより安全に守ることが可能となります。
ランサムウェアの脅威に対し、ケイティケイでは以下のようなセキュリティ対策をご提供いたします。
- どれぐらいの脅威に晒されているかUTMのデモ機を使って検証いたします
- 商社として様々なソフトウェアやセキュリティ機器をご提案いたします
- 被害を最小限に抑えるためのバックアップ方式を会社に合ったかたちでご提案いたします
- 感染端末のネットワークからの自動的遮断ができるセキュリティスイッチをご提案いたします
- EDR等のエンドポイントセキュリティをご提案いたします
- 添付メールのサンドBOX検査を実施いたします
ランサムウェアの脅威から身を守り、安全に事業を行える環境をつくりましょう。
お気軽にご相談ください
