情シス運用サポートBlog

2023.12.12

【国内外のランサムウェア被害事例】種類や対策を徹底解説

関連サービス
セキュリティ対策

目次

現在、企業や施設のシステムの脆弱性を突いてサイバー攻撃をしかけるランサムウェアが増加しており、企業や取引先、顧客に多大な損害を与えています。
ニュースなどを見て、その被害の例を認識している方も多いかもしれませんが、ランサムウェアとはどのようなものなのか、正確に理解しておかないと対策を講じるのも難しいでしょう。
この記事では、主なランサムウェアの種類や特徴、国内外の被害事例、対策方法などをご紹介します。

社員負担なしで マルウェアEmotetなどの 脅威を排除する方法とは?

ランサムウェアの概要と種類

ランサムウェアとは、システムの脆弱性を突いてPCをロックしたりデータを暗号化したりといった方法で利用不能な状態にするマルウェアの一種です。
攻撃者は、正常な状態に戻すことを条件に金銭や暗号資産などの身代金を要求してくるため、Ransom(身代金)を要求するSoftware(ソフトウェア)で、ランサムウェアと呼ばれています。

世界で初めてランサムウェアが確認されたのは1989年といわれており、その後少しずつ手法を変えて進化してきました。2013年には現在のランサムウェアの原型ともいえる「CyptoLocker(クリプトロッカー)」が出現しています。

独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2023」によると、組織ではランサムウェアによる被害が2022年に続いて第1位となっています。また、警視庁発表の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」における、警視庁に企業・団体から報告のあったランサムウェアの被害件数を見ると、2022年は230件で前年よりも増加傾向にあります。

ランサムウェアの脅威は現在も続いており、手口も巧妙化しています。たとえ身代金を支払ったとしても、解決できないこともあります。被害に遭わないためには、ランサムウェアについて詳しく知っておくことが重要です。そこでランサムウェアの主な種類をご紹介します。

ランサムウェアの仕組みや感染経路については、こちらの記事でも詳しく解説しています。
▼ランサムウェアの仕組みとは? 攻撃への対策とともに解説!
▼ランサムウェアの感染経路は? 感染すると起こり得る被害や対策方法を徹底解説!

WannaCry

WannaCry(ワナクライ)は、2017年に世界150か国で大規模な感染が確認されたランサムウェアです。
日本にも影響があり、20件以上の被害の事例が報告されています。
無差別かつ無標的なランサムウェアで「ばらまき型」と呼ばれるタイプでした。攻撃開始からわずか24時間で約30万台以上の端末に感染させたのです。
被害は企業にとどまらず、一般ユーザーにも影響を及ぼしたため大きなニュースになり、ランサムウェアが世間に広く知られるきっかけになったといえます。

WannaCryでは、SMB1(Server Message Block v1.0)という通信プロトコルが感染経路として利用されました。SMB1の脆弱性は攻撃前から指摘されており、提供元から修正プログラムが配布されていました。しかし、多くの企業がこの修正プログラムを取り入れていなかったため、ランサムウェアのWannaCryに感染したとみられています。

WannaCryは、メールに添付されたファイルから感染するだけでなく、PC操作をしていなくても感染します。感染後はファイルが暗号化されて使用できなくなり、画面上に暗号資産(仮想通貨)のビットコインでの支払いを要求するメッセージが出てきます。

さらに感染が世界中に拡大したのは、WannaCryに自己増殖機能を持つワームの性質が取り入れられていたことが考えられます。1台のPCに感染すれば、社内ネットワークすべてに感染が広がる可能性があるのです。

TeslaCrypt

TeslaCrypt(テスラクリプト)は、2015年2月に初めて確認された暗号化型ランサムウェアです。
感染するとデバイス内にあるファイルの拡張子が「.ccc」「.vvv」「.zzz」などになり、日本では「.vvv」のバージョンが多発したことから別名「vvvウイルス」とも呼ばれています。

検知された当初、それほど脅威レベルは高くなく、ファイルが暗号化される前にブロックできました。しかし、徐々に進化していき、2015年の12月には世界中に広がっていったのです。

TeslaCryptの感染経路は、メールやWebコンテンツからといわれています。フィッシングメールに添付されているファイルを開くことで、端末がTeslaCryptに感染します。Webコンテンツの場合は、改ざんされたWebコンテンツから攻撃するためのサイトにアクセスさせます。攻撃サイトでは、ブラウザやFlash、Javaなど様々なソフトの脆弱性を突いて、TeslaCryptに感染させます。

後にTeslaCryptの製作者がセキュリティの専門家の求めに応じて、暗号解除のためのマスターキーを公開し、TeslaCryptがもたらした混乱は終息しました。

CryptoWall

CryptoWall(クリプトウォール)は、2014年に初めて確認され、次々にバージョンを変えて、現在も攻撃を続けているランサムウェアです。2013年にWindowsのオペレーションシステムを狙ったCryptoLockerが停止された後に、CryptoLockerのコードを利用して登場しました。

JPEGファイルに見せかけた不正ファイルやWordファイルを添付したフィッシングメールを送りつけ、ファイルを開くと感染が広がる仕組みです。ファイルの拡張子は「.aaa」「.abc」「.zzz」などに変えられ、暗号化されます。暗号化されたファイルを復旧するための身代金を要求し、それに応じない場合はさらに倍額の身代金を要求してきます。

2021年にはCryptoWallの第4世代であるCryptoWall 4.0が登場しました。CryptoWall 4.0では、データやファイルの暗号化の他、これらを元に戻すためのバックアップファイルも暗号化します。バックアップを修復する機能も破壊するため、ファイルの復元は非常に困難になっています。CryptoWall 5.1という新たなバージョンも登場しているため、今後も警戒が必要なランサムウェアです。

BadRabbit

BadRabbit(バッドラビット)は、2017年にロシアやウクライナ、ブルガリアなどで被害が多発し、日本でもわずかですが被害が報告されたランサムウェアです。2016年に攻撃が確認されたPetya(ペトヤ)というランサムウェアの亜種ともいわれています。

正規のWebサイトを巧みに改ざんして、ユーザーに不正ファイルのダウンロードを促す手口が特徴です。悪意のあるコードを使った不正ファイルをダウンロードすると、BadRabbitに感染します。1台の端末が感染してしまうと、自動的に社内ネットワークなどを使って他の端末にも感染が広がります。正規のWebサイトを偽装しているため、ユーザーはウイルスとは気付きにくく感染を広げてしまうのです。

感染したPCは自動的にシャットダウンされ、ファイルの暗号化が行われ、身代金の要求があります。

Locky

Locky(ロッキー)は、2016年から2017年にかけて世界中で猛威をふるったランサムウェアです。ニュージーランドやチェコ、カナダ、アイルランド、フランスなどで感染が広がり、日本でも被害報告があります。
不正なファイルを添付したフィッシングメールを送り、添付ファイルを開くとPCに感染します。2017年8月には24時間で2,300万通ものメールが送られました。

多くの場合、請求書通知などの名目でZIPファイルやPDFファイルが添付されて送られ、ファイルを開いた相手側のPCが感染してしまいます。脅迫文は多言語に対応しており、過去日本語で書かれた脅迫文も確認されました。
2018年にはLockyになりすました新たなランサムウェアPyLocky(パイロッキー)が確認されています。

Conti

Conti(コンティ)は、2020年に発見された、組織や企業をターゲットにする標的型のランサムウェアです。攻撃対象はWindowsのすべてのバージョンで、MacやLinux、Androidなどは対象外と考えられています。

Contiは情報窃取型マルウェアを通して標的の端末に侵入します。感染すると、Windowsのストレージ管理機能を削除して、OS機能を利用停止状態にします。

Contiの名称はロシアに拠点を置くサイバー犯罪集団からとられています。ランサムウェアの開発はContiですが、ランサムウェアの開発スキルのない組織でも運用ができるRaaSの形態をとって広まったのが特徴的です。RaaSはRansomware as a Serviceの略であり、ランサムウェア攻撃をサービスとして提供するビジネスモデルを指します。

RaaSが誕生した背景には、ランサムウェア攻撃から得た身代金でビジネスが成り立つことが挙げられます。さらにランサムウェアに関するノウハウや技術を持たない組織でも容易にサイバー攻撃ができることが懸念されています。

関連の参考記事もご用意しております。
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう

国内のランサムウェアの被害事例1:C社

日本の大手企業、C社では2020年、標的型のランサムウェア攻撃を受けました。
攻撃者はロシアに拠点を持つ組織Ragnar Lockerと想定されています。

組織は、C社の海外現地法人のVPN機器から社内ネットワークに侵入して、アメリカや日本国内の拠点の乗っ取りを実施。感染後は大規模なシステム障害が起きて、1TBもの重要情報が流出しました。C社は、顧客情報約35万件分や個人情報、財務情報などが漏洩した可能性があると発表しています。

攻撃者からは日本円にして約11億5000万円のビットコインを要求されましたが、C社は要求には応じず、システムの復旧をはかりました。顧客情報の漏えいも含め、システムの復旧に1か月を要して多大な損害を被りました。

ランサムウェアの感染経路となった海外現地法人のVPN機器は、旧型のものでした。C社ではすでに新型のVPN機器を国内はもちろん、海外拠点にも導入済みでしたが、新型コロナウイルス感染拡大の影響でネットワークの負荷が増加すると考え、緊急用に旧型のVPN機器を残していました。有事の際のBCP(事業継続計画)の一環として残しておいた機器がランサムウェアの標的になってしまったのです

C社ではランサムウェア被害を受けて、旧型のVPN機器を破棄、ソフトウェア会社に依頼して侵入された疑いのある機器全台をクリーニングしています。その他、外部との通信を監視するSOC(Security Operation Center)サービス、ランサムウェアやウイルスを早期に検知するためのEDR(Endpoint Detection and Response)を導入しています。

関連記事もご用意しております。
▼EDRと振る舞い検知の併用でセキュリティ対策を強化! それぞれの仕組みと違いを解説
▼CrowdStrike FalconはEDR・NGAV製品。エンドポイントを強化する仕組みは?

国内のランサムウェアの被害事例2:H社

H社では2017年にランサムウェアの攻撃を受けました。
世界中でWannaCryの大規模な感染が確認された時期で、H社のネットワークも脆弱性対策がされていない機器が発端となり被害に遭いました。情報システム部門の管理下にあるサーバーにとどまらず、生産システムや倉庫システムなどあらゆるシステムにわずか3時間で一気に広まりました。

H社ではすぐに対策本部を設置して、復旧に向けた対策方針の決定や通信の遮断、ウイルスの駆除、外部への被害拡大の抑止などを行いました。攻撃者から身代金の要求がありましたが、支払いには応じず復旧に努めました。

復旧後には、感染ルートの調査や再発防止に向けた取り組みを実施しています。その結果、感染が始まったのは、海外の拠点に設置されていた検査機器ということが判明しました。現場の機器はセキュリティ管理の対象外だったため、ウイルス対策をしていなかったのです。

さらに感染当時はエンドポイントのセキュリティを重視していたため、ネットワーク自体が安全性よりも利便性を優先した設計になっていたこと、BCPが自然災害だけを想定していたため、サイバー攻撃には対応しきれなかったことなどが課題として挙げられました。

国内のランサムウェアの被害事例3:病院

2021年、国内の病院がランサムウェア(Lockbit2.0)の攻撃に遭いました。
病院内に設置してある複数のプリンタが犯行声明を印字したことで感染が発覚しました。攻撃者は、VPN装置の脆弱性を突いて病院のネットワークに侵入した可能性が高いと考えられています。電子カルテなどのデータが暗号化され使用できない状態になり、診療や患者の受け入れができない状態に陥りました。

病院は、速やかに地震災害用のBCPを実行して、警察に被害届けを出し、公的機関や関係各所にも積極的に情報を共有しました。また、複数のベンダーの協力を得て、感染した全端末の初期化や医療データの復元を実施しました。しかし、感染から通常診療が再開できるようになるまで65日を要しました。

感染から3か月後には、サイバーセキュリティの専門家らからなる有識者会議を設置して、感染原因の解明や被害状況の正確な把握を行っています。
調査によると、感染の原因となったのはVPN装置に限らず、1つのPCにログインすればすべてのPCにアクセスできる状態だったことや簡単なパスワードを使用していたことなどが挙げられています。さらにOSのアップデートが実施されていなかったり、ウイルス対策ソフトが稼働していなかったりといった問題点もありました。

加えてインフラの提供や設定を行っているベンダーやアプリケーションを提供するベンダーのいずれも経験、知識ともに不足しており、復旧に時間を要した一因とされています。

関連記事もご用意しております。
▼ランサムウェア感染時の復旧方法とは? 初期対応から被害を抑える対策まで徹底解説

国内のランサムウェアの被害事例4:HN社

HN社では、2020年にランサムウェアによる攻撃を受けています。
この時に使われたのは2019年に出現したSNAKE(別名EKANS)と呼ばれる比較的新しいランサムウェアです。感染後、社内ネットワークがダウンして、国内外にある工場で生産が一時ストップしました。

社内ネットワークの中枢のサーバーに侵入して、セキュリティ設定を変更した上で接続を遮断してデータを暗号化するという特殊な手法がとられています。また、身代金を要求する脅迫文が中枢のサーバーにしか表示されない点も特徴的です。

このランサムウェアはHN社のネットワークに侵入するために、いくつかの改造を施しており、HN社を標的にした攻撃といえるでしょう。専門家は、事前に内部に侵入して攻撃の準備を進めていた可能性が高いと指摘しています。

国内のランサムウェアの被害事例5:N社

N社は、2021年にランサムウェア攻撃に遭いました。
グループ会社で複数のシステム障害が起きていたため、サイバー攻撃を受けていることが発覚しました。さらに感染は広がり、主要な基幹システムサーバーからファイルサーバーなどのデータが暗号化される事態に陥りました。

N社ではBCPも万全で、データセンターを分散させるなどの対策を講じていました。しかし、同時多発的なランサムウェア攻撃は想定以上の規模になり、データセンターも被害を受けてしまいました。ウイルス対策ソフトの導入や不正検知システムの整備なども実施されていましたが、ランサムウェアの威力は想像を上回るものだったといえます。

海外のランサムウェア被害事例

ランサムウェアの脅威は、世界中に広がっています。2023年11月には中国の大手銀行がランサムウェアの被害に遭い、米国債の取引にも支障が生じています。ここでは過去に海外で起きたランサムウェア被害事例で特に大規模なものをご紹介します。

アメリカ

2021年、アメリカの大手石油パイプライン企業が犯罪者グループからランサムウェアの攻撃を受けました。攻撃者は、VPNの正規パスワードを使用して、同社の情報システムに侵入したものとみられています。パスワードは複雑なものを設定していましたが、すでにインターネット上で使われていたもので、攻撃者はWebサイトからパスワードを入手した可能性が高いといえます。

侵入から2時間で100GB以上のデータが盗まれ、情報システムが使用不能になったことで、企業は約1週間、操業を停止しました。これを受け、燃料不足を懸念する市民や燃料が必要な関連機関などが混乱に陥り、アメリカ政府も対策に奔走しました。

ドイツ

2020年、ドイツの医療関連企業がランサムウェアSNAKEの攻撃を受け、業務停止に陥りました。攻撃から2週間後には患者情報の一部がインターネットに流出しました。製造ラインや診療サービスが停止状態になり、多くの人々が影響を受けています。

悪意のある第三者が管理サーバーに侵入し、患者情報などのデータを抜き取った可能性があるといわれています。医療機関や医療関連企業に対するランサムウェア攻撃は多発しており、引き続き警戒が必要といえるでしょう。

イングランド

イングランドでは、2017年、国民保険サービスに対するランサムウェアWannaCryの感染が確認されています。感染後、複数の医療施設で患者情報へのアクセスやデータの送受信などができなくなり、一部の病院では診療予約のキャンセルや救急車の受け入れ停止などを余儀なくされました。

感染の原因は、セキュリティの脆弱性を突かれたものと考えられています。イングランドの議会では、国民保険サービスへのIT予算の削減が問題視されており、今後の課題といえます。

ランサムウェアのセキュリティ対策とは

ランサムウェアは日々進化しており、従来のセキュリティ対策では感染や被害拡大を防げない可能性があります。ランサムウェアの攻撃者は、システムの脆弱性などを分析して巧みな方法で攻撃を仕掛けてくるため、より強固なセキュリティ対策が必要なのです。

ゼロトラスト=何に対しても信頼を与えないという概念のもと、セキュリティ対策に取り組みたいものです。ランサムウェアの被害に遭わないための具体的な対策方法を解説します。

関連記事もご用意しております。
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう

セキュリティソフトの導入

ランサムウェアをはじめとするサイバー攻撃やウイルス感染をいち早く知るためには、セキュリティソフトやセキュリティツールの導入が不可欠です。サイバー攻撃が巧妙化している現在、従来型のセキュリティソフトでは対応しきれない可能性もあるため、NGAVやEDRなどをあわせて導入すると良いでしょう。

NGAVやEDRについては下記の記事で詳しく解説しています。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介

OSやアプリケーションのアップデート

OSやソフトウェア、アプリケーションは常に最新のものにアップデートするよう心がけたいものです。OSやソフトウェアには潜在的な脆弱性があり、ランサムウェアの攻撃者の標的になりやすいため、古いバージョンのまま放置しないよう気をつけましょう。

データのバックアップ

定期的なデータのバックアップは、セキュリティ対策として有効な方法です。万が一、ランサムウェア攻撃に遭った場合でもデータのバックアップがあればそこから復元できます。バックアップデータが感染しないよう、社内ネットワークから隔離した場所に保存しましょう。クラウドやバックアップサーバーなど、異なる形態でのバックアップも必要です。

バックアップについては、こちらの記事でも詳しく解説しています。
▼ランサムウェアの被害を防ぐには? 安全なバックアップ方法や感染時の対処法を解説
▼ランサムウェア対策はクラウドストレージへのバックアップが有効! おすすめの製品も紹介

パスワード管理の強化

パスワードは、攻撃者に推測されない複雑なものが基本です。桁数が多く、意味のないランダムな文字や数字を組み合わせて作ると良いでしょう。また、同じパスワードを使い回さないことも大切です。多要素認証の導入も有効ですので検討してみてください。

企業全体のセキュリティ意識の向上

情報システムの担当者に限らず、従業員全体のセキュリティに対する意識の向上も必要です。最新のランサムウェアやサイバー攻撃などの事例を周知する資料の配布やセミナーの実施など、常に周知徹底すると良いでしょう。

セキュリティに強い専門家のサポート

ランサムウェアの手口は日々進化しており、社内の担当者だけでは対応しきれないケースがあります。信頼できる外部のソリューションサービスや支援サービスを活用するのも良いでしょう。

テクバンはITインフラの構築から次世代セキュリティ対策まで、豊富な実績を持つマルチベンダーです。VMwareCarbon Black Cloud導入支援は、高度化するサイバー攻撃を未然に防ぐクラウド型セキュリティです。次世代のアンチウイルス機能とEDR機能で未知の脅威も迅速に検知します。

Sophos Intercept X Advancedは、高性能AI(予測型ディープラーニング)でマルウェアを検出できます。さらにSophos Firewallとエンドポイント保護製品であるIntercept X Advancedが連携して、脅威の検知からネットワークの保護、マルウェアの駆除、復旧までを自動で行います。

CrowdStrike Falcon導入支援は、クラウド環境を想定して開発されたクラウドネイティブで、世界中の最新の脅威情報を自動的に更新し、脅威を未然に防ぎます。

テクバンへ相談する

ランサムウェア被害事例から学びを

国内外のランサムウェアの被害事例とその種類について詳しくご紹介しました。
被害事例やランサムウェアの特徴を知ることで、有効な対策が講じられます。ランサムウェアは日々進化しているため、常に最新の動向をチェックしておくことも大切です。被害事例からセキュリティ対策には何が必要なのかを把握して実行しましょう。

マルウェアについてはこちらの記事でも詳しく解説しています。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説

関連サービス
テクバン情シス支援

EDR導入支援

進化する脅威からお客様の環境を守り抜くテクバンのサービス

詳しくはこちら

お気軽に
ご相談ください