ランサムウェアは、マルウェアの中でも「身代金を要求する」点が他とは異なります。ひとたび攻撃を受けて侵入・感染を許してしまうと、ビジネスにおける影響は甚大です。
ランサムウェア対策を強化させるには、その仕組みを知り、セキュリティに穴を作らないことが重要だといえるでしょう。
本記事では、ランサムウェアの仕組みや被害の事例、攻撃への対策を解説します。
ランサムウェアとは
ランサムウェアを使ったサイバー攻撃による被害は年々増加しています。セキュリティ対策を考えるにあたり、ランサムウェアの概要を再確認しておきましょう。
ランサムウェアはマルウェアの一種
ランサムウェアは悪意のあるソフトウェア、つまりマルウェアの一種です。
サイバー犯罪の手段として、トロイの木馬やスパイウェア、ワームなどとともに大きな脅威となっています。
ランサムウェアはマルウェアと区別して呼ばれることがありますが、その理由はランサムウェアの特徴や攻撃の目的が他のマルウェアとは大きく異なるためです。
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう
ランサムウェアの最大の特徴は身代金の要求が絡むことです。
ランサムウェアは、英語のRansom(ランサム=身代金)とSoftware(ソフトウェア)を組み合わせた呼び名になっています。身代金を手に入れることを目的とした攻撃のため、例外を除いて身代金の要求を伴わないマルウェアはランサムウェアには該当しません。
身代金を要求するランサムウェアは、自身の存在をアピールする必要があります。一方、他のマルウェアは秘密裏に情報を抜き出すといった攻撃を行うため、自身の存在を秘匿する必要がある点も大きな違いです。
マルウェアについて以下の記事で詳しく解説していますので、併せてご参考にしてください。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
ランサムウェアの歴史
ランサムウェアの歴史は古く、その始まりは1989年といわれています。
世界で最初のランサムウェアだとされているのは「AIDS Trojan」と呼ばれるシェアウェアです。当時はフロッピーディスクに記録されたランサムウェアを郵便で送るという攻撃手段が使われていました。
AIDS Trojanをインストールしたコンピューターの起動が一定回数に達すると、トロイの木馬がファイルを暗号化するなどの攻撃を実行し、通常のアクセスができなくなります。その上で「回復するためには189ドルを支払え」と身代金を要求するメッセージが表示されるというものです。AIDS Trojanによる実害がどの程度あったのかは明らかになっていません。
その後、2000年代に入ると数年間隔で新たなタイプのランサムウェア攻撃が確認されるようになり、復号キーと引き換える身代金として仮想通貨を要求するものまで出現しています。
その金額も数ドルの少額のものから高額のものまで様々です。近年では、インターネットに接続されているコンピューター端末以外の情報機器が、ランサムウェアの攻撃にさらされるケースもあるようです。
▼【国内外のランサムウェア被害事例】種類や対策を徹底解説
ランサムウェアによる主な被害
ランサムウェアによる攻撃にさらされた場合、主に以下のような被害が生じる恐れがあります。
- 業務中断
データやファイルにアクセスできなかったり、システムが正常に動作しなかったりすると、業務が中断してしまいます。一般企業だけでなく、病院や公的機関の業務に支障が生じると多くの人に影響が及び、被害はより深刻になるといえるでしょう。 - データ消失
仮に身代金を払ったとしても、重要なデータを消失されてしまう可能性は十分にあり得ます。
▼ランサムウェア対策はクラウドストレージへのバックアップが有効! おすすめの製品も紹介 - 身代金
データを回復するために支払った身代金を取り戻すことは、非常に困難です。 - 一連の出来事による信用失墜と風評被害
ランサムウェア攻撃の被害が発生した場合、取引先や世間で「サイバーセキュリティの対策が不十分な企業」だという認識をもたれかねません。セキュリティ対策をとっていたとしても、そのような過去から敬遠されることもあるでしょう。
また、身代金を支払った場合に、「犯罪組織に資金を提供した企業」として批判の目を向けられるケースもあり、信用失墜に至る可能性があります。
ランサムウェアが出回る背景
ランサムウェアを使ったサイバー攻撃が出回る背景として、最重要といえるのが身代金の存在です。攻撃者側にとっては金銭や仮想通貨を手に入れるチャンスとなり、また金額の設定は攻撃者の自由です。支払いに応じやすい少額の要求でも、ランサムウェアを拡散して攻撃対象を広げれば、全体で莫大な金額を手に入れることも可能になります。
身代金目的でランサムウェア攻撃を仕掛ける者が、必ずしも自身でランサムウェアを生み出しているとは限りません。とある攻撃者にランサムウェアを提供するだけで自身では攻撃を直接仕掛けず、利益を得ようとする開発者も存在するのです。
新型コロナウィルス感染症の拡大を受けて、リモートワークを導入する組織が急増しましたが、この環境の変化がセキュリティの盲点となってランサムウェアが出回る背景となっている点も見逃せません。オフィスとは異なり、各社員がリモートワークを行う場所のセキュリティレベルにバラツキがあったり、後述するリモートデスクトップ環境が狙われたりするためです。
ランサムウェアの仕組み
ランサムウェアの攻撃について、仕組みや種類を確認しておきましょう。
ランサムウェア攻撃の流れ
ランサムウェアには一般的に、①配信・侵入・拡散、②感染拡大・情報抜き取り、③暗号化・ロック、④身代金の要求、という段階があり、分けて考えることができます。
- 配信・侵入・拡散
ランサムウェア攻撃は、フィッシングメール配信によりターゲットのネットワークに侵入することから始まります。この段階では、単に侵入したマルウェアの一種があるというだけです。侵入したマルウェアは、ネットワーク内で拡散します。 - 感染拡大・情報抜き取り
ランサムウェア攻撃は、感染拡大とともに情報の暗号化やシステム・端末のロックだけでなく、前段階として情報の抜き取りも行われるケースが多くなっています。企業へ脅迫を行うために必要な情報を見つけ出し、窃取するのです。 - 暗号化・ロック
次の段階で、ランサムウェア攻撃の中核となるデータやシステムの暗号化・ロックが行われます。暗号化・ロックが行われた時点で、情報のアクセス・使用が不可能となります。 - 身代金の要求
最後に、身代金の要求を行います。ターゲットとなった企業側に、仮にデータのバックアップがあったとしても、抜き取られていれば情報をばら撒かれる恐れがあるため、要求を無視できない状況に追い込まれかねません。
ランサムウェアの侵入・感染経路
ランサムウェアがネットワークに侵入・感染する経路は、主に以下の通りです。
- メール(URL誘導・添付ファイル)
割合が下がったとはいわれるものの、もっとも古くから使われており一般的だといえる侵入経路はメールです。攻撃側としてはターゲットにメールを開封させ、添付ファイルのダウンロードやURLをクリックさせる必要があるため、取引相手や信頼できるブランドなどと誤認させる「フィッシングメール」を送りつけます。一斉送信による不特定多数への攻撃に使われやすい経路です。 - Webサイト
Webブラウジングをするだけでランサムウェア攻撃のターゲットとなることがあります。ランサムウェアを送り込むことを目的とし、正規サイトを改ざんしたサイト(フィッシングサイト)があるためです。
一般的に攻撃用のサイトでは、リンクのクリックやダウンロードなど何らかのアクションをユーザーに促し、そこから侵入・感染を試みます。 - リモートデスクトップ
リモートワークで使われており、デスクトップ環境で遠隔操作を行うリモートデスクトップの特性を悪用したランサムウェアの侵入・感染があります。
盗んだID・パスワード情報を使用して、攻撃者はログインを試行します。または、脆弱性があるリモートデスクトップが攻撃者に検知されると、ランサムウェアの感染経路として悪用されるのです。 - VPN機器の脆弱性
インターネットを介し、社内外をつなぐ安全なネットワーク環境を構築するためのVPN(Virtual Private Network)ですが、インターネット上で脆弱性のあるVPNを検出し、そこからリモートでネットワークへ不正アクセスを行います。VPN機器の脆弱性も、ランサムウェアの侵入・感染の要因となり得ます。 - USBメモリやハードディスク
ランサムウェアをUSBメモリやハードディスクなどのリムーバブルメディアに仕込んで侵入・感染させる手法があります。特に、リムーバブルディスクを接続すると自動処理を行う機能がある場合、攻撃側に有利となってしまうため、注意が必要です。
ランサムウェアの感染経路については、以下のページで詳しく解説しています。
▼ランサムウェアの感染経路は? 感染被害や対策方法を徹底解説!
ランサムウェア攻撃の手口について
ランサムウェアによる攻撃の手口である「暗号化型」「端末ロック型」「暴露型・標的型」の3つについて解説します。
暗号化型
ランサムウェア本来の攻撃手口ともいえるのが「暗号化型」です。
侵入・拡散したランサムウェアが、データファイルやシステムファイルを暗号化して通常のアクセスを不能にします。同時に、アクセスの回復に必要な復号化キーを欲しければ身代金を支払えというメッセージを表示し、金銭を得ようとする攻撃型です。
▼ランサムウェア感染時の復旧方法とは? 初期対応から被害を抑える対策まで徹底解説
端末ロック型
「端末ロック型」は暗号化型とは異なり、端末そのものが通常通り操作できなくなる攻撃型です。身代金要求のパターンは暗号型と同様で、ロックしたことを画面表示し、ロック解除と引き換えに、身代金を支払えと恐喝します。
端末ロック型の場合、データファイルを暗号化することはないため、データを失うリスクは暗号化型に比べれば少ないといえるでしょう。
暴露型・標的型攻撃
暗号化型や端末ロック型のような人質をとる手口そのものとは異なりますが、2020年になると「抜き取った情報をばら撒く」と脅迫して身代金を得ようとする「暴露型」が増えています。
暴露型の恐喝行為は二重恐喝の第二の恐喝に当たるものです。情報漏えいの影響が小さいと攻撃者にとっては大きな利益につながらないことから、不特定多数ではなく特定のターゲットに絞った攻撃が主となります。そのため「標的型攻撃」とも呼ばれています。
ランサムウェアの種類
ランサムウェアとひと口にいっても、その種類は多数あります。ここでは主要なランサムウェアについて解説します。
- Bad Rabbit(バッドラビット)
企業を主なターゲットとして感染が拡大したBad Rabbitは、2017年の秋に存在が広まったランサムウェアです。ロシアなどが感染の中心でしたが、その後は世界中に拡散しています。 - CryptoLocker(クリプトロッカー)
CryptoLockerは、2013年に確認されたランサムウェアです。フィッシングメールの添付ファイルを主要な拡散手段としています。猛威を振るった期間は1年足らずですが、一説によると被害は多額に上っています。 - Darkside(ダークサイド)
Darksideによる被害としては、2021年に発生したアメリカのコロニアル・パイプライン社の事例がよく知られています。同社の操業が一時停止しただけでなく、影響は広範囲に及びました。Darksideは、攻撃者である犯罪集団の名称でもあります。 - GandCrab(ガンクラブ)
GandCrabは、2018年に発見されたランサムウェアで、日本国内でも被害が発生しています。メールを主な拡散媒体としており、多くの場合、件名が不自然な点が特徴です。 - Maze(メイズ)
Mazeは、暴露型・標的型攻撃に用いるランサムウェアとして2019年に登場しています。当初はメール添付による侵入が主でしたが、リモートデスクトップやVPN機器など製品の脆弱性を狙ったものもあります。 - NotPetya(ノットペトヤ)
NotPetyaは、ペトヤ亜種と呼ばれる種類のランサムウェアで、2017年にウクライナで猛威を振るったことで知られています。
攻撃の対象者のハードディスク全体に被害を与え、ハードディスクを丸ごと暗号化。NotPetyaは一気に拡散し、機器の脆弱性を悪用したりID情報を窃盗したりといった手法を用いて、瞬時にネットワークへと感染するのです。 - REvil(レビル)
REvilは、ランサムウェアを使ったサイバー攻撃を仕掛ける犯罪集団の名称であり、この集団が用いるランサムウェアの名称にもなっています。著名人や有名企業などをターゲットとして攻撃を行っている点が特徴です。 - Ryuk(リューク)
Ryukは、より高額な身代金の奪取を目的とし、大きなターゲットへの攻撃に用いられるランサムウェアです。2018年から拡散されており、一説によると被害金額は1億ドル以上にも及ぶといわれています。 - WannaCry(ワナクライ)
WannaCryは、ランサムウェアであり、ワーム(自動的に感染を拡げていく特徴がある)でもあるため、単独で存在可能で、自己増殖する点が特徴です。ネットを介して感染が拡大します。
ランサムウェアの新しい脅威
ランサムウェアには、次のような新しい脅威が存在します。
- Ransomware as a Service (RaaS)
ランサムウェアによる攻撃は、新しい犯罪ビジネスモデルとして成立しています。ランサムウェアにより身代金が手に入るケースが少なくないことから、闇のサービスが誕生したわけです。
前述したように、ランサムウェアの開発・提供だけを行う者が別に存在することで、開発技術を持たない者でも攻撃が可能になります。RaaSの事例としてよく知られているのが、前項で紹介したREvilです。 - DLLサイドローディング
ランサムウェアによる攻撃には、悪意のあるDLL(Dynamic Link Library)をロードする「DLLサイドローディング」と呼ばれる手法を用いるものがあります。DLLサイドローディングを行うことで、脆弱なターゲットが比較的簡単に見つかりやすいといわれています。長期にわたり攻撃を続け、セキュリティによる防御を回避できる可能性が高まるのです。
ランサムウェアの被害事例
ランサムウェアによる攻撃で発生した数多くの被害の中から、代表的な事例を紹介します。
「Darkside」を使った手口/コロニアル・パイプライン社の事例
前述したコロニアル・パイプライン社に対する2021年のDarksideによる攻撃では、一時的にパイプラインの操業がストップする事態に陥っています。そのため、アメリカ政府が18の州で燃料輸送に関する緊急措置を行うなどの影響が生じました。
さらに、身代金の要求を受けたコロニアル・パイプライン社では、事態を打開するために440万ドルにも及ぶ金額を支払っています。
「LockerGoga」を使った手口/ノルスク・ハイドロ社の事例
アルミニウムを製造するノルウェーのノルスク・ハイドロ社が、ランサムウェアによる攻撃を受けたのは2019年3月のことです。この攻撃に用いられた暗号化型のランサムウェアはLockerGogaと呼ばれています。
攻撃の影響は、一部の操業停止や自動操業から手動での操業への切替など、世界中に展開する全社に及びました。被害総額は60~70億円ともいわれています。
LockerGogaの特徴は、身代金の要求がなく、金銭の支払いで回復するわけではないことです。ランサムウェアとしては珍しく、身代金目的ではなく業務停止を狙ったものだといわれています。
「REvil」を使った手口/カセヤ社の事例
アメリカの大手IT企業であるカセヤ社は、2021年7月にランサムウェアによる攻撃を受けています。他の被害事例と大きく異なるのが、カセヤ社が被害に遭っただけでなく、カセヤ社のツールを使用している1,500社もの企業にまで被害が及んだ点です。
攻撃を行ったのはREvilと呼ばれるハッカー集団で、使われたランサムウェアもREvilです。要求された身代金は日本円で約80億円にもなります。
「GandCrab」を使った手口/国内自治体の事例
2018年10月、奈良県の病院がランサムウェアによる攻撃を受けました。2日間にわたり電子カルテシステムが使用不能になり、紙ベースでの処理を行うなどの影響が発生しています。身代金の要求には応じていません。
感染した原因は、システム会社の不備により、最新のセキュリティソフトがインストールされていなかったことが原因であると報告されています。その他、バックアップ体制にも不備があり、データが一部復元できなかったとのことです。
ランサムウェア対策とアウトソーシング
次項より、ランサムウェアによる攻撃を受けたときの対処法と、攻撃を受けないための予防法、総合的なランサムウェア対策としてのアウトソーシングサービスについて解説します。
対策①ランサムウェアの駆除と復旧
ランサムウェアの侵入を許してしまったときは、早急に以下の対処を行う必要があります。
- 当該端末のネットワークからの隔離
- ランサムウェアの特定と駆除
- 復旧
侵入したランサムウェアは、ネットワーク上に存在する各種端末へと感染を拡大します。ネットワーク上での拡散スピードの速さを考えれば、一刻も早い隔離が必要です。ケーブルで接続されている場合は、端子から外すだけで素早く隔離できます。感染している端末を隔離した後は、ランサムウェアの種類を調査特定し、完全に駆除することが重要です。
ランサムウェアの種類の特定には、ランサムウェアが表示するメッセージ(ランサムノート)やファイルの拡張子を手掛かりに特定できるでしょう。また、ランサムウェアを駆除するための一般的な方法は、ウイルス対策ソフトの利用です。信頼度が高い最新版ソフトの用意と、定義ファイルの更新も必要となります。時間はかかりますが、フルスキャンで隠れているランサムウェアを検知できるため、駆除を実行してみるとよいでしょう。
駆除が終われば、データの回復・復旧を行います。ただし、よほどのことがない限り、身代金を支払って復号キーを入手する方法はおすすめできません。
対策②No More Ransomの活用
No More Ransomとは、ランサムウェアの被害を受けたユーザーのために、無料で復号ツールを提供している国際的な非営利団体です。No More Ransomが公開している復号ツールで、復旧が可能となるケースがあります。対応するランサムウェアについては、No More Ransomプロジェクトのサイトで確認可能です。
対策③重要なデータのバックアップ
万一に備えてデータのバックアップをこまめに実施しておくことで、円滑な復旧につながります。
ランサムウェアによる攻撃は、そのほとんどが身代金目的で行われます。アクセスできないデータが人質となっているため、人間や動物の誘拐事件とは異なり、身代金と人質解放を同時に行うといった取り扱いは困難です。身代金の支払いを確認後に復号キーを引き渡すといった条件では、身代金を支払った時点で逃げられる可能性が大きいといえます。
また、先述したLockerGogaによる事件のように、身代金目的ではないケースではそもそも復号の話は前提になっていません。
したがって、ランサムウェアによる攻撃への備えとして、定期的なデータのバックアップが重要です。ランサムウェア攻撃が頻繁に行われないとしても、その他の原因でデータを消失するケースへの備えとなるため、自社のバックアップ体制を整えましょう。
ランサムウェア対策のバックアップについてはこちらのページで詳しく解説しています。
▼ランサムウェアの被害を防ぐには? 安全なバックアップ方法や感染時の対処法を解説
対策④セキュリティツールの導入
ランサムウェアへの対策として、セキュリティツールの導入は欠かせません。
- セキュアメールゲートウェイ(SEG)
セキュアメールゲートウェイは、メールの送受信を監視するツールです。フィッシングメールをブロックし、ランサムウェアをはじめとするマルウェアからの攻撃回避に役立ちます。 - モバイルデバイス管理ツール(MDM)
現代の業務では、PCだけでなく、タブレットやスマホといったモバイル端末抜きには成立しません。モバイルデバイス管理ツールは、モバイル環境におけるランサムウェア対策を可能にするツールです。モバイルデバイス管理ツールを利用することで、会社のPCからモバイル端末にロックをかけたり、データの消去を行えたりします。 - セキュアWebゲートウェイ(SWG)
セキュアWebゲートウェイは、インターネット上でのブラウジングの安全性を高めるツールです。ランサムウェアを侵入させるために開設されているサイトや、許可されていないクラウドサービスの接続をブロックします。リモートワーク環境の業務にも役立つでしょう。 - URLフィルタリング
セキュアWebゲートウェイと同様に、有害なサイトへ接続しないためのツールにURLフィルタリングがあります。URLやカテゴリを指定することで、有害なサイトを検出し、ランサムウェアに侵入されるリスクを減らせるのです。
対策⑤専門家への相談・アウトソーシング
ランサムウェア攻撃で被害を受けたが対策方法がわからない、自信がないといった場合は、専門家への相談やアウトソーシングの活用が欠かせません。サイバーセキュリティに万全を期すには、高度な専門知識やマンパワーが必要になるためです。
アウトソーシングを検討する際、EDR(Endpoint Detection and Response)や先に述べたSWGのサービスがランサムウェア対策におすすめです。
EDRは、エンドポイントと呼ばれている端末の状況からサイバー攻撃を察知して対処するためのソリューションです。
テクバンでは次世代セキュリティ対策のパートナー企業として、EDR導入をサポートしています。その一例が、クラウド型で使いやすく、アンチウイルス機能とEDR機能でエンドポイントを保護する「VMware Carbon Black Cloudの導入支援サービス」です。詳しくは以下のページをご覧ください。
VMware Carbon Black Cloud(EDR)導入支援サービス
また、高性能のAI(人工知能)がエンドポイントをマルウェアから保護する「Sophos Intercept X Advanced」、エンドポイントのセキュリティ対策を高度化し、管理とモニタリングを代行するMDR(Managed Detection and Response)サービスを備えた「CrowdStrike Falcon導入支援」など、ユーザーニーズに応じたサービスを展開しています。
Sophos Intercept X Advanced
CrowdStrike Falcon導入支援
ランサムウェア対策は仕組みを理解した上で行おう
ランサムウェアは身代金を要求することから、自身の存在を主張するマルウェアです。そのため、侵入から発見までの時間は短いといえます。それに加え、感染拡大のスピードも速いため、万全の対策を実現する取り組みが必要です。
そのためには、ランサムウェアの仕組みを理解する必要があります。しっかりと理解した上でランサムウェア対策を行いましょう。自社だけでは心配だという場合は、専門業者の支援サービスを検討することをおすすめします。
テクバンへ一度相談してみる
