ここでは企業の業務をストップさせ甚大な被害をもたらすランサムウェアについてリサーチ。感染経路や仕組み、感染すると何が起きるのかについて事例も含めご紹介します。
ランサムウェアは、パソコンなどのファイルを暗号化したりロックすることで使用不能にし、復号化やロック解除と引き換えに身代金(Ransom)を要求してくる不正プログラムのことです。身代金要求型不正プログラムとも呼ばれています。
メールを経路としてランサムウェアに感染させる手口があります。ウイルスを添付したファイルやリンクをメールで機械的にばらまく方法です。比較的広く認知されているため、明らかに不審なメールと気づくことも少なくありません。しかし、気づかれにくくなりすましたメールもあり、経由されるメールの内容はさまざまです。
メールを経路とする手口では、ランサムウェアを使う攻撃者は明確な標的を持たず、無差別的に攻撃するケースが多いという傾向があります。
悪意あるWebサイトが潜んでいることも。サイトを閲覧しただけで、ランサムウェアをはじめとするソフトウェアをインストールしようとするものがあり、注意が必要です。こうした悪意のあるWebサイトは、ブラウジングの際に画面上に何らかの表示が出ることが多いため、「たいして重要ではないメッセージだろう」とスルーするのではなく、必ず内容を確認するよう徹底しましょう。
ブラウジング時に不審なURLに誘導されたり、ファイルのダウンロードを促されるケースもあるので、目的と異なる挙動が見られた場合は注意してください。
USBメモリなどを接続しただけで自動的に指定された処理が実行される機能を備えるコンピュータがあります。接続する機器に問題がなければ便利な機能ですが、悪意のあるリムーバブルメディアが接続されるとウイルスが実行されてしまいます。この自動実行機能を悪用した手口は、リムーバブルメディアをコンピュータに接続した瞬間、ウイルスを自動実行させランサムウェアに感染させるというものです。自動実行の可能性がある媒体は、USBメモリやHDD以外にもすべて注意が必要です。
VPNは、外部でも企業内と同等のネットワーク環境を使えるようにするもののこと。オフィス外での業務用端末を安全に利用するためのシステムです。VPNに接続された端末のどれかがランサムウェアに感染してしまった場合、VPNを通じて被害が拡大してしまいます。リモートワークの普及でVPNの脆弱性を狙ったランサムウェアの攻撃が増えてきました。対策を行っていても組織管理外のVPN機器の使用による感染も考えられるため、注意が必要です。
テレワーク端末からオフィスに設置された端末のデスクトップ環境に接続を行い、デスクトップ環境を遠隔操作して業務を行う方法のことを「リモートデスクトップ」と言います。リモートワークの増加に伴い、リモートデスクトップ方式での業務も増えています。利用しているリモートデスクトップサービスに設定不備などがあれば、そのセキュリティホールを悪用してサーバに侵入しランサムウェアに感染させる手口があります。
ソフトウェアやファイルに罠を仕掛けてダウンロードするとウイルスに感染させる手口も認知度の高い手口です。Webからダウンロードした海賊版の音楽・動画ファイルや偽ソフトウェアなどをダウンロードすることで感染するパターンもあります。感染の引き金は、ユーザーの操作ですが、主にダウンロードです。他にも画像を埋め込んだ文書ファイルや細工されたパワーポイントなど、従来の手口より複雑な細工を加えたものまで登場しています。
ランサムウェアの感染経路はメール添付ファイルや不正サイト・広告の閲覧の他に、旧型VPN端末の脆弱性を狙われて感染することもあります。感染するとファイルが暗号化されたりロックがかかかるためパソコンなどの業務ができなくなります。解除するためには身代金を支払わなくてはならなくなり、業務停止による損害も発生します。
2020年11月ゲーム会社大手のカプコンは第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃により個人情報流出があったことを発表しました。その後、調査を進めた結果、流出件数は累計16,415人だったことが判明。ネット販売やゲームプレイには影響はなかったものの取引先や社員の個人情報流出の被害を受けました。
2022年2月、トヨタ自動車の一次取引先である小島プレス工業がサイバー攻撃により社内サーバに障害が発生しました。リモート接続機器からネットワークに侵入し、身代金を要求するランサムウェアによるもので、サーバやパソコン端末の一部のデータが暗号化。この影響でトヨタは国内全14工場28ラインを停止する事態となりました。
2018年10月、宇陀市立病院の医療情報システムの中核を担う電子カルテシステムがサイバー攻撃により障害が発生。システム再構築のため丸二日間システム停止を余儀なくされました。調査の結果、原因はランサムウエアであることが判明。感染した機器が初期化され、証拠保全が不十分だたことから感染経路の特定はできませんでした。
サイバー攻撃はメールに関しては注目度が高く対策をしている企業も多いですが、ランサムウェアのようにネットワーク機器の脆弱性を利用し、メール以外の方法でネットワークに侵入され感染してしまうことがあります。
ネットワーク機器はファームウェアの更新などで脆弱性をケアすることが可能ですが、そうした作業を怠るとランサムウェアのターゲットになってしまいます。外部のネットワークに接続しているものは全てセキュリティ対策が必要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
まずは被害の予防として、下記を意識させるようにしましょう。
・提供元が不明なソフトウェアを実行しない。
・ランサムウェアの脅威、手口について認識する。
また、被害を受けた後の対応も考えるべき必要があります。組織の方針に従い各所(上司、CSIRT、関係組織、公的機関等)へ報告・相談するようにしましょう。また、そのためには、組織の方針、報告部署等を共有しておきましょう。
その上で、システム管理者側で下記対応をすることで、被害の防止に繋がります。
・多要素認証の設定を有効にする。
・機器の脆弱性対策を迅速に行う。
パッチ適用を迅速に行い、サポート切れのOSは利用停止する。
・セキュリティ対策ツールの利用や設定見直し。アプリケーション実行制限や、メールおよびウェブのフィルタリングを行う。ポリシー設定を見直し、遮断設定を極力有効にする。
・ネットワーク分離や共有サーバー等へのアクセス権の最小化と管理の強化。
まずは、OSを最新の状態に保つことを心がけましょう。IPAもランサムウェアの対策について、「OSおよび利用ソフトウェアを最新の状態にする」ことを推奨しています。OSは日々脆弱性に対処しており、最新のOSはランサムウェアが脆弱性を見つけられていない状態と言えます。OSやソフトウェアのアップデートを行わないままでは、悪意のある攻撃者が脆弱性を狙って攻撃しやすい状態です。旧バージョンの使用は、感染リスクが高まるため、常に最新のバージョンを保つようにしましょう。
ランサムウェアの攻撃にあわない対策も必要ですが、万が一攻撃を受けた場合も被害を最小限に抑えることを考えておく必要があります。その方法が定期的なバックアップです。ファイルやシステムの定期的なバックアップをしておけば、攻撃を受けてもデータを復旧して最悪の事態を避けられます。バックアップは、3つのコピーを2種類の異なるメディアに保存し、そのうち1つはオフサイトに保管することが提唱されています。
ランサムウェアの対策で重要なことは、不審なメールやWebサイトを開かないことです。受信したメールは、メール送信元を確認して、添付ファイル、文面に注意を払いましょう。心当たりがないメールや英文メール、文面に不自然な点があるメールは安易に開いてはいけません。また、心当たりのないメールの添付ファイルは開封しないようにしましょう。不自然なメールのリンクへのアクセスをしないことも重要です。毎日多くのメールを処理していても、流れ作業で不審なリンクにアクセスしてしまわないよう注意しましょう。
ランサムウェアの対策として、セキュリティソフトの導入も推奨されています。定義ファイルを常に最新の状態に保てば、ランサムウェアへの感染リスクの低減につながります。セキュリティソフトもアップデートがあるので、最新の状態にしておきましょう。セキュリティソフトは設定によって機能しないこともあります。対策方法をしっかりと検討し、必要なセキュリティを構築してください。
本サイトの監修者であるアルファネットでは今回解説したランサムウェアによる被害を防ぐためのアドバイスや社員のセキュリティ教育なども行っています。自社のサイバー攻撃対策を強化したいと考えている場合は相談することをおすすめします。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
重要情報まで奪われる
脅迫に従うことによる金銭的被害に加え、窃取された重要情報(組織の機密情報や個人情報等)の漏えいにより信用の失墜にもつながるおそれがあります。なお、金銭を支払ったとしても、データの復旧や漏えいした情報の削除が行われるとは限りません。