最新情報
ランサムウェアの2023年最新動向
ランサムウェアは、マルウェアの一種で、ファイルやデータを暗号化して利用不可能な状態にし、そのデータと引き換えに身代金を要求するサイバー攻撃です。感染すると、ネットワーク内で拡散し、複数のシステムに感染して業務停止に陥ることも多いです。言葉の意味も「ランサム(Ransom=身代金)」と「ウェア(software)」をつなげた用語となっています。
以前は個人のパソコンを狙った攻撃の多かったランサムウェアですが、最近は、そのほとんどが莫大な被害の出る企業への攻撃となっています。攻撃の特徴として、特定の業界を狙ったものも多く、製造業をはじめ、医療施設や教育機関など、公共施設を狙ったランサムウェアが増加しています。これらの施設では、機密性の高い重要情報が扱われており、攻撃を受けると大きな被害が出ます。
またランサムウェアは非常に種類が多く、それぞれ特徴があるため、攻撃の手口を知らないと感染リスクが高くなります。過去から現在までのランサムウェアの種類と特徴についても、下記で詳しく紹介していきます。
独立行政法人 情報処理推進機構(IPA; Information-technology Promotion Agency)は、毎年、最新のサイバー犯罪の傾向をもとに「情報セキュリティ10大脅威」を発表しています。2023年の最新版における組織部門脅威度1位となったのはランサムウェアで、3年連続の首位となりました。
直近の被害の中でも、有名な大手医薬品メーカーや文房具メーカー、精密化学メーカー、ITベンダー、自動車販売業での被害が立て続けに報じられています。いずれも業績好調の中での大きな被害となっており、このことから、ランサムウェアによる被害は、どの企業でも起こりうるセキュリティリスクだと言えるでしょう。
近年の被害増加の原因としては、ダークウェブにおけるRaaS(Ransom as a Service)と呼ばれるサブスクリプション方式のランサムウェアの流通が挙げられます。また、匿名性の高い暗号通貨の普及によって、攻撃から身代金受け取りが容易になったこともサイバー攻撃者側にとって金銭の授受がスムーズになり、有利に働いています。また、最新の特徴として、多重脅迫が挙げられます。データの暗号化や機密情報の公開というように、一度ランサムウェアに感染すれば、あらゆる方法で対価を要求されるので、その手口は極めて巧妙だと言えます。
最近のランサムウェアの手口の巧妙化
近年、ランサムウェアの手口は、企業の大切な機密データおよび顧客情報データを暴露する二重脅迫型(データ暗号化+暴露)が中心です。これは、身代金を支払わない場合には盗んだデータを暴露すると脅迫するサイバー攻撃です。
この手口は、1回の攻撃で2度の利益を得ることができるため、ランサムウェア集団の間で非常に人気が高まり、増加している手口です。
警察庁によれば、22年度のランサムウェア被害計182件の事例のうち、「二重恐喝」は全体の65%(119件)にのぼるとしています。なお、被害は大企業から中小企業や団体など規模を問わず発生しており、被害全体の半数が製造業という特徴があります。
二重恐喝で身代金を支払うケースも珍しくありませんが、恐喝された時点で、すでにデータが攻撃者に盗まれているため、身代金を支払うこと自体あまり意味がありません。むしろ、身代金を支払うと都合のいい相手だと認識され、再び攻撃に遭うリスクが高まります。なお、身代金を支払ったとしてもデータが戻ってくる保証はなく、むしろ身代金を支払うことで「反社会的組織に資金を提供した」として社会的信用を失う恐れもあります。
また、2020年にはドイツのデュッセルドルフ大学病院で過去初めてとされる「ランサムウェア攻撃が原因の死亡事例(独サイト)」が報道されました。病院のコンピュータがランサムウェア攻撃によって麻痺し、緊急治療室が使用できなくなったことで「重傷を負った女性が治療を受けられなかった」というものです。このようなサイバー攻撃をする集団が一番の悪だということは周知されていますが、企業の社会的信用を守るためにも、ランサムウェアに遭遇した場合は、安易に二重恐喝に従わず、法的問題を専門家と協議しながら、適切な対応をとるよう心がけましょう。
ランサムウェアの主な感染経路
1位:VPN機器からの侵入
警察庁の統計で明らかになったランサムウェアの感染経路の中で、最も高い割合を示しているのが、VPN機器からの侵入です。その割合も62%と半分以上がVPNからの侵入だということが分かりました。テレワークの普及と共に利用シーンが多くなったVPNですが、バージョンアップを怠たると、脆弱性をついたサイバー攻撃にあう可能性があります。また、自分のパソコンがランサムウェアに感染した場合、社内のパソコンにも被害が拡大する可能性もあるでしょう。
2位:リモートデスクトップからの侵入
リモートデスクトップとは、遠隔地からパソコンを操作する技術ですが、これもマルウェアの主な侵入経路の一つとされています。警察庁の統計では、リモートデスクトップからの侵入は19%と言われています。総当たり攻撃で、IDとPasswordを割り出し、不正にログインし、感染を拡大する手口が多く報告されています。リモートデスクトップも前者のVPNと同じくテレワークの普及によって利用することが増えた技術ですので、テレワークの普及により、サイバー攻撃に合いやすくなっていると言えるでしょう。
3位:不審メールやその添付ファイル
不審なメールやその添付ファイルを開くことでマルウェア感染するケースも多いです。具体的には、メールに添付されたZipファイルを解凍することで感染します。最も危険とされているマルウェアのEmotetはその代表格です。
Emotetは2022年7月に活動を停止していましたが、同年11月以降、新たな手口とともに再び活発化していることが確認されています。添付ファイルを開くことで感染するこれらのマルウェアの手口は、Zipファイルについてはウイルスチェックソフトが反応しないというシステム上の脆弱性をついた巧妙な手口だと言えます。ファイル転送手段としてPPAPが普及した日本のビジネスシーンは、特に感染拡大に拍車をかけています。PPAPについては、政府主導のもと廃絶に向かってはいますが、いまだ代替策を確立できていない企業も多く、いまでも企業間の情報セキュリティ上の課題となっています。
ランサムウェアの種類
主なランサムウェアの種類を以下の表に記載します。
名称 | 特徴 |
---|---|
Cryptowall | 身代金支払いに暗号通貨を要求した初めてのランサムウェアとして知られています。2013年に確認されて以後、最大規模の被害額を記録しています。『Cryptowall』は、WannaCryと同様にファイルが全て暗号化され、身代金支払いを要求するランサムウェア攻撃です。信頼できるソフトウェアを装うためデジタル署名が使われ、ファイルだけでなく「ファイル名」まで暗号化を行います。2013年頃から被害が確認されているランサムウェアの中では初期にあたる犯行です。 |
Emotet | 2014年に検出され、2019年に大流行して一躍マルウェアの代名詞となりました。偽装されたビジネスメールに添付ファイルの形で潜む、典型的なトロイの木馬型ウイルスです。 |
PETYA | 感染した際に毒々しく赤いドクロマークが表示されるのが特徴のランサムウェアです。2016年に確認され、ウクライナなど欧州で猛威を振るいました。ロシア軍の関与について指摘されています。『PETYA/GoldenEye』の特徴は、ファイルが一瞬で暗号化されることと、ファイルだけでなくハードディスクMBRも暗号化されることです。感染すると1時間も経たないうちに強制的にPCが再起動し「システムチェックを行っている」旨の偽メッセージが表示されたあと、脅迫画面に切り替わります。こちらもWannaCry同様、Windowsの脆弱性を狙ったランサムウェアと言われています。 |
WannaCry | 2017年に発見されたワーム型(自己増殖型)ランサムウェアです。日本の大手企業も数多く被害に遭いました。2017年5月から爆発的に広がった『WannaCry』は、史上最大と言われるほどの被害をもたらしたランサムウェアで、多い時には数日で30万台以上に感染しています。数年が経過した現在も未だ強い感染力で被害をもたらしており、2023年には「次なるWannaCry」の発生が危険視されています。WannaCry は「Windows OSの脆弱性」を狙ったウイルスとして知られ、適切にアップデートをしていないPCに感染します。感染するとファイルが全て暗号化され脅迫画面が表示、「ファイルを復元する秘密の鍵」と引き換えに身代金支払いを要求してきます。 |
Conti | 2020年に報告されたとりわけ悪質なRaaS。従来、ランサムウェアによる攻撃がタブーとされていた病院や警察などの組織が攻撃され、深刻な被害を受けました。 |
ランサムウェアの悪質性
数あるサイバー攻撃の中でもランサムウェアは企業にとって非常に大きい脅威として注目されています。以下では、その理由について説明します。
ランサムウェアが注目される理由
- ・高度情報化社会の中で、非常に価値が高まっている情報を人質に取るため
- ・多大な金銭を要求する上、犯人の身元特定が困難なため
- ・もし高額な身代金を支払っても、データが戻ってくる保証はないため
- ・大きな金融機関や医療機関をターゲットにすることも多く、その場合、生活インフラが凍結する場合があるため
- ・支払った金銭は犯罪組織の手に渡り、悪用される可能性が高いため
また、近年、大きな金融機関や医療機関をターゲットにした攻撃も増えており、このような攻撃を「標的型ランサムウェア攻撃」と言います。
人の命を預かっている医療機関や、私たちが生活するのに必要な金融機関のシステムが麻痺することで、深刻な被害をもたらすと言われています。
実際にドイツの医療機関で医療システムがランサムウェアに攻撃され、緊急治療室が使用不可能な状態となり、けがで重体の女性を助けることができなかったという人の命が亡くなるといった被害も報告されています。
ばらまき型ランサムウェアと標的型ランサムウェアの違い
従来のランサムウェアの攻撃は、ばらまき型といって、企業の業種や規模に関わらずランダムにフィッシングメールを送り、偶然感染した企業に対して身代金を要求する方法が主な手口でした。
しかしながら、最近のランサムウェアの攻撃は、より悪質性が高くなっています。最近主流になっている標的型ランサムウェア攻撃は、予め支払い能力の高い大企業を狙い、攻撃者がVPNの脆弱性をついて内部ネットワークへ侵入し、大切な機密データを暗号化します。そして、それだけではなく、金銭を支払わなければ「暗号化したデータの流出や売買」を行うという脅迫を行います。予め支払い能力の高い企業を狙い綿密に計画を立てる点、要求する金銭が非常に高額な点も特徴として挙げられ、非常に悪質だと言われています。
ばらまき型ランサムウェアと標的型ランサムウェアの違いを以下の表にまとめています。今後、このような悪質性の高いサイバー攻撃の被害に遭わないためにも、企業の間では、セキュリティ対策を仕組みから見直すと同時に、従業員のセキュリティリテラシーを向上させる必要があるでしょう。
項目 | ばらまき型 ランサムウェア |
標的型 ランサムウェア |
---|---|---|
身代金額 | 標準的な価格 (数万~数十万円) |
高額(数千万 ~数十億円) |
人質対象 | ファイルや データの暗号化 |
データの暗号化 ・流出・売買 |
ターゲット | 不特定多数 | 支払い能力の 高い企業・組織 |
ランサムウェアに感染した時の対処法
あらゆる規模、あらゆる種類の業種がランサムウェアの被害に合っていることを説明していきました。このことより、ランサムウェアは企業にとって無視できないセキュリティリスクとして認知が広がっています。さらに、ランサムウェアはこうしている間にも改良を重ね、新しい手口を用いたランサムウェアが日々生まれているのが現状です。もはやこれらのサイバー攻撃を未然に防ぐのは不可能に近いでしょう。
企業では、セキュリティ脅威の侵入後、感染を拡大させない方法を模索することが求められます。そこで、このコラムでは、ランサムウェアに感染した場合の対処方法について説明していきたいと思います。
主なランサムウェア対策
主なランサムウェア攻撃への対策として以下の方法があります。
- ・パソコンを極力感染させない
- ・侵入を前提としてランサムウェアによるデータの暗号化に備える
パソコンを極力感染させない
不審なメールの添付ファイルやリンクは開かないことを徹底します。または、送信者に電話などで直接確認を取ります。
パソコンへのウイルス対策ソフトの導入や最新パターンファイルの適用を行うことも有効です。
また、使用しているパソコンがWindows OS対応の場合、Windowsのアップデートを実施し、OSを最新状態に保つ必要があります。
他にもWEBブラウザ、Javaなどのプラグインを更新し、最新の状態に保ちましょう。
侵入を前提としてランサムウェアによるデータの暗号化に備える
パソコンはこまめにバックアップを取り、バックアップファイルにパソコンからはアクセスできないようにするなどの対策が有効です。
ランサムウェアの攻撃にあうとファイルが暗号化され、開けなくなってしまいます。したがって、定期的にバックアップを取り、パソコンとは
切り離し、別の場所に保管しておくことで、迅速にデータを復元を行うことが出来ます。以下に具体的なバックアップ方法を記載します。
パソコンのデータを外付けHDDでバックアップ
IPAでは、ランサムウェアへの対策として、外付けHDDへのバックアップを取った後にパソコンから取り外すことを推奨しています。ランサムウェアはパソコンだけでなく、パソコンにつながっているデータにも感染を起こします。保存する時以外はパソコンから独立した状態にしておくことで、大切なデータを守ることが出来ます。
NASのデータを外付けHDDでバックアップ
ファイルを共有するために使用するNASやファイルサーバーのデータをパソコンから読み書き不可能なドライブにバックアップすることで、ランサムウェアの被害を最小限に抑えることが出来ます。
NASに接続したバックアップの共有先である外付けHDDのネットワーク共有を無効にしましょう
外付けHDDのネットワーク共有を無効にしておくことで、パソコンからのアクセスは出来なくなりますので、万が一ランサムウェアに感染した場合でも、外付けHDDのデータは守ることが出来ます。
NASのバックアップしたデータを履歴で追跡できるようにする
NASデータの外付けHDDへのバックアップを更新する際に、その都度履歴を残す方式を取ることで、暗号化されてしまった一つ前の世代のファイルを取り出すことが出来るようになります。
ランサムウェア感染時に企業で取るべき対策
ランサムウェアは感染により、データの搾取や暗号化・身代金の要求といった深刻な被害を生み出します。感染を未然に防ぐことが一番大事ですが、日々進化し続け、多くの新種のウイルスが生まれている昨今ですので、感染することを前提とした対策が求められているのも事実です。
万一の感染時に備えランサムウェアに感染してしまった際、企業が取るべき対策について以下に記述します。
ランサムウェア感染時に取るべき対策
・ネットワークを遮断する
・感染内容の確認と初動対策
・ランサムウェアの報告とインシデント対応策の決定 / 実施
・感染範囲の把握とインシデントの記録
・被害の最小化と原状回復
これら一つ一つについて具体的に説明します。
ネットワークを遮断する
感染の疑いがある場合、まず始めに着手して欲しいのが、ネットワークの遮断です。なぜかというと、感染した端末をネットワークにつなげたままにしておくと、ネットワークを通じて、他の端末にも感染が拡大するためです。ネットワーク遮断の仕方ですが、有線の場合はケーブルを取り外し、無線の場合は端末のWi-Fi設定をオフにすることでネットワークを遮断できます。
感染内容の確認と初動対策
ネットワークの遮断が完了したら、感染状況の把握を速やかに行いましょう。他のウイルス感染やサイバー攻撃を受けている可能性もあるため、攻撃の全容を知ることが出来るように努めましょう。その後の対策が異なるため、ランサムウェアによる攻撃かどうかも被害の状況から確認する必要があります。被害が広範囲なほど、高度なセキュリティ事故ということになります。
ランサムウェアの報告とインシデント対応策の決定 / 実施
大体の感染状況や被害の全容を把握できたら、自社の情報システム部門や関連部門にランサムウェアに感染したことを報告し、対応の判断を待ちましょう。報告はランサムウェアに感染した疑いがあるネットワークではなく「事前に組織内で定めた安全性の高い代替ツール」により行いましょう。あわせて警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報し、公的機関とも連携し、調査と対応を進めます。
またランサムウェアの被害状況調査や復旧作業・今後の対策といった具体的なアクションを速やかに行いたい場合は、ランサムウェア感染に知見のある「プロの業者」を利用しましょう。迅速な対応が期待できます。
感染範囲の把握とインシデントの記録
ネットワークを遮断し被害の拡大を防いだ後、以下の項目を中心に感染範囲を確認しインシデントの記録を残します。
- ・組織内のITインフラの被害範囲の確認
- ・感染端末内の被害データの範囲の確認
- ・機密情報の流出がないか確認
対策として、まず導入したウイルス対策ソフトによりスキャンを行い、他にランサムウェアに感染した端末はないかチェックします。次に、犯人によるデータの持ち出しや不正アクセスがないか確認するため、自社で確認できるアクセスログも見ておきましょう。これらの調査は、犯罪の証拠や不正アクセスの記録を発見するのに役立ちます。
被害の最小化と原状回復
これまでの調査を元に、ランサムウェア被害からの現状の被害の回復を行います。被害が広範囲に及ぶ場合は、基幹システムの原状回復から着手し、次にクライアント端末の回復を試みるなど、優先順位を決めて復旧作業を行いましょう。ランサムウェアの解除ツールを導入している場合は、バックアップデータからの復旧を行わずとも、ツールの使用によってファイルを復元できる可能性もありますので、まずはやってみましょう。
原状回復が完了したら、ランサムウェアに感染した疑いのある全端末のアカウント情報・パスワードをリセットし、新しく書き換えましょう。その後も更なるセキュリティ強化と被害の再発防止に努めることが求められます。
ランサムウェアに感染した場合の注意点
ランサムウェアに感染した際の注意点として、してはいけない対策を載せておきます。
- ・感染端末の再起動
- ・感染後の端末データのバックアップ
- ・警察やプロの業者に相談する前に身代金を支払う
以下にこれらの対策がなぜ良くないかを記載していきます。
感染端末の再起動
ランサムウェアに感染した場合にすぐに端末を再起動させると、シャットダウンによって一時停止していたデータの暗号化が再開し、端末内のファイルが閲覧できなくなる可能性があります。また感染時の対応としても本来はシャットダウンでなく「ハイバネーション」と呼ばれる「シャットダウン前にメモリ内容を保存しておく処理」を行うのが望ましいとされています。感染後の端末はまずは速やかにネットワークから切り離すことが重要とされています。
感染後の端末データのバックアップ
感染後の端末データのバックアップを取ることは基本的にやめておきましょう。理由としては、感染したデータのバックアップをとることになり、復旧後に再びランサムウェアに感染してしまうためです。感染したバックアップデータを他の端末に接続し、読み込むことで、感染を拡大してしまうリスクもあります。感染しても大丈夫なように、日頃からこまめにバックアップをとるようにしておきましょう。
警察やプロの業者に相談する前に身代金を支払う
ランサムウェアに感染すると、暗号化されたデータと引き換えに高額な身代金を要求されることになります。このときに、専門家や警察に相談せずに独断で金銭を支払うことは絶対にやめましょう。
ランサムウェアを仕掛けてきた相手は犯罪者です。支払いに応じたとしてもデータが復旧されるとは限りません。近年、「データ暗号化の解除」だけでなく「データ搾取によるデータ情報の公開」をすると、脅迫をかける二重脅迫の被害が増加しています。支払いに応じても更なる要求をされる場合がほとんどですので、支払いには応じずに速やかに警察やプロの業者に相談しましょう。
また企業や組織であれば、ランサムウェアに感染した際の対応計画を定められている場合もあります。ランサムウェアへの感染が発覚した場合は速やかに自社の対策の手順を確認し、警察やプロと連携して危険のない方法で対処しましょう。
もし現時点でランサムウェアへの対策が明確化されていない場合、被害に遭う前に自社に適したインシデント対応計画を定めることをおすすめします。