お役立ち資料
Introduction
企業・組織にとって、顧客の情報流出やシステム停止などは未然に防ぐべきリスクです。しかし、具体的に「何に対策すべきなのか」「どのような手段が有効なのか」など、対策方法について把握しきれていない部分もあるでしょう。
そこで今回は、サイバー攻撃の一種であるランサムウェアについて解説します。有効な対策方法はもちろん、ランサムウェアの脅威や種類、被害事例なども含めて解説するので、対策の重要性についても理解していきましょう。
目次
ランサムウェアとは?
ランサムウェアとは、IPA(情報処理推進機構)の『ランサムウェア対策特設ページ』によると、以下のように定義されています。
ランサムウェア
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。
次項から、ランサムウェアの種類・特徴についてご説明します。
代表的なランサムウェアの種類
代表的なランサムウェアを紹介します。
WannaCry
WannaCryとは、一般財団法人 運輸総合研究所の『サイバー攻撃に対する人材育成に関する調査研究報告書(平成 30 年 3 月)』によると、以下のようなランサムウェアを指します。
WannaCry
Microsoft Windows を標的としたワーム型ランサムウェアのこと
WannaCryは、ワーム機能(自動で感染を広げる)をもつランサムウェアで、ネットワークを介しWindows製品の脆弱性を悪用して端末に感染します。
WannaCryについてはこちらもご覧ください。
>>WannaCry(ワナクライ)とは?仕組みや感染した場合の被害、対策について解説のページへ
Petya/GoldenEye
Petya/GoldenEyeは、WannaCryと同様に、ネットワークを介して端末に感染するランサムウェアです。しかし、WannaCryとは異なり、Petya/GoldenEyeはOSを破壊(暗号化)し、端末を立ちあげた際に身代金要求画面が表示されます。
端末そのものが使用不能となるため、より悪質なランサムウェアといえるでしょう。
Ryuk
Ryukは、主にフィッシングメールを介して端末に感染し、端末内のファイルやデータを暗号化して身代金を要求するランサムウェアです。メールに添付されたファイルをクリックすると、マルウェア(悪意のあるソフトウェア)がダウンロードされ、Ryukが端末に感染します。
CryptoWall
CryptoWallは、Ryukと同様にメールを介して感染し、暗号化されたファイルをもとに戻すために、身代金を要求するランサムウェアです。CryptoWallの場合、匿名性の高いブラウザから特定のWebサイトへ誘導し、そこで身代金の要求が行われます。
また、感染すると端末内にあるファイルの拡張子がランダムに書き換えられるのも、CryptoWallの特徴です。
LockBit
LockBitは、ほかのランサムウェアと同様に多重攻撃を行いますが、破壊されたデータの復元回避や侵入の痕跡を隠す、などの特徴があります。さらに、ランサムウェアとしての強化を図るため、LockBitの脆弱性を発見した者に報酬を支払うバグバウンティプログラムも開始されました。
2019年に発見されて以降、LockBitは進化をつづけており、米政府も警戒を強める悪質なランサムウェアとして知られています。
コンピュータウイルス、マルウェアとの違い
コンピュータウイルスとは、経済産業省の『コンピュータウイルス対策基準』によると、以下のように定義されています。
コンピュータウイルス
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
マルウェアの定義は、日本ネットワークセキュリティ協会の『8-1 マルウェアとは』によると、以下のとおりです。
マルウェア
マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称
マルウェアは、トロイの木馬(無害なプログラムに偽装したもの)やワームなど、悪意のあるプログラムの総称であり、コンピュータウイルスはその一種です。
ランサムウェアもマルウェアの一種で、コンピュータウィルスやワームとして感染します。
ランサムウェアの感染経路・手口
ランサムウェアによる攻撃手口は、次のとおりです。
<ランサムウェアの共通する手口>
1.攻撃対象のネットワークへ侵入
2.遠隔操作による内部活動
3.データのもち出し(情報の暴露を目的としている)
4.ランサムウェア実行
一方、感染経路は、主に以下の3パターンにわかれています。
<ランサムウェアの感染経路>
・Webサイトから感染するケース
・メールから感染するケース
・外部メモリから感染するケース
手口は共通しているものの、感染経路が異なるため、対策する際は各経路の特徴について把握する必要があります。
関連サービスについて
Webサイトから感染するケース
Webサイトからの感染は、以下のようなケースがあげられます。
<Webサイト経由の感染>
・偽装サイトの閲覧
・不正な広告の閲覧やファイルのダウンロード
・Webサイトに仕組まれた不正なリンクやプログラムによる感染
閲覧するだけでも感染のリスクがあるため、ウイルス対策ソフトやOSのアップデートなどで、端末を守る必要があります。
メールから感染するケース
メールからの感染は、以下のようなケースがあげられます。
<メール経由の感染>
・記載されたURLをクリック
・添付ファイルの開封
大手企業や宅配業者を偽装したメールなど、狡猾な手段がとられるケースもあるため、安易に上記のような行動をとるのは控えましょう。
外部メモリから感染するケース
外部メモリ(USBメモリやHDDなど)をPCなどの端末に接続、もしくはファイルを開くことで、ランサムウェアに感染するケースもあります。出所不明の外部メモリがある場合は、安易に端末へ接続しないようにしてください。
ランサムウェアに感染したらどうなる?
ランサムウェアに感染した場合、金銭的な損害だけでなく、情報漏洩や顧客・取引先からの信頼低下など、深刻な事態に陥る恐れがあります。具体的なリスクをご説明するので、対策をはじめる際は目を通してみてください。
データ暗号化や端末ロックにより使用不能となる
ランサムウェアに感染した場合、端末のローカル・ハードドライブなどが暗号化され、保存したデータや端末そのものが使用不可能となる恐れがあります。社内のシステムが稼働できなければ、通常業務・サービス提供の停止などに陥るでしょう。
情報が漏洩する
ランサムウェアの感染は、情報の暴露も身代金の脅迫材料として利用されます。この手口は二重脅迫と呼ばれており、ランサムウェアを仕かけた組織は攻撃対象に交渉を迫り、身代金の支払い成立を図ります。
金銭面での損害を被る
ランサムウェアに感染して身代金を支払ってしまった場合、金銭面での損害も発生します。さらに、暗号化されたデータの復旧やシステム停止中に伴う利益の損失など、ランサムウェアの感染は直接的・間接的に金銭面での被害が生じます。
顧客やステークホルダーからの信頼が低下・喪失する
ランサムウェアの感染により、サービス停止・情報の漏洩などが発生した場合、顧客やステークホルダーからの信頼低下・喪失も懸念されます。さらに、ランサムウェアのなかには、攻撃対象の企業・組織だけでなく、関連する顧客へ脅迫を行うタイプも存在します。
三重・四重の脅迫が行われた場合、ランサムウェアの感染は自社だけの問題では済まなくなるでしょう。
日本におけるランサムウェアの被害事例
日本におけるランサムウェアの被害事例を2件ご紹介します。ランサムウェアの脅威が他人ごとではないことを知り、対策の重要性について理解していきましょう。
関連サービスについて
病院における被害事例
大阪府のとある病院では、ランサムウェアの感染によって以下のような被害が発生しました。
<病院の受けた被害>
・院内のシステムが利用不可
・救急診療や外来診療など診療機能の停滞
さらに、システム・データの復旧には、職員・関係者が総出で対応にあたったほか、厚生労働省による専門チームの派遣も行われました。
名古屋港における被害事例
名古屋港では、ランサムウェアの感染により以下のような被害が発生しました。
<名古屋港の受けた被害>
・ターミナルシステムの障害発生
・システム障害によりコンテナの搬出入作業が1日停止
上記の被害は、リモート接続機器の脆弱性を悪用した攻撃とされています。被害直後に情報漏洩の形跡はなかったものの、インフラ拠点の一つが稼働を停止したため、関連事業者にも影響をおよぼしました。
ランサムウェアが感染した場合の対処法
ランサムウェアの感染を確認できた際は、攻撃者の要求に応じてはいけません。次項から解説する4つの対処法を頭に入れておき、冷静に行動しましょう。
まずは【やってはいけないこと】を確認
ランサムウェアの感染が確認できた際は、以下3つの行動をとらないよう注意が必要です。
①感染した端末の電源を安易に切ること
感染した端末の電源を切ると、データを復旧できない恐れがあります。感染した端末内には、データ復元に必要な情報が残されている可能性があるため、安易に電源を切ってはいけません。ネットワークからの隔離などの拡大防止策を講じた上でデータの保全を図りましょう。
②感染した端末からデータをバックアップすること
感染した端末からデータをバックアップすると、別の端末にランサムウェアを広げる可能性があります。感染前の状態であれば問題ないため、日頃から外づけHDDなどネットワークにつながっていないハードドライブへ、バックアップをとっておきましょう。
③安易に身代金を支払うこと
身代金を支払っても、データ・システムが復旧されるとは限りません。二重脅迫(身代金の要求と情報の暴露)を受けたとしても、まずは警察・専門家へ相談し、対応を協議する必要があります。
影響範囲を特定する
ランサムウェアの感染を広げないために、影響範囲を特定しましょう。ランサムウェアは、ネットワークを介して別の端末に感染する恐れがあります。どの端末が感染しているのかを把握して、被害を広めないよう努めてください。
感染した端末を隔離する
感染した端末はネットワークから隔離して、感染拡大を防ぎましょう。
<ネットワークから遮断する方法>
・LANケーブルを抜く
・機内モードにする
・WiFiルーターの電源を切る
バックアップデータを保存した端末を守るためにも、すみやかな対応が必要です。
警察や専門家に相談のうえ、根絶する
ランサムウェアの感染が疑わしいときは、都道府県警察のサイバー犯罪相談窓口や、取引のあるセキュリティ企業などへ相談してください。現状の対応方法はもちろん、今後の復旧作業についても助言・指導を受けられます。
ただし、連絡する際は感染の疑いがある端末ではなく、安全性の確認できる代替機を使用しましょう。
ランサムウェアの感染を防ぐための対策
ランサムウェアの感染を防ぐ6つの方法をご説明します。社内の対策状況と照らしあわせながら、不足している部分があればさっそく対策をはじめましょう。
関連サービスについて
ウイルス対策ソフトを導入する
ウイルス対策ソフトの導入により、ランサムウェアを検知して侵入を防ぎやすくなるほか、万が一侵入されてもデータを復元できる可能性があります。ウイルス対策ソフトには、各ウイルスの情報(ウイルス定義ファイル)が含まれています。
侵入してきたランサムウェアがウイルス定義ファイルとマッチすれば、ウイルス対策ソフトが働いて侵入を防ぐ仕組みです。
VPNなどの暗号化されたネットワークを利用する
暗号化された仮想のネットワーク環境(VPN)を利用して、ランサムウェアの侵入を防止しましょう。VPNは、一般的なネットワークとは異なり、企業・組織独自の暗号化されたネットワークを構築する仕組みのことです。
VPNの利用には認証パスワードが必要なので、外部から勝手に侵入されるリスクを抑えられます。ただし、ランサムウェアはVPNの脆弱性を狙って侵入するほか、VPNのアカウント情報を悪用するケースもあります。
認証パスワードをこまめに変更し、セキュリティソフトやVPNのファームウェアも最新の状態に保つことが大切です。
OSやソフトウェアを最新状態に保つ
OSやソフトウェアは最新の状態を保ち、ランサムウェアの侵入を防ぎましょう。OS・ソフトウェアにはプログラムの不備が見つかることもあり、ベンダーからは更新ファイルやセキュリティパッチ(セキュリティ上の欠陥を修正)が提供されます。
プログラムの不備を放置していると端末の脆弱性を残す状態となるため、ランサムウェアに感染するリスクが高まります。OS・ソフトウェアは最新の状態を保ち、ランサムウェアからの攻撃を防ぎましょう。
権限管理を強化する
管理者権限の悪用により、システム全体が乗っとられるケースもあるため、権限管理の強化も欠かせません。暗号化される範囲を最小限に留めるには、社内で与える権限を見直し、各従業員の権限は最小限に抑える必要があります。
メールにあるリンクやファイルを安易に開かない
メールに記載されたリンクや添付ファイルは安易に開かず、不審に感じたときは送信元の本人確認を行ってください。リンクへのアクセス、ファイルのダウンロードによって、ランサムウェアが端末に侵入する恐れもあります。心当たりのないメールや不自然な点があるメールは、決して開いてはいけません。
定期的なセキュリティ診断を受ける
定期的なセキュリティ診断を受けることで、自社のサーバやネットワークなどの脆弱性を発見できます。ランサムウェアから守る体制を整えられるため、積極的に利用しましょう。
SHIFTのセキュリティ(脆弱性診断)について
SHIFTのセキュリティ(脆弱性診断)は、国際基準に準拠した高品質の診断サービスです。
<SHIFTのセキュリティ(脆弱性診断)の特徴>
・ホワイトハッカー(サイバー攻撃から守る専門家)のスキルをもとにした問題点発見プロセスを導入
・Webアプリやクラウド、プラットフォームなど、さまざまな診断メニューを提供
ランサムウェアによる被害を防ぎ、企業・組織としての利益・信頼を落とさないためにも、ぜひSHIFTのセキュリティ(脆弱性診断)をご検討ください。
関連サービスについて
脆弱性診断サービス資料
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
ダウンロード
まとめ
ランサムウェアによる被害は、決して他人ごとではありません。差し迫るリスクとして捉え、ランサムウェアの脅威を知ることから対策方法への理解も深めましょう。
また、ランサムウェアは巧妙化をつづけるサイバー犯罪なので、どれだけ対策しても感染するリスクがあります。対処法も含めて把握しておき、万が一の事態に備えることも重要です。
少しでもリスクを抑えたい場合は、SHIFTのセキュリティ(脆弱性診断)もご検討ください。豊富な診断メニューをご用意しているため、お客様のご希望・状況に応じた診断が可能です。ご不明点・ご質問などがございましたら、お気軽にお問い合わせください。
SHIFTの脆弱性診断サービスはこちらをご覧ください。
>>セキュリティ(脆弱性)診断サービスページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
