ランサムウェアとは?想定される被害や、主な感染経路・対策方法
はじめに
2024年に起こった株式会社KADOKAWAや、KADOKAWAグループへのランサムウェア攻撃によるサービスダウンや情報漏えいは記憶に新しいところでしょう。
被害を未然に防ぐためにはランサムウェアの基本をおさえ、適切な対策をとることが重要です。
この記事では、ランサムウェアの特徴や感染経路、実際の被害事例、感染対策と感染後の対処法などをご紹介します。
▶<ランサムウェアの新しい攻撃手法>へ
▶<ノーウェアランサムが増加している理由>へ
▶<ランサムウェア被害事例>へ
ランサムウェアとは
「情報セキュリティ10大脅威」の第1位
独立行政法人情報処理推進機構(IPA)は毎年、前年に発生したセキュリティ上の脅威のうち、社会的に影響が大きかったものを専門家メンバーで選定し、「情報セキュリティ10大脅威」として公開しています。
2024年(令和6年)に発表された「情報セキュリティ10大脅威 2024」では、組織に対する脅威の1位として「ランサムウェアによる被害」が挙がりました。ランサムウェアによる被害は9年連続でランクインしており、それだけ大きな脅威となっています。
※情報セキュリティ10大脅威 2024には「個人」「組織」向けの2種類があり、「組織」のみランキング形式で発表されています。
参考:情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
ランサムウェアの被害に遭っているのは、誰もが知る大企業だけではありません。警察庁の調査によると、2023年(令和5年)におけるランサムウェアの被害は、中小企業が約5割を占めています。中小企業にもランサムウェア対策は欠かせないものといえます。
ランサムウェアの歴史
初めてのランサムウェア被害の報告は1989年と、かなり古い時期から存在が確認されています。しかし、多くの被害が報告され始めたのは、2000年代半ば頃を迎えてからのことです。
代表的なランサムウェアとしては、2017年に流行した「WannaCry(ワナクライ)」が有名です。その後も、身代金の支払いに応じなければ端末内部の個人情報を流出させるなどと言って二重に脅す二重脅迫を行うランサムウェアなど、さらに悪質な手口を用いた新種が次々と登場しています。
ランサムウェアの新しい攻撃手法
人手によるランサムウェア攻撃
攻撃者が標的となる企業のサーバーなどに侵入して、ウイルスに感染させるランサムウェア攻撃です。標的型攻撃と同様の手法で、標的型ランサムやシステム侵入型ランサムともいわれます。なお標的型ランサムながら、ランサムウェアを用いない攻撃は「ランサム攻撃」と呼ばれます。
二重脅迫 (ダブルエクストーション)、多重脅迫
脅迫行為が二重、三重と多重になるケースもあります。二重脅迫(二重恐喝)は、暗号化したデータを復旧するための身代金を要求したうえで、盗み取っていたデータを用いて、「金銭を支払わなければデータをダークウェブに公開・販売する」というように脅迫を行うものです。他にも要求をのまなければDDoS攻撃を仕掛けるという「ランサムDDoS攻撃」や、ダークウェブだけでなく顧客やその他関係者へも情報漏えいの事実を公開するという「多重脅迫」まで起こっています。
ノーウェアランサム(非暗号化型)
データを暗号化/復号化するプロセスを経ずに行う攻撃もあります。ノーウェアランサム攻撃では、データを暗号化せずに盗み出し、そのデータを公開または販売するなどと脅迫して身代金を要求します。データの暗号化・復号化ではなく、データの公開や販売を脅迫の道具としているのです。新しい攻撃手法ですが、近年被害が増加しています。
ノーウェアランサムが増加している理由
・効率的でローコストであるため
1つめは、ノーウェアランサムが攻撃者にとって効率的な方法だからという理由です。従来のランサムウェア攻撃は、ランサムウェアを用いてデータを暗号化し、データの復号化を条件として脅迫行為を行う手法でした。この方法では、データを暗号化するための専門的な知識が必要です。しかしノーウェアランサムは、ランサムウェアを使うことなくデータを盗み取り金銭を要求するというシンプルな手口です。このことから攻撃者がランサムウェアの専門的な知識を得る必要はなく、ローコストとなることが推測できます。
・攻撃先に検知されにくいため
2つめは、攻撃先に検知されにくいことです。従来のランサムウェア攻撃では、VPN機器の脆弱性を利用するなどしてネットワーク内に侵入、不正に高いアクセス権を得る「権限昇格」を行い、データを暗号化……という複数のプロセスを踏みます。時間がかかる分、システム管理者が侵入に気づく可能性があるのです。ノーウェアランサムはデータを盗み取る際に暗号化を行わないため、データの所有者は窃取に気づく機会が少なくなり、発覚までに時間がかかってしまいます。
・攻撃者が復号ツールに対抗できないため
3つめは、復号ツールが進化していて攻撃者が対応できなくなっているためです。ランサムウェアで暗号化されたデータは、システム管理者側が復号ツールを用いて復号化を試みます。近年では海外の優れた復号ツールにより被害を防ぐケースもあります。
攻撃者にとっては高度な技術で復号ツールに対抗するよりも、データ公開・販売を盾にするほうが、手間がなく攻撃の成功率も上がるのです。
ランサムウェア感染で生じる被害とは
端末の動作停止やファイル暗号化による業務停止
ランサムウェアに感染すると、業務用のPCやネットワークの停止や、内部のファイルが暗号化される恐れがあります。PCやその内部データが使えなくなることにより、本来進めるべき業務が止まってしまいます。
医療機関で電子カルテが使えなくなれば診療ができなくなるように、公共性の高いサービスを提供している場合はその影響はさらに大きいものとなります。
業務停止によって生じる損失
企業のPCなどがランサムウェアに感染することで受ける影響は、単に業務が止まってしまうことによる損害だけではありません。その業務停止が長期にわたれば、企業そのものやブランドに対する顧客からの信頼が失われるリスクもあります。
また、業務停止が長時間にわたればその分受ける実質的被害も大きなものになるでしょう。
二重脅迫~多重脅迫による情報流出など
特に悪質なランサムウェアの場合、感染すると身代金を要求するだけでなく、身代金を支払わない場合は個人情報などを流出させると脅すものもあります。そのような身代金要求にともなう脅迫行為(二重脅迫)により、情報の盗難や漏えいが生じることで大きな被害となる場合もあります。
さらにランサムDDoS攻撃によるサービス停止や、顧客や関係各所へのランサムウェア被害の暴露などにより、企業の信頼を失う可能性もあるのです。
ランサムウェア被害事例
令和5年に起きたランサムウェア被害で規模の大きいものといえば、7月に日本有数の海港のコンテナターミナルで起きたシステム障害が挙げられます。このケースでは2日あまりに渡って全ターミナルの作業が停止となりました。原因はリモート接続機器の脆弱性で、この脆弱性からランサムウェアが侵入したものと見られています。
出典:警察庁サイバー企画課 令和5年におけるサイバー空間をめぐる脅威の情勢等について
2022年~2024年(令和4年~6年)に起こったランサムウェア攻撃を挙げます。
2024年(令和6年)6月 KADOKAWAグループのランサムウェア攻撃による情報漏洩
2024年(令和6年)6月、KADOKAWAグループのサービス群が、ランサムウェアを含む大規模なサイバー攻撃を受けました。これにより動画サイトをはじめ、KADOKAWAグループが運営する複数のサービスが停止せざるを得なくなったのです。またその後の調査で情報漏えいが起こったことも判明しました。個人情報の漏えいは約25万人分におよび、企業情報も契約書など法務関連の情報が漏えいしています。
日本有数の大企業グループへのサイバー攻撃であり、同グループのサービス利用者も多かったことから、多大なインパクトを与えた事件となりました。
参考:ランサムウェア攻撃による情報漏洩に関するお知らせ|PRTIMES
https://prtimes.jp/main/html/rd/p/000015155.000007006.html
2023年(令和5年)7月 NUTS(名古屋港統一ターミナルシステム)のシステム障害
2023年(令和5年)7月、港のコンテナターミナルにおいてシステム障害が発生しました。原因はリモート接続機器の脆弱性で、この脆弱性からランサムウェアが侵入したものと見られています。2日あまりに渡って全ターミナルの作業が停止となり、3日後に復旧しました。
この事件を受け、政府では運用を段階的に進めていた「経済安全保障推進法」において、港湾運送事業を国が保護すべき基幹インフラ事業である「特定社会基盤事業」に指定することとなりました。
参考:NUTS システム障害の経緯報告|名古屋港運協会
https://meikoukyo.com/wp-content/uploads/2023/07/0bb9d9907568e832da8f400e529efc99.pdf
2022年(令和4年)10月 東海国立大学機構の不正アクセスによる個人情報流出
2022年(令和4年)10月、東海国立大学機構が運用している情報システムがランサムウェアに感染し、データの一部が改変される事案が発生しました。攻撃を受けたのはアカウントを管理するサーバーであり、機構が保有する個人情報が漏えいした可能性があると発表されました。ただこの改変データは復元が行われ、業務の継続に直接的な影響はなかったとのことです。
その後の調査や対応で、個人情報は漏えいした可能性こそあるものの、悪用された事実が認められなかったことが判明しました。
参考: 東海国立大学機構への不正アクセスによる個人情報流出について|東海国立大学機構
https://www.thers.ac.jp/news/2022/11/20221118-jimu.html
2022年(令和4年)10月 大阪急性期・総合医療センターのランサムウェア感染によるシステム障害
2022年(令和4年)10月、大阪急性期・総合医療センターで早朝にサイバー攻撃が発生、電子カルテを含めて情報システムが利用できなくなり、救急診療や外来診療、手術などに支障が生じました。この医療機関は都道府県の基幹災害拠点病院であるため、影響は多大なものとなったのです。
大阪急性期・総合医療センターでは当時、サイバー攻撃によるシステム障害を想定したBCP(事業継続計画)は策定されていませんでした。しかしさまざまな災害に対応したBCPや災害対応経験を活かし、発生当日の正午には対策本部会議を開き、専門家を招くなど迅速に対応を図りました。その結果、事件発生から約6週間後に、電子カルテを含む情報システムが再稼働。その後も段階的にシステムが再開し、2023年1月には診療体制が復旧となりました。
地域の重要な医療機関がサイバー攻撃を受け、人命も危ぶまれた事例となっています。
参考:インシデント調査報告書について|地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
https://www.gh.opho.jp/incident/1.html
ランサムウェアの主な感染経路
メールの添付ファイルやリンクの展開
悪意ある第三者によって送りつけられたメールに添付されたファイルや、本文に含まれるリンクにランサムウェアが仕込まれているケースです。
ランサムウェアが仕込まれたメールの添付ファイルを不用意に展開してしまったり、リンク先を訪問してしまったりすることにより感染します。
不正なソフトウェアやファイルのダウンロード
悪意ある第三者が送りつけた、悪質な不正ソフトウェアやファイルをダウンロードすることで、ランサムウェアに感染してしまう場合があります。
送られてきたソフトウェアやファイルは一見無害なものを装っているなど、受け取り手を安心させる手口が用いられていることも少なくありません。
不正なWebサイトの閲覧
メールやメッセージアプリのリンクなどに不正なWebサイトへのリンクが埋め込まれており、それを訪問して閲覧することで感染するケースもあります。訪問先の不正サイトは一見正規のサイトに見えるよう巧妙に作られていることが多いため注意が必要です。
ランサムウェア感染を防ぐための対策
ランサムウェアの被害を防止するには、まず感染しないことが第一です。ここでは、日常的に行いたいランサムウェアの感染防止策をご紹介します。
OS・ソフトウェアを定期的に最新の状態にアップデートする
OSやソフトウェアの脆弱性を狙った感染もあります。そのため、PCのOSや各ソフトウェアは、最新バージョンであるかどうかこまめに更新状況を確認しましょう。
なぜ更新状況の確認が大切かというと、各ソフトウェアに脆弱性が見つかると、その都度最新の修正バージョンが提供されるためです。最新バージョンでないソフトウェアが見つかったらすぐに最新のバージョンへ更新を行いましょう。
ウイルス対策ソフトを活用する
既に導入している企業が多いと思いますが、業務で使用するPCなどの端末には必ずウイルス対策ソフトを常駐させましょう。ランサムウェアをはじめとする各種マルウェアの発見と駆除に役立ちます。
ただし、新たな未知のマルウェアは日々生み出されています。それらに感染しないためにも、対策ソフトのバージョンは常時最新の状態を保っておく必要があります。
安易に受信メールの添付ファイルを開いたり、リンクを訪問したりしない
送られてきたメールの添付ファイルやリンクは、内容をよく確認して正規のものであると分かるまで展開しないようにしましょう。確認した上で心当たりのないものについては、絶対にファイルの展開やリンクの訪問を行わないでください。
データバックアップをこまめに行っておく
万一ランサムウェアに感染し、不具合が発生しても復旧ができなかった場合、端末を初期化する必要が出てきます。やむを得ず初期化を行うと、端末内部の保存データがすべて失われてしまいます。
被害を受けてしまっても可能な限りデータを失わないよう、データのバックアップは定期的に行いましょう。
参考コラム:企業が行うべきデータバックアップとは?オンラインバックアップのメリット・デメリット |
ランサムウェアに感染したら?対処法を解説
インターネットや社内ネットワークから当該端末を遮断する
ランサムウェアに感染した端末は、可能な限り早くすべてのネットワークから遮断しなければなりません。すぐに感染が疑われる端末のLANケーブルを抜いたり、無線ネットワーク接続を切断しましょう。接続を続けていると、ネットワークを介して社内の他の端末にも感染を広げてしまう可能性があります。
システム管理者へ連絡し、その後の対応を待つシステム管理者へランサムウェア感染を報告する
感染が疑われる端末をネットワークから遮断したら、社内のシステム管理部門や管理者へただちに連絡しましょう。その後は感染した端末は操作せず、管理者側の対応を待ってください。
感染状況の把握・種類の特定
感染状況の確認やマルウェアの種類の特定をできるだけ詳細に行います。ランサムウェアではなく他のウイルス感染の可能性もあるため、PCに起きている事象からランサムウェア攻撃であるかどうか判定します。また感染しているPCの台数も把握しておきましょう。
インシデント対応の決定
攻撃者から、データの暗号化解除のために身代金を支払うよう脅迫されても、応じてはいけません。身代金を支払った後もデータの復号化が行われなかったり、あるいはさらなる脅迫が行われたりする可能性があるためです。
組織内で対応が決まったら、公的機関への報告も行います。警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報しましょう。
被害の最小化とデータの復旧
被害・損害を最小限に食い止めるためには、早期の復旧が重要です。ランサムウェアを駆除し、事前に取ったバックアップデータから復旧を試みます。他への影響が少ない用途のPCが感染した場合には、PC自体を初期化して復旧することも可能でしょう。
暗号化されたデータは、ランサムウェア復号化ツールによって復元できる可能性があります。ランサムウェア復号化ツールは、ウイルス対策ソフトウェア関連企業が提供しているツールのほか、後述の「No More Ransom」プロジェクトや関連企業が公開しています。
「No More Ransom」プロジェクトの情報を参照する
「No More Ransom」プロジェクトとは、世界の法執行機関や民間組織が協力してランサムウェア撲滅に取り組むことを目的とした団体です。オランダ国家ハイテク犯罪ユニットやユーロポールの欧州サイバー犯罪センター、民間セキュリティ企業のカスペルスキーやMcAfeeといったセキュリティを専門とする著名な組織が参画しています。日本ではJPCERT/CCや独立行政法人情報処理推進機構(IPA)、一般財団法人日本サイバー犯罪対策センター(JC3)が参画しています。
「No More Ransom」プロジェクトサイトでは、ランサムウェアを特定できるコンテンツの利用や復号ツールのダウンロードなどが可能です。
参考:The No More Ransom Project(日本語版)
万一に備え、ランサムウェア対策としてのバックアップを
IPAはバックアップ方法について、ポイントとして下記3つを挙げています。
■バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する
■バックアップに使用する装置・媒体は複数用意し、バックアップする
■バックアップ方式の妥当性を定期的に確認する
出典:IPA「ランサムウェアの脅威と対策」
バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する
バックアップをとっていても、保存先の機器がネットワークに接続された状態では、その機器がランサムウェアに感染する可能性があります。
そのため、保存先との通信はバックアップを取得するときのみ接続し、それ以外では接続を切断する必要があります。
バックアップに使用する装置・媒体は複数用意し、バックアップする
バックアップの作成中にランサムウェアに侵入されないとも限らないため、複数のバックアップを作成することも重要です。複数のバックアップがあれば、機器の故障などにも対応できるようになります。
また、IPAではバックアップの作成ルールとして「321ルール」を適用するよう推奨しています。
”重要なデータのバックアップは「321ルール」を適用するようにしてください。321ルールとは、データを3つ持ち(運用データ1つ、バックアップデータ2つ)、2種類の異なる媒体でバックアップし、そのうち1つは異なる場所(オフサイト)で保管する、という理想的なバックアップの方法とされています。”
出典:IPA「日常における情報セキュリティ対策」
バックアップ方式の妥当性を定期的に確認する
ファイルのバックアップがあっても、確実にリストア(復元)できなければ意味がありません。問題なくリストアできるか、現状のバックアップ方式でリスクに耐えることができるかなどを定期的に確認、検討することも重要です。
ランサムウェア対策・BCP対策にも有効なアクセリアの「データバックアップサービス(VDaP)」
そこでアクセリアでは、ランサムウェア対策にも有効な[データバックアップサービス(VDaP)]をご提供しています。
ローカル環境でのデータ保存だけでなく、計2拠点のクラウド環境へも同時にバックアップデータを複製して保存。これらが自動で行われるのが最大の特徴で、リストアも簡単に実行が可能です。
また、気づかないうちにランサムウェアに侵入された場合にも対応できるよう、[31世代]までバックアップを保存しておくことが可能で、感染前の時点・ファイルに戻せる可能性を高めています。
現状のバックアップ状況や、外部への送信ステータスが分かるコントロールパネルもご提供しており、いつでも現在のバックアップ状況を確認できます。都度手動でバックアップを行う負担を自動化によって低減でき、導入・運用コストもリーズナブルです。
ランサムウェア対策のほか、BCP対策をはじめとする災害への備えにも役立つ「データバックアップサービス(VDaP)」。ご興味をお持ちでしたら、ぜひアクセリアまでお気軽にご相談ください。
「データバックアップサービス(VDaP)」について詳しくは、下記をご参照ください。
https://www.accelia.net/service/backup/
アクセリアでは、ランサムウェアなどのサイバー攻撃から資産を守るためのさまざまなセキュリティ対策を支援しています。ITにかぎらず、OTに対応した産業サイバーセキュリティの分野においても、お客様の課題に沿ったサービスのご提案が可能です。
企業が取り組むべきセキュリティ対策とチェックリスト、ご提案できるアクセリアのサービスをホワイトペーパー「企業の情報セキュリティ実践ガイド」にまとめています。ぜひお気軽にダウンロードしてご覧ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service