ランサムウェアはマルウェアの一種

ランサムウェアは、「Ransom（ランサム、身代金）」と「Software（ソフトウエア）」を合わせた造語で、マルウェアの一種です。

ランサムウェアとは

ランサムウェアに感染すると、端末（PCなど）に保存されたデータを勝手に暗号化し、復元させるために身代金を要求されます。期日までに身代金を支払わなければ、暗号化した情報を公開するなど脅迫してきますが、金銭を支払っても暗号化されたデータが復号（暗号化されたデータを元の状態に戻すこと）されるとは限りません。

ランサムウェアの目的

身代金の要求が主な目的です。身代金は電子決済やビットコインなどの仮想通貨で要求してくることが多いといわれています。かつてはランサムウェアのばらまきが多く見られましたが、最近では特定の企業をターゲットに攻撃する、標的型と呼ばれるものが主流です。

ランサムウェアの手口・感染経路

ランサムウェアに感染すると、ファイルが暗号化され、拡張子が書き換えられることがあります。暗号化によりファイルは開けなくなり、一部のケースでは端末自体がロックされ、操作不能になることもあります。攻撃者は復号の条件として身代金を要求し、支払いに応じなければ暗号化したデータを公開すると脅す「ダブルエクストーション（二重恐喝）」の手口が主流になっています。これは、「暗号化」と「情報漏えい」の二重の被害を与えることで、被害者に強い心理的圧力をかける手法です。

感染経路としては、かつては不正なメールの添付ファイルやリンクを通じたケースが多く見られましたが、現在ではVPN機器の脆弱性を突いた侵入が増加しています。特に旧型のVPN機器や、セキュリティアップデートの遅れがあるシステムが狙われやすくなっています。

ランサムウェア攻撃の仕組み

現在のランサムウェア攻撃は、かつてのようにランサムウェア本体が最初に侵入して即座にファイルを暗号化する単純なものではなく、より計画的かつ高度な攻撃手法が主流になっています。最初にネットワークへ侵入してくるのは、必ずしもランサムウェアそのものではなく、偵察や権限昇格を目的としたツールやマルウェアです。そして、十分な情報収集と準備ののちに、最終段階としてランサムウェアが展開されます。ここでは一般的な攻撃の4つのステップについて解説します。

内部ネットワークに侵入

攻撃者は、まず、ターゲットのPCやサーバーに侵入するための経路を探ります。脆弱なVPN機器や、サポートが終了したOSを使用しているシステムなど、セキュリティ更新がされていない環境は攻撃対象になりやすく、特に注意が必要です。

内部での活動と権限昇格

ターゲットへの侵入に成功すると、攻撃者はRemote Access Toolなどの遠隔操作ツールを用いて内部ネットワークを探索し、管理者権限の取得を試みます。企業が通常利用しているクラウドサービスなど正規のサービスを悪用することで、監視の目を逃れるケースもあり、一部ではこうした手法を「環境寄生型攻撃」と呼ぶこともあります。

機密データの窃取

管理者権限を獲得した攻撃者は、企業の内部データを集中的に窃取し、自身が用意した外部サーバーにアップロードします。これらの情報は後の脅迫や身代金要求に利用されます。

ランサムウェアの展開と実行

データ窃取後、ランサムウェアが対象システムに展開され実行されます。多くの場合、攻撃者は取得した権限を使ってセキュリティソフトを無効化し、検知を回避します。ファイルが暗号化されると、端末に復号のための身代金要求メッセージが表示され、被害者に支払いを迫る脅迫が行われます。

ランサムウェア被害事例

ここでは、日本で実際に被害にあった事例を3つ紹介します。

KADOKAWAグループ・ニコニコ動画

2024年6月8日、KADOKAWAグループのデータセンター内のサーバーがランサムウェアを含む⼤規模なサイバー攻撃を受け、大規模な被害が発生しました。被害により254,241人の個人情報が流出し、ニコニコ動画などのサービスが停止。出版流通にも大きな影響が生じました。

日本商工会議所

2024年3月12日に、日本商工会議所の小規模事業者持続化補助金の運営組織、日本経営データ・センターがランサムウェア攻撃とみられる不正アクセスを受け、サーバーのデータが減失、暗号化されるなどの被害が出ました。調査の結果、情報は流出しておらず、悪用も確認されていないとのことです。問題が明らかになった時点で、個人情報保護委員会への報告と高輪警察署へ相談済みであると公表しています。

岡山県精神科医療センター

2024年5月19日、ランサムウェアによるサイバー攻撃が発生し、電子カルテを含めた総合情報システムに障害が発生。約4万人分の患者の個人情報や資料が漏洩した可能性があると公表しました。ネットワークの脆弱性を悪用されたとみられています。

ランサムウェアの対策

ランサムウェアによる被害を未然に防ぐには、日常的なセキュリティ対策の積み重ねが重要です。ここでは代表的な6つの対策を紹介します。

ウイルス対策ソフトを導入する

ランサムウェア対策機能を備えたウイルス対策ソフトや、MDR（Managed Detection and Response：管理型検知・対応）といった高度なセキュリティサービスの導入が有効です。システムや定義ファイルを常に最新の状態に保ち、未知の脅威にも備えましょう。

定期的なバックアップを行う

感染後の被害を最小限に抑えるには、定期的なデータのバックアップが重要です。ネットワークから切り離された外部メディア（例：外付けHDDやオフライン環境）に保存することで、復旧の可能性が高まります。バックアップからの復元手順も事前に確認しておきましょう。

不審なメールやWebサイトを開かない

ランサムウェアの侵入口として依然として多いのが、フィッシングメールや不正なWebサイトです。心当たりのない送信元からのメール、SNSで拡散された不審なリンクやファイルは開かないように注意しましょう。

VPN機器の脆弱性を残さない

VPN機器やOS、各種ソフトウェアは、脆弱性を悪用されやすいため、常に最新の状態に保つことが重要です。可能であれば自動更新機能を有効にし、更新漏れを防ぐ仕組みを整えましょう。

認証情報を適切に管理する

短く単純なパスワードを使用していると、攻撃者に推測され不正アクセスのリスクが高まります。大文字・小文字・数字・記号を組み合わせた強固なパスワードを設定し、二要素認証（2FA）を併用することでセキュリティを強化できます。

アクセス権などの権限は最小化する

各ユーザーに与える権限は、業務上必要な範囲に限定するのが基本です。たとえば、管理者権限は管理業務に従事する者のみに付与し、一般ユーザーには与えないようにします。また、外部に公開しているサーバーについても、アクセス可能な範囲を限定することで被害の拡大を抑えられます。

ランサムウェアに感染してしまった場合の対処法

万が一ランサムウェアに感染してしまった場合、迅速かつ冷静な対応が被害拡大の防止につながります。ここでは、初動対応として重要な2つの対処法を紹介します。対応が遅れると、感染が拡大したり重要な証拠が失われたりするリスクがあります。

感染した端末をネットワークから遮断する

ランサムウェアに感染した端末は、社内ネットワークを通じて他の機器にも感染を広げる可能性があります。まずは、Wi-Fiをオフにする、LANケーブルを抜くなどして、当該端末をネットワークから物理的に遮断します。ただし、原因調査や証拠保全に必要なログデータが消失するおそれがあるため、PCやネットワーク機器の電源は切らずにそのままの状態で保持してください。

警察に通報する

ランサムウェアによる被害が発覚した場合は、速やかに最寄りの警察署または都道府県警察のサイバー犯罪相談窓口に通報し、対応を仰ぐことが重要です。状況の正確な把握と法的対応のためにも、通信ログや感染時刻、端末の状態などをできるだけ詳細に記録・保存しておきましょう。

総合セキュリティ対策なら
パロアルトネットワークス

パロアルトネットワークスは総合セキュリティ対策のスペシャリストとして、世界各地のステークホルダーから信頼を積み重ねています。「情報セキュリティ対策に課題を感じているけれど、自社の対応だけでは不安」といった悩みをお持ちの企業様は、ぜひ一度ご相談ください。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

ランサムウェアに感染すると、データ復号と引き換えに金銭を要求し、重要なファイルが使用不可になり、情報が漏洩するなど甚大な被害が発生します。金銭を支払ってもデータが復号するとは限りません。さらに一度漏れた情報を取り戻すのは不可能です。日頃から不審なメールは開かない、機器やソフトのバージョンを最新にするなど、セキュリティ対策を怠らないようにしましょう。