お問い合わせ

サイバーセキュリティのトレンド

ランサムウェアとは何か?知らないではもう済まされない脅威と対策について徹底解説

  • 連載記事/コラム
掲載日: 更新日:
ランサムウェアとは何か?知らないではもう済まされない脅威と対策について徹底解説

近年、多くの企業・組織がランサムウェアの脅威を受け、大きな被害がでています。1989年に初めて登場したランサムウェアは進化を続け、ネットワークを介して攻撃パケットを送るなど、攻撃の手口は年々高度化しています。さらに標的型攻撃などと組み合わされた場合もあり、ランサムウェアの侵入を 100% 防ぐことは難しくなってきています。現在の組織におけるセキュリティ部門は、ランサムウェアについて正しい基本知識と、脅威の侵入を前提としたセキュリティ対策を講じる必要があります。本記事では、猛威を振るうランサムウェアの概要や歴史、被害の代表事例について解説していきます。

新人「最近、ランサムウェアに感染した、というニュースをよく聞きますね。」

先輩「日本の企業や組織にランサムウェアの被害に遭ったと報告するケースが増えたからな。世界的な企業だけでなく、中小企業や医療関係にも被害は増えているらしい。」

新人「ランサムウェアに感染すると、データをロックされて身代金を要求されるんですよね。お金を払って、元に戻してもらった企業もいるんでしょうか?」

先輩「身代金を払ってもデータが元に戻るとは限らないし、侵入されている時点でデータ漏えいの恐れもあるから、要求に応える企業は少ないと思うが、公表していないだけで身代金を渡している企業や組織はあるだろうな。」

新人「被害もそうですが、目に見える形でサイバー犯罪と対峙しないといけないのは、企業にとって脅威ですね。」

先輩「そうだな。ランサムウェアの被害に遭わないためには、敵を知ることがなによりも大事になってくる。どんな攻撃や被害が増えているのか、有効な防御手段はどんなものがあるのかなど、企業の担当者はしっかりと知っておく必要があるわけだ。まずは、ランサムウェアとは何かを説明しようか。」

ランサムウェアとは何か

ランサムウェアとは何か

ランサムウェアとは、マルウェアの一種で、身代金要求型と呼ばれるコンピュータウイルスの一種だ。
他のコンピュータウイルス同様に、メールの添付ファイルで送りこまれるのが一般的だが、中にはネットワークのパケットに紛れ込んだり、盗み出された ID や PW を利用して直接ファイルをインストールするなどといった手口もあり、その手口は年々巧妙化してきている。

ランサムウェアに感染したコンピュータは基本的に通常動作ができなくなる。OS などのシステムそのものが停止したり、格納されているデータが全て暗号化されるなど、コンピュータが操作できない状態にされたうえで、コンピュータやデータを元に戻すための身代金を要求されるというのが、ランサムウェアの特長だ。

近年、日本の企業や組織にもランサムウェアの被害が広がっており、官公庁を含めた対策や注意喚起が行われているんだ。

ランサムウェアの歴史

DX時代におけるセキュリティ対策

世界初のランサムウェアが発生したとされるのは1989年の事だ。当時はフロッピー・ディスクなどの媒体を通じて感染するものだったが、犯罪の手口としてそれほど広がらなかった。1995年になると科学界を中心にランサムウェアが悪用され始めるようになり、2010年になってメールの添付ファイルでの攻撃が主流となると、ランサムウェアによる被害は他のコンピュータウイルスの増加と合わせて拡大していくことになる。2017年には Windows OS が標的となったワーム型ランサムウェア「WannaCry」が登場して150ヵ国以上で被害が確認されている。その後特定の企業やシステムを狙った標的型攻撃にランサムウェアが使用されるようになり、身代金の要求だけでなく、暗号化したデータを外部に漏えいさせるといった、二重脅迫の手口が増加してきているんだ。

ランサムウェアとマルウェアの違い

ランサムウェアとマルウェアの違い

ランサムウェアはマルウェアの1種で、マルウェアとは、悪意のあるコードで作られた「コンピュータウイルス」と呼ばれるものの総称になる。マルウェアには、ランサムウェアの他にも、トロイの木馬やスパイウェア、アドウェア、ワーム・バックドア、キーロガーといった、さまざまな種類が存在している。
マルウェアの中で、身代金の要求を目的とするものがランサムウェアと呼ばれるわけだ。感染した PC やサーバーのシステムやデータを暗号化して、元に戻すのと引き換えにビットコインなどの暗号資産などを要求するランサムウェアは、データ暗号化だけでなく、外部への情報漏えいやバックドアを PC やサーバーに仕掛けるなど、非常に悪質で高度な機能を備えたマルウェアと言えるんだ。

ランサムウェアによる攻撃

ランサムウェアによる攻撃

新人「データやシステムを人質にして、脅迫してくるわけですね。ビジネスにとってデータやシステムが欠かせないものになっているだけに、攻撃されると被害も大きいですね。」

先輩「ランサムウェアによる攻撃も流行り廃りがあるんだ。最近の攻撃方法についていくつか紹介しようか。」

近年、マルウェアの代表的な攻撃手法が「標的型」だ。特定の企業を標的として、企業のネットワークや、従業員の ID やパスワード、企業が展開しているウェブサイトやシステム、サプライチェーンなどの脆弱性をつき、サイバー攻撃を複合的にしかけるというものだ。

この標的型で2019年頃から使用されたのが「Emotet(エモテット)」と呼ばれるマルウェアを使用したものだ。このマルウェアは PC に感染すると、過去のメールを参照して、実在する氏名やメールアドレス、実際のメール文の一部を攻撃メールとして流用して、「正規のメール」を装ったメールを作成する。そうした巧妙なタイトルや文面を持ったメールにウイルス入りの添付ファイルを付けて送信し、企業や組織内へマルウェアを広げていく。

巧妙な手口で企業や組織のネットワークの奥深くに侵入する「Emotet」を使用して、重要なデータがある場所を見つけたり、ネットワーク内に感染が広がった段階で、ランサムウェアを起動して一斉にデータやシステムを暗号化するという形で利用されたんだ。

個人の PC を狙ったランサムウェアもあるが、現在は企業を狙った攻撃が主流と言えるだろうな。

ランサムウェアによる被害

ランサムウェアによる被害

新人「ランサムウェア自体は、結構古くからあるマルウェアで、ウイルスの進化とともに脅威が増してきた感じなんですね。Emotet みたいなマルウェアと組み合わさると怖いですね。」

先輩「その怖いランサムウェアによる被害にはどんなものがあるのか、代表的な4つについて紹介しよう。」

  • 二重脅迫型
  • 暗号化型
  • 画面ロック型
  • RaaS

二重脅迫型

ランサムウェアによる被害の一つ目は、二重脅迫型によるものだ。暴露型や、侵入型ランサムウェアとも呼ばれる。

一つ目の脅迫は、暗号化したデータを復元するために身代金を要求すること。二つ目の脅迫は、身代金による取引が成立しないとみると、「データを全世界に公開する」と脅して金銭を要求することだ。この二重の脅迫は、攻撃者が暗号化したデータにアクセスできている事が多く、システムやネットワークが攻撃者の手の内にあるという可能性も高い。その場合取引に応じるまでサーバーダウンやシステムの停止など、さらに被害が拡大することになる。

データを暗号化するだけの従来のランサムウェアとは異なり、二重脅迫型は企業や組織に与えるダメージが極めて大きいランサムウェアと言える。

暗号化型

ランサムウェアによる被害の2つ目は、暗号化型だ。感染した端末に格納されているファイルやデータがすべて暗号化されてしまい、端末はかろうじて操作できるものの、実質何もできない状態になる。
端末からネットワーク経由でアクセスできるファイルも暗号化されるため、デスクトップにリンクを貼っているクラウドのファイル共有サービスまでもが被害に遭ってしまう。
その上で、壁紙やファイルアイコンなども攻撃者によって改変されて、身代金の要求がされることになる。

画面ロック型

ランサムウェアによる被害の3つ目は、画面ロック型だ。感染した端末の画面をロックさせて端末自体を全く操作できないようにする。画面には、ウイルスに感染したこと、制限時間以内に身代金を支払う必要があることが全面的に表示されることが多い。
画面ロック型は近年スマートフォンを狙った攻撃が増えていることでも注目されているランサムウェアだ。

RaaS

ランサムウェアによる被害の4つ目は、RaaS(Ransomware as a Service)だ。
RaaS は、直接的な被害というよりも、ランサムウェアによる悪質なビジネスモデルのことを指す。
ランサムウェアを使用した攻撃者グループが、闇市場でランサムウェアに感染した企業や組織の情報を RaaS という形で有償提供し、別の実行犯は RaaS を利用して、脅迫に必要な感染端末やサーバーの情報を入手し、侵入や脅迫を行う。

RaaS が恐ろしいのは、実行犯は高度な技術を持たなくても気軽にランサムウェアによる脅迫が行えることで、仮に実行犯が捕まったとしても、企業や組織にランサムウェアを送り込める技術をもつ攻撃者には司法の手が届かないという事になる。

ランサムウェアの被害の代表事例

ランサムウェアの被害の代表事例

新人「マルウェア全般に言えることですが攻撃の手口が巧妙化しているだけでなく悪質化しているって事なんですね。」

先輩「その通り。ここまでランサムウェアの概要と、被害について説明した。それでは具体的にどんな被害事例があるのか、以下3つを見ていこう。」

  • システム停止
  • 情報漏えい
  • サービス妨害

システム停止

ランサムウェアに感染して、システム停止した代表事例の1つ目は、精密化学・機器メーカーの A社だ。

同社は、2021年に外部からの不正アクセスによってランサムウェアに感染した。夜に不正アクセスを受けたことを確認し、すぐに影響を受けた可能性のあるサーバーや端末全てを停止した。調査期間中はネットワークを遮断したため、安全を確認できるまでは、ほぼ全ての社内システムが使えなくなったことはもちろん、組織のメールアドレスを使ったやりとりもできなくなった。範囲が特定できた後は、安全が確認されたシステムとネットワーク環境と順次開始したがシステム停止によって、外部・内部のコミュニケーションに大きな影響が出ることになった。

製造業の中小企業 B社では、メールの添付ファイルを開いたところ、その社員の PC がランサムウェアの被害に遭った。画面上に「ロックを解除して欲しければこちらに連絡を」という警告文が突然表示され、それ以降はその端末を通じた業務ができなく、社内システムの利用にも影響が出た。重要なデータは他のサーバーで管理していたため、組織全体への被害はなかったが、個人で管理していたデータ・ファイルを参照できなくなった。

社内システムが停止すれば、ほとんどの従業員が業務を停止せざるを得ない。たとえデータなどが無事だったとしても、ビジネスへの影響は非常に大きいと言える被害だ。

情報漏えい

ランサムウェアの被害の代表事例の2つ目は、某医療機関の情報漏えいだ。

2021年、某医療機関の C病院がランサムウェアに感染した。古いシステムを動かすためにセキュリティ機能を意図的に無効化していたことが大きな原因と言われている。電子カルテシステムとネットワークで通信していた会計システムも停止し、患者情報の閲覧・診療報酬の請求ができなくなった。さらに「LockBit(ロックビット)」という犯罪者グループから「身代金を支払わなければデータをネットワーク上にさらす」という、二重の脅迫を受け、システム担当者はすぐベンダーに要請したものの、復旧することが困難な状況であった。関係者はすぐに警察に状況を報告、当日中に記者会見を開いて謝罪した。電子カルテシステムの障害により、数ヶ月かけて電子カルテシステムを復旧したものの、今時点で完全な解決には至っていない。

情報漏えいに関しての被害は、サイバー攻撃における代表的なものだが、情報漏えいによるブランドイメージの棄損が非常に大きいことから、ランサムウェアの標的としても狙われることになる。最近では、ここで上げた例のように、医療機関が狙われることも多くなっており、今や業種や企業規模にかかわらず、ランサムウェアは情報を狙うようになってきているんだ。

サービス妨害

ランサムウェア被害の代表事例の3つ目は、日本を代表するアニメ業界 D社のサービス妨害だ。同社は2022年、社員が Web サイトからランサムウェアが含まれたソフトウェアをダウンロードしたことをきっかけに被害に遭った、と言われている。社員の端末からネットワークを経由して多くのシステムが感染してしまい、復旧するまでの間、業務の遅延が発生した。期間中、新しいサービスをユーザーに提供できない、という大きなサービス妨害が発生した。
新しいサービスを待ち望んでいたユーザーは「楽しみにしていた続きを見ることができない、最新の情報を得られない」と不満を感じた。

感染から1ヶ月ほどでシステムが復旧しサービス再開に至ったものの、長期間サービス停止が続けば「このサービスは使うのを辞めよう」などと利用者が離れてしまう恐れもある。 サービス妨害は最初のシステム停止とも似ているが、こちらは外部から何かあったことが分かりやすいだけに、顧客離れやブランドの棄損など、ビジネスへのインパクトは計り知れない。

ランサムウェアの被害に遭わないためには

ランサムウェアの被害に遭わないためには

新人「ランサムウェアの標的になるのは、大企業や有名な企業だけじゃないんですね。」

先輩「サイバー脅威への対策は、いまや企業規模に関わらず対策が必要だ。特にランサムウェアは感染すると直接的な被害が及ぶ可能性が高いマルウェアだから、被害に遭わないため、または被害を最小限に抑えるための対策がとても重要となる。ランサムウェアにも有効な4つの対策について説明しよう。」

  • 従業員のルール徹底
  • 最新版へのアップデート
  • 定期的なバックアップ
  • システムとしての防御

従業員のルール徹底

ランサムウェア対策の一つ目は、従業員のルール徹底だ。
高度な攻撃が増えてきていると言っても、今でもランサムウェアの侵入口のメインはメールの添付ファイルだ。
基本的にはウイルス対策ソフトやフィルターで排除しているといっても、「怪しいメールを開かない」「アプリケーションの添付ファイルはクリックしない」という対応をしっかりと守るだけで、かなりの被害を防ぐことができる。

その他にも、業務で使用するIDやパスワードの使い回しや、推測されやすいものにしないなど、従業員が ID/パスワードをしっかりと管理することで、侵入される危険性を低減することができる。

ランサムウェアも、他のマルウェア同様に、外部との接点となる従業員自信が基本的なセキュリティに関するルールを順守することで、侵入を防ぐことが重要となるんだ。

最新版へのアップデート

ランサムウェア対策の二つ目は、使用するアプリケーションやOSなどを最新の状態にアップデートすることだ。進化を続けるランサムウェアだが、アプリケーションやOSの古いバージョンの脆弱性を突くバージョンで攻撃された場合、システムが最新の状態にアップデートされていれば、それだけで被害を防ぐことができる。こうしたアップデートはIT担当者が主導して常日頃から最新にしておくことで、ランサムウェアの脅威を減らすことができるはずだ。

定期的なバックアップ

ランサムウェア対策の三つ目は、定期的なバックアップだ。
残念ながら、100%完璧な防御というものは存在しない、定期的なバックアップを実施していれば、万が一ランサムウェアに感染したとしてもバックアップデータからリストアして、システムやデータを感染前の状態に戻すことができる。ここで重要なのはバックアップの世代と期間だ。バックアップの世代が少ないと、感染後のデータしか残っていない可能性があり、いくらリストアしても元の状態には戻れない。とはいえ、すべての端末を短い期間でバックアップし続けるのは不可能だし、バックアップデータの取得も、システムに負荷がかかる作業だ。
BCP対策で、システムのバックアップをしている企業や組織も多いと思うが、ランサムウェアの感染によるシステム停止とリストアにも対応可能になっているかどうか、確認しておくのも必要だ。

システムとしての防御

ランサムウェア対策の四つ目は、システムとしての防御だ。ランサムウェアは侵入から攻撃までいくつかのステップがある。ファイルが侵入し、情報が攻撃者に送られ、それから攻撃されるという流れだ。

侵入を防げれば問題ないが、進化を続けるサイバー脅威を足がかりにするランサムウェアを100%防ぐことは、今や不可能といってもいい。そのため、 EDR(Endpoint Detection and Response)のような、ユーザーやアプリケーションの不審な動きから、侵入した脅威を検知するようなシステムを導入しておけば、万が一感染したときも早い段階で対処することができ、結果的にランサムウェアの感染拡大や被害を抑えることが可能になるんだ。

まとめ

まとめ

新人「ランサムウェアの感染対策も、基本的には通常のセキュリティ対策と同じではあるんですね。悪質化するランサムウェアだけに、万が一の場合に備えておく必要もあるんでしょうけど。」

先輩「その通り。ランサムウェアに感染しないための対策と合わせて、感染したら何をすべきなのか、そこもしっかりと考えておくことが非常に重要だ。」

新人「しかし、実際に感染した端末を見つけることを想像すると、何もできずに呆然と立ち尽くしてしまいそうです。」

先輩「万が一ランサムウェアに感染した端末を発見したらか...、あまり楽しい想像ではないが、現実問題として何時わが身に降りかかってもおかしくはないわけだ。正しい順番で正しい対策を踏むことができるか、次は実際の対策について解説していこうか。」

この記事では、ランサムウェアの概要と攻撃の手口、被害の事例について解説しました。

ランサムウェアの攻撃の手口はどんどん巧妙化しています。RaaSというランサムウェアのビジネスモデルも登場しており、万が一企業に不満を持った従業員がそそのかされて実行犯となってしまうと、企業だけでなくその従業員の人生にも被害をもたらしてしまうでしょう。また、Emotetを知らない従業員は、ウイルスメールだと疑わずに開いてしまうかもしれません。企業は一人一人の従業員を守るためにも一層の対策と感染することを前提とした対策をシステム面も含めてしっかりと打っていかなければなりません。

本コラムでご紹介した注目ワード

  • ランサムウェア
    マルウェアの一種で、身代金要求型と呼ばれるコンピュータウイルスの一種
  • Emotet (エモテット)
    正規のメールを装った偽メールに添付されたファイルのマクロなどから感染し、ウィルスや不正なプログラムの入口となるマルウェア
  • RaaS(Ransomware as a Service)
    ダークウェブなどで取引される、ランサムウェアを使用した脅迫ビジネスのシステム

SB C&S では、進化するサイバー脅威に対するさまざまなセキュリティソリューションを提供しています。侵入後の検知や対策を実現する EDR(Endpoint Detection and Response)によりエンドポイントのセキュリティを強化する、クラウドをベースにした次世代のセキュリティソリューション「VMware Carbon Black Cloud」。セキュリティ関連製品の連携によりテレワークの従業員をまとめて保護する「VMware Anywhere Workspace」。持ち出されたデバイスのモダンマネジメントを実現し、一元化された ID や PW 、デバイス監視でゼロトラストセキュリティを実現する「VMware Workspace ONE」、そしてクラウドベースのネットワーク監視を行う VMware による SASE ソリューションである「VMware SASE」など、猛威を振るうランサムウェアにも有効となるセキュリティ実現を支援しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。

VMware Security が実現する
セキュリティソリューション

新しい時代に対応する VMware Security は、これまでとは異なるアプローチで「一歩先を行く対策」を実現する新しい考え方です。VMware が提唱する次世代のセキュリティである VMware Security、SASE (サッシー)、ゼロトラストセキュリティを実現する、セキュリティソリューションについて分かりやすく解説します。

VMware のセキュリティを
もっと詳しく

次世代のエンドポイントセキュリティ

VMware Carbon Black Cloud 変革の進む IT 環境と進化するサイバー脅威に対応する、クラウドベースの EDR (Endpoint Detection and Response)ソリューション

VMware Carbon Black Cloud を
もっと詳しく

VMware Anywhere Workspace

組織が離れた場所で働く従業員のエンゲージメントを維持し、セキュアに働けるよう支援。分散した従業員向けの包括的なツールセットにより、 IT システムとそれを使う従業員の間に生じている課題を解消。

VMware Anywhere Workspace を
もっと詳しく

テレワークを"あたりまえ"にする
デジタルワークスペース

VMware Workspace ONE モダンマネジメントを実現し、さまざまなデバイスから、いつでもどこでも、簡単・セキュアに業務アプリケーションを利用できる「デジタルワークスペース」を提供するプラットフォームをご紹介します。

VMware Workspace ONE を
もっと詳しく

VMware SASE

ネットワークとセキュリティをクラウドで統合し、必要な機能をエッジに対して提供するフレームワーク

VMware SASE を
もっと詳しく

関連情報
さらに表示する

VMware製品、販売についての資料・お問い合わせ VMware製品、販売パートナー制度に関するお問い合わせを受け付けております。お気軽にご相談ください。