お問い合わせ

サイバーセキュリティのトレンド

ランサムウェアの仕組みや感染後の動き、チェック方法から感染時の対処方まで徹底解説

  • 連載記事/コラム
掲載日: 更新日:
ランサムウェアの仕組みや感染後の動き、チェック方法から感染時の対処方まで徹底解説

ランサムウェアの感染経路は多様化し攻撃手口も日々高度化しており、侵入を 100% 防ぐことは極めて難しいとされています。ランサムウェアに感染したらどう対処すべきかについて、組織のセキュリティ担当者は、ランサムウェアの仕組みや感染した後の動きを理解し、感染を早期段階で検知して、必要な対策を適切な順序で実行することが大切です。本記事では、ランサムウェアの仕組みや感染後の動き、チェック方法、対処手順を解説します。

新人前回ランサムウェアの概要を教えてもらいましたが、実際ランサムウェアに感染したらどうなってしまうんですか?」

先輩「ランサムウェアの感染で特徴的なのは、端末のファイルが暗号化されたり、画面そのものがロックされることが多いようだな。その時に、元に戻すための身代金を PC 画面上で要求されるわけだ。」

新人「実際に感染してしまったら何をすれば良いんでしょう?」

先輩「まず大事なのは、慌てて要求に従わないことだな。身代金を払ってもデータやシステムが元に戻るとは限らない。そして、通常のコンピューターウイルスに感染した時と同じく、会社のセキュリティや IT の担当部署に一刻も早く感染を報告することだ。その際に、PC をネットワークから切り離したり、スマートフォンなどで画面を撮影して、PC の状態をなるべく正確に伝えるのも重要だな。」

新人「ランサムウェアだからといって、特別な対策が必要になるというわけではないんですね。」

先輩「そうだな。そして、ランサムウェアへの感染を連絡されたセキュリティや IT 担当者は、感染範囲をいち早く確認して、それに合わせた適切な対処をする必要がある。そのためには、ランサムウェアの仕組みや感染後の動き、適切な対処方法、そして感染したことを早期段階で知るためのチェック方法などをしっかりと知っておかないといけないんだ。」

ランサムウェアの感染経路とその仕組み

ランサムウェアの感染経路とその仕組み

先輩「まずは、ランサムウェアの感染経路と仕組みについて代表的な 8つの項目を説明しよう。」

  • メールの添付ファイル
  • メール本文のURL
  • アプリ/ソフトウェア
  • Webサイトのリンクボタン
  • 偽装SMS
  • ファイルダウンロード
  • 組織ネットワーク
  • 外部媒体

メールの添付ファイル

ランサムウェアの感染経路とその仕組みの一つ目は、メールの添付ファイルだ。メールの添付ファイルにランサムウェアを実行するプログラムが仕込まれていて、添付ファイルを開くとランサムウェアが起動し、その端末に感染する、という仕組みだ。

危険な添付ファイルは、「.exe」や「.msi」 といったプログラムやインストーラーだけでなく、Word や Excel ファイルなどもマクロ機能によりランサムウェアに感染する恐れがある。メールに添付されたオフィス系のファイルを開いた際に、マクロを有効化する「コンテンツの有効化」を許可すると、不正なマクロが実行されてランサムウェアが起動するというわけだ。ランサムウェアによる攻撃は、標的型攻撃と呼ばれる受信者を標的として、仕事に関係しているような文面やタイトルが設定されていることが多く、メールサーバなどのウイルス検知をすり抜けてしまうと、感染する可能性が非常に高い。くれぐれも怪しい添付ファイルは開かないことや、マクロなどを安易に有効化しないなどの注意徹底が必要だ。

メール本文の URL

ランサムウェアの感染経路とその仕組みの二つ目は、メール本文の URL だ。メールにあるリンクをクリックすると、ランサムウェアに感染させるためのウェブサイトが開き、ブラウザを経由してマルウェアに感染するというわけだ。メールの添付ファイルと同様、メールの件名や本文は「請求書」や「内容ご確認ください」など、仕事をしていると思わずリンクをクリックしたくなるような内容であることが多い。メールにあるリンクは遷移先のドメイン名を確認するなどして、少しでも不信に感じたリンクは開かないことが大切だ。

アプリ/ソフトウェア

ランサムウェアの感染経路とその仕組みの三つ目は、フリーのアプリやソフトウェアだ。インターネットには、便利なツールやアプリが数多く提供されている。その中には無料でダウンロードできるものも多くある。そうしたツールにマルウェアが仕込まれていて、ダウンロードして端末にインストールすると感染するという仕組みだ。
業界や企業によっては、業務用の端末に勝手にツールやアプリをインストールすることが比較的自由なところもまだ多い、個人で利用する分には自己責任で済むが、ランサムウェアの被害が増えてきている以上、改めてこうしたツールやアプリを勝手に業務に使うのはなるべく避けた方が良いだろうな。

最近では、スマートフォンをターゲットとしたアプリ経由の感染も増えてきている。Android などは、アプリストアを経由しなくても比較的簡単にアプリをインストールできるから、こういう危険があることを、しっかりと認識する必要がある。

Web サイトのリンクボタン

ランサムウェアの感染経路とその仕組みの四つ目は、Web サイトにあるリンクだ。メール本文のリンクと同様に不正なウェブサイトに誘導し、ブラウザ経由でランサムウェアに感染する。誘導されるサイトは、公式サイトを偽装するような偽サイト(フィッシングサイト)であることもあり、ソフトウェアのダウンロードやインストール許可などをしてしまいがちだ。
ウェブサイトでも、リンクをクリックする前にアドレスが怪しくないか確認するようにして、不正なサイトへ行かないようにすることが大切だ。

偽装 SMS

ランサムウェアの感染経路とその仕組みの五つ目は、偽装 SMS だ。スマートフォンの SMS を通じて偽装のメッセージを送り、ランサムウェアが含まれているサイトやプログラムに誘導して感染させるという仕組みだ。
偽装 SMS は、あたかも携帯のキャリアや宅配便会社から送信しているように見せかける文面が多い。特にリンクがついているメッセージは疑うこと、どんな内容であってもクリックしないことが重要と言える。

ファイルダウンロード

ランサムウェアの感染経路とその仕組みの六つ目は、ファイルダウンロードだ。メールの添付ファイルと同様に、Web サイトからダウンロードするファイルにランサムウェアが含まれていて、ダウンロードやインストールすることで感染する仕組みだ。メールや他のウェブサイトから誘導された先で、ファイルをダウンロードさせることも多いから、怪しいと感じたファイルは開かずに削除するなどを徹底する必要がある。

組織ネットワーク

ランサムウェアの感染経路とその仕組みの七つ目は、組織ネットワークだ。マルウェアの中でもランサムウェアは、端末に感染してすぐに悪影響を及ぼすのではなく、端末とLANなどの物理ネットワークやメールなどでやり取りされるファイルなど、従業員間 の繋がりを通して、組織内に広く浸透していくのが特徴だ。
ランサムウェアがネットワークや端末の管理者権限を奪取したり、ネットワークで繋がっている端末に感染が十分広がってから活動を開始するため、感染が明確になった時点ではかなり広範囲の端末が汚染されているという事例が多い。

組織のネットワークを経由した感染は、端末の使用者が知らないうちに感染してしまう事もあるため、セキュリティや IT 担当者は、日ごろから不審なメールや通信が無いかなど、組織内部のネットワークに目を配っておくことが大切だ。

外部媒体

ランサムウェアの感染経路とその仕組みの八つ目は、外部媒体だ。ランサムウェアはプログラムなので、USB メモリーなどの外部媒体に保存ができる。ランサムウェアの種類によっては、感染拡大の手段として端末に使用された外部媒体に自動的に自身をコピーするものもある。そうして汚染された USB メモリーを使用したり、USB メモリー内のファイルを開くと感染する仕組みだ。今は外部媒体による感染は少ないものの、感染経路として無くなったわけでは無いから、業務データを USB メモリーなどでやり取りする際には、ウイルススキャンを行うなどの対策が必要だ。

ランサムウェアに感染したら受ける攻撃

ランサムウェアに感染したら受ける攻撃

新人「なんというか、あらゆる場所が感染経路になるという感じですね。すぐには動きださないというのもありましたが、実際の感染はどうやって起こるんですか?」

先輩「端末へのランサムウェアの感染は、大体 3つのステップで行われる。順を追って簡単に説明しようか。」

  • 侵入
  • 情報持ち出し
  • 実行

侵入

ランサムウェアへの感染で最初のステップが「侵入」だ。感染したら即ファイルを暗号化するランサムウェアもあるが、多くは端末への感染に成功すると、その端末内にある情報から組織の情報を探り、より内部へと侵入しようとするんだ。
他の端末へ感染を広げたり、端末内部にある ID やパスワードなどから、内部システムやサーバへのアクセスを試みたり、さまざまな手法で組織の脆弱性をついて侵入しようとする。

場合によっては、感染した端末にバックドアを仕掛けて、さらに強力なマルウェアを送りこむなど、攻撃されていることを悟られないように、感染範囲を広げていくんだ。

情報持ち出し

侵入後の次のステップが「情報の持ち出し」だ。侵入に成功して企業の機密情報などにアクセスできるようになると、バックドアなどを経由して、脅迫を行うための情報を外部へ持ち出していく。単純な情報漏えいと異なり、明確な悪意をもった攻撃者に機密情報や個人情報が渡ってしまう。最初の侵入の段階で、ID やパスワードが漏れていると、機密情報への正規アクセスのように見えるため、情報漏えいに気が付きにくい点も厄介だ。

実行

侵入、情報持ち出しに成功したら、組織やネットワーク内でランサムウェアに感染した端末のシステムを停止させたり、データの暗号化を行う「実行」のステップになる。ランサムウェアは獲得した権限を悪用して、ファイルを暗号化すると、端末の画面に脅迫内容を表示する。この時点で初めて、ランサムウェアの被害にあったことに気づくことも多いんだ。

ランサムウェアに感染した場合の対処法

ンサムウェアに感染した場合の対処法

新人「ランサムウェアで脅迫を受けた時には、かなり感染がひろがった後という事が多いわけですか。」

先輩「残念ながらな。ランサムウェアに限らず、サイバー攻撃は新しい経路や攻撃方法が増えているから、100%防ぐことはほぼ不可能と言ってもいい。もちろん感染しないようにするのは当然だが、企業や組織のセキュリティや IT の担当部門は、感染した場合にどうすべきかをしっかりと事前に考えておく必要があるんだ。」

新人「感染が発覚した後に何をするかという事ですか?」

先輩「その通り、身代金の要求への対応といったランサムウェアに特徴的なものもあるが、その多くは他のサイバー攻撃を受けた時にも役立つものになる。簡単に説明していこうか。」

身代金要求への対応

ランサムウェアに感染した場合の対処法として特徴的なものは、身代金要求への対応だ。

これは、誘拐などの身代金要求と同じで、要求に従ったからといって暗号化されたデータを戻せる保証はどこにもない。むしろ一度払ってしまうと、攻撃者側に狙い目だと認識され、さらなる標的にされる恐れもある。データを取り戻そうと、あわてて攻撃者と接触したりしない事が大切だ。実際に身代金を払った場合も3分の1程度はデータ復旧がされなかったり、復旧が不完全だったというデータもあるから、支払わないことを基本路線としておけば間違いはないと言える。

感染した端末の隔離

ランサムウェアに感染した場合の対処法の二つ目は、ウイルス対策の基本とも言える、感染に気づいた時点ですぐに端末をネットワークから遮断することだ。
感染した端末の有線ケーブルを抜いたり、端末の操作が可能ならネットワーク設定を無効化するなど物理的にネットワーク環境から切り離すのはもちろん、システム側からもアクセスを拒否するようにして完全に隔離する必要がある。被害を最小限に抑えるためにも、感染した端末をネットワークから遮断して隔離するのはサイバー攻撃への対応の基本だな。

症状のチェック

ランサムウェアに感染した場合の対処法の三つめは、症状のチェックだ。感染が発覚した端末だけでなく、ネットワークでつながっている端末すべてで、感染していないかチェックをする必要がある。ランサムウェアのこれもサイバー攻撃への対策としては基本の行動だが、そもそもウイルス対策ソフトが反応しないランサムウェアも存在するので、感染したのがランサムウェアと判明している場合は、ランサムウェアの被害低減を目指す国際的なプロジェクトの「No More Ransom」のサイトで、感染したランサムウェアの種類を特定するツールが公開されているから、そこで感染したランサムウェアの種類を特定して、それに合わせてチェックを進める必要がある。

復号ツールの使用とデータの復旧

ランサムウェアに感染した場合の対処法の四つ目は、復号ツールの使用とデータの復旧だ。ランサムウェアの被害低減を目指す国際的なプロジェクトの「No More Ransom」では、ランサムウェアの復号ツールも公開されている。症状のチェックが終わり感染している端末を特定できれば、複合ツールを使用して暗号化されたデータを復旧することができる。すべてのランサムウェアに対応しているわけではないが、復号ツールでデータを元に戻すことができれば、復旧を迅速にすすめることができる。その他にも確実な復旧方法としては、定期的にバックアップを取得する仕組みを持つことが望ましい。暗号化される直前までさかのぼる形で、データを復旧させることが可能だからだ。

[参照リンク]
「No More Ransom」プロジェクトサイト
https://www.nomoreransom.org/ja/index.html

まとめ

まとめ

新人「ランサムウェアへの感染が広がっているとはいえ、仕組みや感染経路、攻撃手法なんかは他のコンピューターウイルスと大きく違うというわけでは無いんですね。」

先輩「その通り、別枠のようだがランサムウェアもマルウェアの1種には違いない。他のサイバー攻撃と違うのは、攻撃者が接触してくるという点だ、その時点で対応にタイムリミットが発生するし、企業として日頃からランサムウェアに感染したら何をすべきなのかを意識して準備しておかなければ、適切な対応をすることが難しくなる。もちろん、サイバー攻撃自体が高度化しているから、次世代型のウイルス対策ソフトや EDR のような、100%侵入を防げない事を前提とした予防策へとアップデートしていくのが大切だな。」

新人「これまで大丈夫だったからといって、これからも安心とはいかないわけですね。感染を防ぐだけじゃなく、感染後の対応もとなると、会社や組織全体で正しい知識と、日頃からの備えが大切という事ですね。」

先輩「セキュリティ部門や IT 担当としては、新しいセキュリティソリューションを導入したり、啓蒙活動はもちろん、経営層まで含めたインシデント対応まで進めていく必要があるというわけだ。何しろ攻撃側はどんどん進化していくわけだから、防御側も立ち止まるわけにもいかないしな。」

新人「IT 部門も、技術的な部分だけを見てるだけじゃダメという事ですね。」

この記事では、ランサムウェアの感染経路と感染した時の対策について解説しました。

ランサムウェアの感染経路は多様化しており、100%攻撃を防ぐことは難しいと言われています。そのためセキュリティ担当者は、感染後何をすべきか正しい順番で正しい対策を打たなければなりません。

セキュリティ担当者は感染した後の対策を徹底することはもちろん、近年注目され始めている感染しないための対策方法、次世代のセキュリティの重要性もしっかりとおさえる必要があります。

本コラムでご紹介した注目ワード

  • ランサムウェア
    マルウェアの一種で、身代金要求型と呼ばれるコンピューターウイルスの一種
  • No More Ransom
    ランサムウェアの被害低減を目指す国際的なプロジェクト、ランサムウェアに関する最新情報のほか、感染したランサムウェアの特定方法や復号ツールなどを無償で提供している
  • EDR(Endpoint Detection and Response)
    PC、サーバ、スマートフォン、タブレットなどのネットワークに接続されている端末(エンドポイント)の操作や動作を監視し、不審な挙動の検知と対応を支援するセキュリティソリューション

SB C&S では、次世代型とアンチウイルスソリューションと侵入後の検知や対策を行う EDR を実現する「VMware Carbon Black Cloud」をはじめ、一元化された ID や PW 、デバイス監視でゼロトラストセキュリティを実現する「VMware Workspace ONE」、クラウドベースでネットワーク監視を行う「VMware SASE」、そして、セキュリティ関連製品の連携により分散したエンドポイントや従業員をまとめて保護する「VMware Anywhere Workspace」など、猛威を振るうランサムウェアにも有効となる、さまざまなセキュリティソリューションを提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。

VMware Security が実現する
セキュリティソリューション

新しい時代に対応する VMware Security は、これまでとは異なるアプローチで「一歩先を行く対策」を実現する新しい考え方です。VMware が提唱する次世代のセキュリティである VMware Security、SASE (サッシー)、ゼロトラストセキュリティを実現する、セキュリティソリューションについて分かりやすく解説します。

VMware のセキュリティを
もっと詳しく

次世代のエンドポイントセキュリティ

VMware Carbon Black Cloud 変革の進む IT 環境と進化するサイバー脅威に対応する、クラウドベースの EDR (Endpoint Detection and Response)ソリューション

VMware Carbon Black Cloud を
もっと詳しく

VMware Anywhere Workspace

組織が離れた場所で働く従業員のエンゲージメントを維持し、セキュアに働けるよう支援。分散した従業員向けの包括的なツールセットにより、 IT システムとそれを使う従業員の間に生じている課題を解消。

VMware Anywhere Workspace を
もっと詳しく

テレワークを"あたりまえ"にする
デジタルワークスペース

VMware Workspace ONE モダンマネジメントを実現し、さまざまなデバイスから、いつでもどこでも、簡単・セキュアに業務アプリケーションを利用できる「デジタルワークスペース」を提供するプラットフォームをご紹介します。

VMware Workspace ONE を
もっと詳しく

VMware SASE

ネットワークとセキュリティをクラウドで統合し、必要な機能をエッジに対して提供するフレームワーク

VMware SASE を
もっと詳しく

関連情報
さらに表示する

VMware製品、販売についての資料・お問い合わせ VMware製品、販売パートナー制度に関するお問い合わせを受け付けております。お気軽にご相談ください。