ランサムウェアの仕組みや感染後の動き、チェック方法から感染時の対処方まで徹底解説

ランサムウェアの感染経路とその仕組み

先輩「まずは、ランサムウェアの感染経路と仕組みについて代表的な 8つの項目を説明しよう。」

メールの添付ファイル

ランサムウェアの感染経路とその仕組みの一つ目は、メールの添付ファイルだ。メールの添付ファイルにランサムウェアを実行するプログラムが仕込まれていて、添付ファイルを開くとランサムウェアが起動し、その端末に感染する、という仕組みだ。

危険な添付ファイルは、「.exe」や「.msi」 といったプログラムやインストーラーだけでなく、Word や Excel ファイルなどもマクロ機能によりランサムウェアに感染する恐れがある。メールに添付されたオフィス系のファイルを開いた際に、マクロを有効化する「コンテンツの有効化」を許可すると、不正なマクロが実行されてランサムウェアが起動するというわけだ。ランサムウェアによる攻撃は、標的型攻撃と呼ばれる受信者を標的として、仕事に関係しているような文面やタイトルが設定されていることが多く、メールサーバなどのウイルス検知をすり抜けてしまうと、感染する可能性が非常に高い。くれぐれも怪しい添付ファイルは開かないことや、マクロなどを安易に有効化しないなどの注意徹底が必要だ。

メール本文の URL

ランサムウェアの感染経路とその仕組みの二つ目は、メール本文の URL だ。メールにあるリンクをクリックすると、ランサムウェアに感染させるためのウェブサイトが開き、ブラウザを経由してマルウェアに感染するというわけだ。メールの添付ファイルと同様、メールの件名や本文は「請求書」や「内容ご確認ください」など、仕事をしていると思わずリンクをクリックしたくなるような内容であることが多い。メールにあるリンクは遷移先のドメイン名を確認するなどして、少しでも不信に感じたリンクは開かないことが大切だ。

アプリ/ソフトウェア

ランサムウェアの感染経路とその仕組みの三つ目は、フリーのアプリやソフトウェアだ。インターネットには、便利なツールやアプリが数多く提供されている。その中には無料でダウンロードできるものも多くある。そうしたツールにマルウェアが仕込まれていて、ダウンロードして端末にインストールすると感染するという仕組みだ。
業界や企業によっては、業務用の端末に勝手にツールやアプリをインストールすることが比較的自由なところもまだ多い、個人で利用する分には自己責任で済むが、ランサムウェアの被害が増えてきている以上、改めてこうしたツールやアプリを勝手に業務に使うのはなるべく避けた方が良いだろうな。

最近では、スマートフォンをターゲットとしたアプリ経由の感染も増えてきている。Android などは、アプリストアを経由しなくても比較的簡単にアプリをインストールできるから、こういう危険があることを、しっかりと認識する必要がある。

Web サイトのリンクボタン

ランサムウェアの感染経路とその仕組みの四つ目は、Web サイトにあるリンクだ。メール本文のリンクと同様に不正なウェブサイトに誘導し、ブラウザ経由でランサムウェアに感染する。誘導されるサイトは、公式サイトを偽装するような偽サイト（フィッシングサイト）であることもあり、ソフトウェアのダウンロードやインストール許可などをしてしまいがちだ。
ウェブサイトでも、リンクをクリックする前にアドレスが怪しくないか確認するようにして、不正なサイトへ行かないようにすることが大切だ。

偽装 SMS

ランサムウェアの感染経路とその仕組みの五つ目は、偽装 SMS だ。スマートフォンの SMS を通じて偽装のメッセージを送り、ランサムウェアが含まれているサイトやプログラムに誘導して感染させるという仕組みだ。
偽装 SMS は、あたかも携帯のキャリアや宅配便会社から送信しているように見せかける文面が多い。特にリンクがついているメッセージは疑うこと、どんな内容であってもクリックしないことが重要と言える。

ファイルダウンロード

ランサムウェアの感染経路とその仕組みの六つ目は、ファイルダウンロードだ。メールの添付ファイルと同様に、Web サイトからダウンロードするファイルにランサムウェアが含まれていて、ダウンロードやインストールすることで感染する仕組みだ。メールや他のウェブサイトから誘導された先で、ファイルをダウンロードさせることも多いから、怪しいと感じたファイルは開かずに削除するなどを徹底する必要がある。

組織ネットワーク

ランサムウェアの感染経路とその仕組みの七つ目は、組織ネットワークだ。マルウェアの中でもランサムウェアは、端末に感染してすぐに悪影響を及ぼすのではなく、端末とLANなどの物理ネットワークやメールなどでやり取りされるファイルなど、従業員間 の繋がりを通して、組織内に広く浸透していくのが特徴だ。
ランサムウェアがネットワークや端末の管理者権限を奪取したり、ネットワークで繋がっている端末に感染が十分広がってから活動を開始するため、感染が明確になった時点ではかなり広範囲の端末が汚染されているという事例が多い。

組織のネットワークを経由した感染は、端末の使用者が知らないうちに感染してしまう事もあるため、セキュリティや IT 担当者は、日ごろから不審なメールや通信が無いかなど、組織内部のネットワークに目を配っておくことが大切だ。

外部媒体

ランサムウェアの感染経路とその仕組みの八つ目は、外部媒体だ。ランサムウェアはプログラムなので、USB メモリーなどの外部媒体に保存ができる。ランサムウェアの種類によっては、感染拡大の手段として端末に使用された外部媒体に自動的に自身をコピーするものもある。そうして汚染された USB メモリーを使用したり、USB メモリー内のファイルを開くと感染する仕組みだ。今は外部媒体による感染は少ないものの、感染経路として無くなったわけでは無いから、業務データを USB メモリーなどでやり取りする際には、ウイルススキャンを行うなどの対策が必要だ。

ランサムウェアに感染したら受ける攻撃

新人「なんというか、あらゆる場所が感染経路になるという感じですね。すぐには動きださないというのもありましたが、実際の感染はどうやって起こるんですか？」

先輩「端末へのランサムウェアの感染は、大体 3つのステップで行われる。順を追って簡単に説明しようか。」

侵入

ランサムウェアへの感染で最初のステップが「侵入」だ。感染したら即ファイルを暗号化するランサムウェアもあるが、多くは端末への感染に成功すると、その端末内にある情報から組織の情報を探り、より内部へと侵入しようとするんだ。
他の端末へ感染を広げたり、端末内部にある ID やパスワードなどから、内部システムやサーバへのアクセスを試みたり、さまざまな手法で組織の脆弱性をついて侵入しようとする。

場合によっては、感染した端末にバックドアを仕掛けて、さらに強力なマルウェアを送りこむなど、攻撃されていることを悟られないように、感染範囲を広げていくんだ。

情報持ち出し

侵入後の次のステップが「情報の持ち出し」だ。侵入に成功して企業の機密情報などにアクセスできるようになると、バックドアなどを経由して、脅迫を行うための情報を外部へ持ち出していく。単純な情報漏えいと異なり、明確な悪意をもった攻撃者に機密情報や個人情報が渡ってしまう。最初の侵入の段階で、ID やパスワードが漏れていると、機密情報への正規アクセスのように見えるため、情報漏えいに気が付きにくい点も厄介だ。

実行

侵入、情報持ち出しに成功したら、組織やネットワーク内でランサムウェアに感染した端末のシステムを停止させたり、データの暗号化を行う「実行」のステップになる。ランサムウェアは獲得した権限を悪用して、ファイルを暗号化すると、端末の画面に脅迫内容を表示する。この時点で初めて、ランサムウェアの被害にあったことに気づくことも多いんだ。

ランサムウェアに感染した場合の対処法

新人「ランサムウェアで脅迫を受けた時には、かなり感染がひろがった後という事が多いわけですか。」

先輩「残念ながらな。ランサムウェアに限らず、サイバー攻撃は新しい経路や攻撃方法が増えているから、100％防ぐことはほぼ不可能と言ってもいい。もちろん感染しないようにするのは当然だが、企業や組織のセキュリティや IT の担当部門は、感染した場合にどうすべきかをしっかりと事前に考えておく必要があるんだ。」

新人「感染が発覚した後に何をするかという事ですか？」

先輩「その通り、身代金の要求への対応といったランサムウェアに特徴的なものもあるが、その多くは他のサイバー攻撃を受けた時にも役立つものになる。簡単に説明していこうか。」

身代金要求への対応

ランサムウェアに感染した場合の対処法として特徴的なものは、身代金要求への対応だ。

これは、誘拐などの身代金要求と同じで、要求に従ったからといって暗号化されたデータを戻せる保証はどこにもない。むしろ一度払ってしまうと、攻撃者側に狙い目だと認識され、さらなる標的にされる恐れもある。データを取り戻そうと、あわてて攻撃者と接触したりしない事が大切だ。実際に身代金を払った場合も3分の1程度はデータ復旧がされなかったり、復旧が不完全だったというデータもあるから、支払わないことを基本路線としておけば間違いはないと言える。

感染した端末の隔離

ランサムウェアに感染した場合の対処法の二つ目は、ウイルス対策の基本とも言える、感染に気づいた時点ですぐに端末をネットワークから遮断することだ。
感染した端末の有線ケーブルを抜いたり、端末の操作が可能ならネットワーク設定を無効化するなど物理的にネットワーク環境から切り離すのはもちろん、システム側からもアクセスを拒否するようにして完全に隔離する必要がある。被害を最小限に抑えるためにも、感染した端末をネットワークから遮断して隔離するのはサイバー攻撃への対応の基本だな。

症状のチェック

ランサムウェアに感染した場合の対処法の三つめは、症状のチェックだ。感染が発覚した端末だけでなく、ネットワークでつながっている端末すべてで、感染していないかチェックをする必要がある。ランサムウェアのこれもサイバー攻撃への対策としては基本の行動だが、そもそもウイルス対策ソフトが反応しないランサムウェアも存在するので、感染したのがランサムウェアと判明している場合は、ランサムウェアの被害低減を目指す国際的なプロジェクトの「No More Ransoｍ」のサイトで、感染したランサムウェアの種類を特定するツールが公開されているから、そこで感染したランサムウェアの種類を特定して、それに合わせてチェックを進める必要がある。

復号ツールの使用とデータの復旧

ランサムウェアに感染した場合の対処法の四つ目は、復号ツールの使用とデータの復旧だ。ランサムウェアの被害低減を目指す国際的なプロジェクトの「No More Ransoｍ」では、ランサムウェアの復号ツールも公開されている。症状のチェックが終わり感染している端末を特定できれば、複合ツールを使用して暗号化されたデータを復旧することができる。すべてのランサムウェアに対応しているわけではないが、復号ツールでデータを元に戻すことができれば、復旧を迅速にすすめることができる。その他にも確実な復旧方法としては、定期的にバックアップを取得する仕組みを持つことが望ましい。暗号化される直前までさかのぼる形で、データを復旧させることが可能だからだ。

まとめ

新人「ランサムウェアへの感染が広がっているとはいえ、仕組みや感染経路、攻撃手法なんかは他のコンピューターウイルスと大きく違うというわけでは無いんですね。」

先輩「その通り、別枠のようだがランサムウェアもマルウェアの1種には違いない。他のサイバー攻撃と違うのは、攻撃者が接触してくるという点だ、その時点で対応にタイムリミットが発生するし、企業として日頃からランサムウェアに感染したら何をすべきなのかを意識して準備しておかなければ、適切な対応をすることが難しくなる。もちろん、サイバー攻撃自体が高度化しているから、次世代型のウイルス対策ソフトや EDR のような、100％侵入を防げない事を前提とした予防策へとアップデートしていくのが大切だな。」

新人「これまで大丈夫だったからといって、これからも安心とはいかないわけですね。感染を防ぐだけじゃなく、感染後の対応もとなると、会社や組織全体で正しい知識と、日頃からの備えが大切という事ですね。」

先輩「セキュリティ部門や IT 担当としては、新しいセキュリティソリューションを導入したり、啓蒙活動はもちろん、経営層まで含めたインシデント対応まで進めていく必要があるというわけだ。何しろ攻撃側はどんどん進化していくわけだから、防御側も立ち止まるわけにもいかないしな。」

新人「IT 部門も、技術的な部分だけを見てるだけじゃダメという事ですね。」

SB C&S では、次世代型とアンチウイルスソリューションと侵入後の検知や対策を行う EDR を実現する「VMware Carbon Black Cloud」をはじめ、一元化された ID や PW 、デバイス監視でゼロトラストセキュリティを実現する「VMware Workspace ONE」、クラウドベースでネットワーク監視を行う「VMware SASE」、そして、セキュリティ関連製品の連携により分散したエンドポイントや従業員をまとめて保護する「VMware Anywhere Workspace」など、猛威を振るうランサムウェアにも有効となる、さまざまなセキュリティソリューションを提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。