ランサムウェアとは、マルウェアと呼ばれるウイルスの一種で、企業に大きな損害をもたらします。近年はその攻撃も巧妙化、多重化しています。なかでも狙われやすいのが端末やネットワークの「脆弱性」です。情報漏えいを防ぐためには、これらの脆弱性に対する適切な対策が必要です。この記事では、ランサムウェアの種類や感染経路、最近の被害事例やトレンドをもとに、その対策について解説します。
目次 |
1. ランサムウェアとは
ランサムウェアとは、コンピュータをロックしたりデータを暗号化したりすることで、データを人質にして身代金(ランサム)を要求するプログラムです。代表的なものに「WannaCry」「SNAKE」「LOCKY」などがあります。
以前のランサムウェアは、主に個人をターゲットにしており、メールを使って無作為にウイルスをばらまくケースがほとんどでした。しかし、近年では企業をターゲットにしたランサムウェアも増えています。企業は、コンピュータ内部にあるデータがなければ仕事ができない上、お客様の個人情報や企画段階の商品情報など多くのセンシティブな情報を抱えています。加えて、高額な身代金を用意できるため、サイバー犯罪者に狙われやすいのです。実際、2023年1月にIPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2023」の組織編では「ランサムウェアによる被害」が3年続けて1位となっています。
近年、ランサムウェアが増えているのは、仮想通貨が一般的に使われるようなったことが一因であると考えられています。匿名での交渉が可能な仮想通貨は、追跡が難しく、警察に通報したころにはすでに犯人の形跡はなく泣き寝入り、というケースも珍しくありません。
さらに、リモートワークやクラウドの普及によって「Attack Surface(攻撃対象となるIT資産)が拡大したことも、増加の要因の1つです。
【関連記事】リモートワークが推奨される現代に必須!ゼロトラストセキュリティとは?
2. ランサムウェアの種類
ランサムウェアの種類について、代表的なものを解説していきます。
WannaCry(ワナクライ)
WannaCryは、世界中を混乱させたランサムウェアで、2017年には150か国以上で感染が確認されました。WannaCryにはランサムウェアのほかワームが含まれており、自動的に感染を拡大させるためより感染力が高くなっています。
CryptoLocker(クリプトロッカー)
CryptoLockerは、悪意のあるファイルが添付されたメッセージを実行することにより感染するランサムウェアです。ファイルの暗号化に加え、コンピュータへのアクセスもできなくします。2013年に登場し、2014年に国際的に対策が取られるまで被害が拡大しました。
Ryuk(リューク)
Ryukは、2018年に登場したランサムウェアで身代金の要求額が非常に高額であることで知られています。暗号化だけでなく、バックアップからの復元も無効化する点が特徴です。
Petya (ペトヤまたはペチャ)
Petyaは、2016年にウクライナにおいて最初の大規模な感染が確認されました。2017年に入ると、NotPetya(ノットペトヤ)と呼ばれる亜種が登場して被害を拡大。感染するとPCが起動できなくなります。
Conti(コンティ)
ContiはRaaS(Ransomware as a Service)として利用されているランサムウェアです。大きな特徴は、重要なファイルを人質とするだけでなく、身代金支払いを拒否する場合にはファイルを公開すると二重に脅す点です。
【関連記事】凶悪化するランサムウェアから企業を守るには? 最初に取り組むべきはセキュリティリスクの"見える化"
3. ランサムウェアの感染経路
先述したように、ランサムウェアはデータを人質にして金銭を要求するものです。まず対象にメールなどを通じてランサムウェアを送り込み、コンピュータ内部に侵入。同時に、コンピュータ内部のデータが、送信者に送られます。そしてデータをロックし、使用不能にしてから「ロックを解除してほしければ金を用意しろ」と脅迫するのです。最終的には侵入したコンピュータ内部からランサムウェアを削除し、追跡ができないようにします。 ランサムウェアを送り込む方法はさまざまですが、メール、Webサイト、USBメモリなどの記憶媒体、ネットワーク機器等の脆弱性の4つが主流です。 |
メール
メールは、ランサムウェアを送り込む方法として、特に多く用いられる方法です。メールの場合、添付ファイルの開封、または本文中のURLをクリックすることで、ランサムウェアに感染します。有名企業になりすまして受信者を信用させる方法や、「請求書を送付した」などとして添付ファイルを開かせる方法がよく使われています。
Webサイト
Webサイトの閲覧も、ランサムウェア感染のきっかけとなることがあります。悪意のあるユーザーによってホームページが改ざんされていると、そのホームページを閲覧しただけで、内部に仕込まれていたランサムウェアに感染します。こうしたサイトは、OSやブラウザの脆弱性を突かれて攻撃される場合が多いです。
また、クラウドサービスの導入でも注意が必要です。クラウドサービスでは、サービス提供側は提供範囲のセキュリティを設定していますが、ユーザー側でも設定が必要な部分がある場合があります。ユーザー側でも適切な設定にしていないと、ランサムウェアに感染する可能性があります。この他にも、サイト内の広告やソフトウェアにランサムウェアが隠されており、これらをクリック、もしくはダウンロードすると感染するケースもあります。
USBメモリなどの記憶媒体
USBメモリや外付けHDDなどの記憶媒体も、ランサムウェア感染の原因となることがあります。これらをコンピュータに接続すると、基本的に自動で読み込みを行いますが、ランサムウェアが内部に仕込まれていた場合、接続と同時にランサムウェアも読み込まれてしまいます。
また、記憶媒体に仕込まれたランサムウェアは、社内にばらまかれる可能性も高いです。なぜなら感染している記憶媒体は、1台のコンピュータに接続しても消えないためです。仮にUSBメモリにランサムウェアが仕込まれていた場合、そのUSBメモリを接続したすべてのコンピュータが感染してしまいます。
ネットワーク機器等の脆弱性
ランサムウェアは主にPCなどのデバイスから感染すると考えがちですが、実はVPN機器やファイアウォール等のネットワーク機器やサーバー、IoT機器などの脆弱性も感染経路になってしまいます。
PCやモバイル端末などには、監視や不正アクセス対策のソフトウェアを入れることがほぼ当たり前になってきており、対応は手厚くなっていますが、上記のようなネットワーク機器などについては、クラウドやテレワークの環境に合わせて機器を追加したものの、導入後のセキュリティ運用が手薄になっているケースは少なくありません。
特に子会社や関連会社・海外拠点などにおいては、管理責任があいまいになりがちで対策に抜けもれがおこりやすくなっています。実際に、国内企業において関連会社のVPNからランサムウェアに感染してシステムが停止し、それに伴って部品の供給や工場での生産自体が止まってしまった事例もあります。
ランサムウェア対策で重要なのは、ネットワーク機器なども含めて、攻撃の起点になり得る認識外の「Attack surface(攻撃対象領域)」を残さないという点です。
4. ランサムウェアの被害事例
近年のランサムウェアの被害事例について解説していきます。
狙われる医療機関等の重要インフラ
近年ランサムウェア攻撃においては、特に医療機関等の重要インフラが狙われる傾向にあります。医療機関に攻撃がなされてシステムに影響が出た場合、人命に関わる深刻な事態に陥ってしまいます。
日本でも立て続けに医療機関を狙ったランサムウェア攻撃が起こっており、2017年以降だけでも10件以上の病院で攻撃が確認されました。攻撃を受けると、電子カルテや予約システムが使用できなくなったり、検査機器に不具合が生じたりしてしまいます。
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、FBIおよび保健社会福祉省と共同声明において以下のような対策について注意喚起しています。
- 最新のプログラムで脆弱性にパッチを適用するため、OS・各種ソフトウェア・ファームウェアの更新プログラムがリリースされたら直ちにインストールする
- リモートデスクトップを利用する場合は、内部ネットワーク経由であってもアクセスを管理する。接続する場合はVPNなどで接続を保護しなければならない
- 定期的にバックアップと復元をテストする
【参考/出典】Alert (AA22-294A)#StopRansomware: Daixin Team│Cybersecurity and Infrastructure Security Agency
(https://www.cisa.gov/uscert/ncas/alerts/aa22-294a)
サプライチェーンの脆弱性を狙った攻撃
サプライチェーンの脆弱性を狙った攻撃も目立ち始めています。2022年には、国内の大手製造業の取引先がランサムウェアによるサイバー攻撃を受け、システム停止を引き起こしました。これによりすべての工場の操業が停止し、完全復旧には最大2週間を要するという甚大な影響が生じました。
この事案では、取引先子会社において使用していた機器に脆弱性があったため不正アクセスされるきっかけとなり、そのまま子会社のネットワークに侵入されています。
大手企業ではサイバーセキュリティに関する対応が進んでいるものの、取引先を含むサプライチェーン全体について、対策が十分でないことが露見された事案となっています。
ネットワーク機器の脆弱性を狙った攻撃
2022年5月、国内の大手酒造メーカーが、使用していたネットワーク機器の脆弱性が原因となり、ランサムウェア攻撃を受けたと発表しました。ランサムウェアによって、基幹システムおよび業務用デバイスにあったファイルやデータが暗号化されました。
感染が判明した段階でサーバーを停止しネットワークも遮断したものの、不正アクセスされたデータには取引先や株主、商品を購入した消費者の個人情報が多数含まれていました。
5. 巧妙化、多重化するランサムウェア
ランサムウェアは巧妙化し、脅迫も多重化する傾向にあります。
まずは脆弱性をスキャニングし、管理されていないVPNや、シャドーITにより意図せず公開された機器など、最も弱い箇所を特定。
弱点を見つけた後は、そこからシステムに侵入し、ネットワーク内で横移動(ラテラルムーブメント)を繰り返しながら権限昇格を行います。こうして特権IDと呼ばれる、強いアカウント権限を奪取し、これを悪用して、機密情報の窃取・暗号化等を行います。
そして暗号化だけでなく、身代金を支払わなければ窃取した情報を公開すると脅し(二重脅迫)、またWebサイトへのDDoS攻撃を仕掛けると脅迫(三重脅迫)、さらには取引先などのステークホルダーへそのランサムウェア感染について連絡すると脅す(四重脅迫)という、多重脅迫を行います。
こうした巧妙化するランサムウェア攻撃に対処するには、まずはAttack Surfaceにおいて「弱点をさらしっぱなしにしないこと」が重要です。
6. ランサムウェアへの対策
ランサムウェアを予防し、万一のために被害を最小化するためには、どのような対策を取れば良いのでしょうか。具体的に見ていきましょう。
一般的なセキュリティ対策
ランサムウェアへの感染を防ぐには、
- 添付ファイルやURLは、安全が確認できない限り開かない
- 企業や知人の名前を騙るメールは、送信元に確認する
- OSやソフトウェアのセキュリティをアップデートし、最新にする
- セキュリティソフトを利用する
- パスワードはセキュリティの高いものにする
などの方法があります。
また、データのバックアップを定期的に取得しておく、データにアクセスできる人間を限定するなどの対策も有効です。
万一感染してしまった場合は、ランサムウェアの種類を特定し、セキュリティソフトを使用するなどしてランサムウェアを駆除する必要があります。その後に復号ツールを使用すれば、データを復元できる場合もあります。
アクセス権の管理
アクセス権の管理は、セキュリティ対策において非常に重要です。
ランサムウェアはシステムの脆弱性等を悪用して侵入後、システム内のより強い権限、すなわち「特権ID」を狙って、これを悪用しファイルの暗号化などの不正なアクセスや操作を行います。
これらの特権IDが現状どうなっているか、定期的に確認し管理する必要があります。そのための専用ソリューションもあります。
【関連記事】増え続ける不正アクセス!ID管理の徹底や多要素認証が求められる
Attack Surface Management(ASM)
Attack Surfaceとは、攻撃される可能性のある領域を指します。具体的には、PCなどの端末やシステム、VPN機器、クラウド、サーバーなど、多岐にわたります。サプライチェーンの複雑化やリモート・ハイブリッドワークの急速な広まりを背景に、Attack SurfaceであるIT資産の管理把握が難しくなっているのが現状です。
このような背景の中、長期間メンテナンスされていないデバイスなどのIT資産を発見し、適切に管理するのがASM(Attack Surface Management)です。
脆弱性診断では、ある程度特定した機器やシステムにおける脆弱性を確認するのに対し、ASMでは不特定多数のIT資産における脆弱性を確認できることが大きな違いです。
脆弱性を判断する「トリアージ」の視点も異なります。脆弱性診断では脆弱性の影響度を分析するのに対して、ASMでは外部の攻撃者にとってどれくらい攻撃しやすくなっているかを判断していきます。
【関連記事】ウィルス対策はどうするべき?自社に最適なセキュリティソフトの選び方
7. もしも感染してしまったら
万が一、ランサムウェアに感染してしまった際にはどのように対処すればよいのでしょうか。詳しく解説していきます。
被害を受けた端末をネットワークから遮断する
ランサムウェアは、一度感染してしまうと感染源の端末から他のネットワークや端末にも感染します。まずは感染した端末をネットワークから隔離しましょう。その際には、感染した端末の電源を切らずに、復元のための手がかりや情報を保存するようにします。
【参考/出典】ランサムウェア、あなたの会社も標的に?被害を防ぐためにやるべきこと│政府広報オンライン
(https://www.gov-online.go.jp/useful/article/202210/2.html)
現状を把握し初動対応を行う
感染確認後、状況を整理しながらどの程度まで影響が広がっているか確認します。影響範囲は、セキュリティアラートやログから確認可能です。次に、社内における連絡体制を確保していきます。また、個人情報が漏洩した場合など備え、広報など社外に対する対応も検討しなければなりません。
また、ランサムウェアは、特権IDと呼ばれる管理者権限を狙います。被害を受けたシステムやアカウントのリセットも必要です。
警察への通報、専門機関への相談等を行う
ランサムウェアに感染してデータが暗号化され、身代金が要求された場合にも支払いや交渉には応じるべきではありません。身代金を支払った場合においても、暗号化されてしまったデータの復元鍵が提供される保証はなく、逆に犯罪者の資金源となることで新たなランサムウェア攻撃の元となる恐れがあるからです。
感染が確認された場合は、警察への通報やセキュリティ専門機関への報告や相談を行いましょう。以下に相談窓口の例を紹介します。
【サイバー犯罪相談窓口の例】
JPCERT/CC インシデント対応相談(https://www.jpcert.or.jp/form/#report)
警察庁 都道府県警察本部のサイバー犯罪相談窓口一覧(https://www.npa.go.jp/cyber/soudan.html)
バックアップ等から復旧を行う
感染してしまった端末やシステムにデータのバックアップがある場合は、バックアップを活用しながら復旧作業が可能な場合もあります。
感染した端末をネットワークに接続する場合には、不正な設定やウィルス・マルウェアが残っていないことを十分に確認します。
またランサムウェアによっては、復号ツールが公開されている場合もあります。
8. まとめ
メールやネットワーク機器の脆弱性などを悪用し送られてくるランサムウェアは、企業にとって大きな脅威です。適切なセキュリティ対策はシステムの安全度を高め、ランサムウェア感染のリスクを軽減します。
そのためには、Attack Surfaceをはじめ自社のセキュリティにどのような問題があるのかを知らなければなりません。JBCCでは、社内のセキュリティリスクを可視化するサービスを提供し、セキュリティの問題点を明らかにします。ランサムウェア対策にお悩みの方は、ぜひご相談ください。
【関連記事】
攻撃者目線でリアル環境の脆弱性を検出する「Attack Surface診断サービス」 グループ企業や海外拠点を含めたセキュリティ対策を一括で実現
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |