ランサムウェアとは　特徴・攻撃手法と対策を分かりやすくご紹介

ランサムウェアとは

ランサムウェアとは、身代金を意味する「Ransom」と「Software」を組み合わせた造語であり、暗号化などによってファイルを利用不可能な状態にした上で、そのファイルをもとに戻すことと引き換えに金銭を要求するマルウェア（コンピュータウイルス）です。

上のケースは架空のものですが、同じような状況でランサムウェアに感染し、社内のデータが使用できなくなるケースが後を絶ちません。ランサムウェアを使用した企業へのサイバー攻撃が近年増加しているのです。

ランサムウェアによって暗号化されたファイルを自分自身で復元するのは極めて困難な上、たとえサイバー攻撃者が要求する身代金を支払ってもファイルがもとに戻る保証はなく、大きな被害を被る可能性があります。さらに、金銭的な損害だけでなく、取引先のデータや個人情報など重要な情報の流出に発展することもあるため、社会的信用の失墜を引き起こしたり、事業の継続が困難になる恐れさえあります。

このように企業を脅かすランサムウェアですが、近年は犯罪組織によって開発されたランサムウェア攻撃を支援するクラウドサービス「RaaS（Ransomware as a Service）」がサイバー攻撃者の間で普及しています。これはサイバー攻撃者がランサムウェアを使用するうえで必要なツールをセットにしたもので、ランサムウェアによる攻撃の難易度を大幅に下げ、犯罪組織は利用者（サイバー攻撃者）からライセンス料などを得ています。こうしたRaaSの登場がランサムウェア攻撃の増加に拍車をかけており、企業にはより一層のセキュリティ対策強化が求められます。　

ランサムウェアの被害と手口

ランサムウェアは暗号化した情報を人質にして金銭を要求する攻撃に利用されており、2020年以降は「暴露型」と呼ばれるものが増加しています。暴露型のランサムウェアではサイバー攻撃者は情報を暗号化した後に①制限時間内に身代金を支払わなければ情報の復元は不可能になる　②身代金を支払わなければ窃取した情報を公開する　という二重の脅迫を行います。これは被害企業が金銭を支払わないことによるリスクを増大させる手口であり、被害企業はより大きな金銭面でのプレッシャーを受けることになります。

また、暴露型の増加はランサムウェアに感染させる手口も変化させました。従来、ランサムウェアへの感染はメールなどの一斉送信による「ばら撒き」が主流でしたが、暴露型ではより高額な身代金を請求することを目的としてターゲットを絞り込んだ「標的型攻撃」に姿を変えてきています。

ランサムウェアの感染経路と攻撃手順

ランサムウェアを用いたサイバー攻撃は主に以下の４段階に分かれて行われます。

①ネットワークへの侵入　

ランサムウェアを仕掛けるため、サイバー攻撃者はまず対象企業のネットワークに侵入します。その際の経路としてはマルウェア(コンピュータウイルス）を仕込んだフィッシングメール送信や、VPNのようなネットワークに接続している機器の脆弱性を悪用したものが代表的です。

②攻撃基盤の構築

ネットワークへの侵入を果たしたら、サイバー攻撃者はネットワーク内での足掛かりをより強化する行動に移ります。具体的にはネットワークに繋がっている端末に対し遠隔操作ツールを仕込み、各種のハッキングツールをダウンロードしてネットワーク内の権限を取得しつつ行動を拡大していきます。

③情報の窃取

ネットワーク内の権限を獲得し、機密性が高いネットワーク階層にもアクセスできるようになったサイバー攻撃者は、いよいよ重要な情報の取得に乗り出します。企業の脅迫に十分な情報を窃取し、自身のサーバやクラウドに転送するのです。これは近年主流の「暴露型」において必ず行われるプロセスです。

④ランサムウェア実行

最後に、対象企業のネットワークに仕込んでおいたランサムウェアを実行し、情報を暗号化します。暗号化して情報を使用不能にした後、企業に対して「暗号化を解除して欲しければ身代金を払え、払わなければ情報を公開する」などといったメッセージを送り、脅迫します。この時、ランサムウェアによる情報の暗号化が検知されたり妨げられたりしないよう、

サイバー攻撃者は対象企業のウイルス検知ソフトなどを遠隔操作ツールを用いてOFFにしてしまうこともあります。

ランサムウェア対策

このように企業を脅かすランサムウェアですが、以下の対策を実施することで感染リスクを下げることができます。

①従業員へのセキュリティ教育

従業員に対し、セキュリティに関する基本的な教育を行うことはランサムウェアのみならず、全ての情報漏えい対策において最も重要です。不審なファイルが添付されたメールは開かない、簡単に推測されてしまう安易なパスワードを設定しない、企業で定めた機器以外を業務で使わないなどのルールを明文化して、従業員に繰り返し伝えましょう。

②脆弱性への対応

ソフトウェアや機器の脆弱性は日々発見されており、それを放置しているとサイバー攻撃者につけ入る隙を与えてしまいます。多くのメーカは自社製品の脆弱性を是正するアップデートファイルを配布していますので、最新バージョンへのアップデート・最新パッチの適用を必ず行いましょう。また、古いOSはメーカのアップデート対象とならず脆弱性の解消ができないことがあるため、なるべく最新のOSを使用することも重要なポイントです。

③ファイルの定期的なバックアップ

いったん、ランサムウェアにより情報を暗号化されてしまうと、もとに戻すことは非常に困難です。万が一の事態に備え、ファイルを定期的にバックアップして重要な情報が失われないようにしましょう。またこのとき、従業員が無断で私的なクラウドストレージやUSBメモリなどを使用すると情報漏えいのリスクを高めますので、企業側でルールを定めておくことも重要です。

④情報インシデント管理体制を構築する

ネットワークや端末などで不審な活動が検知された際、発見者やIT部門の従業員などが全ての対応を行うことは極めて困難です。特に、ランサムウェアなどの深刻な脅威に対抗するためには、情報インシデント（事件、事故）が発生した際の管理体制を構築する必要があります。不審な活動を発見した際の通報や被害状況の集約・分析、他社への連絡が必要な際の担当者などを決めておく必要があります。また、こうした管理体制の構築には経営者の強いコミットメントが欠かせません。

ランサムウェアを知り、脅威に備えましょう

本記事では企業にとって大きな脅威となっているランサムウェアの特徴とその対策についてご紹介しました。ランサムウェアを用いたサイバー攻撃の被害に遭うと、金銭的な損失だけでなく「セキュリティが甘い会社」と周囲から認識され、社会的な信用の低下を招く恐れもあります。そうした事態を防止するためにも、ランサムウェアに関する知識をさらに蓄え、被害を防止していきましょう。

また、以下のリンクからランサムウェア攻撃に対応するためのポイントをご確認いただけます。

特設ソリューションページのご案内