ITボランチ

COLUMN

お役立ち情報

被害が拡大しているランサムウェアとは?わかりやすく特徴と対策を解説!

  • このエントリーをはてなブックマークに追加
被害が拡大しているランサムウェアとは?防ぐ方法はあるのか?

近年のDX(デジタルトランスフォーメーション)推進、テレワークの普及といった背景から、業務ツールのデジタル化が進んでいます。仕事で使う業務ツールのみならず、生活のありとあらゆるサービスがインターネット上で行えるようになりました。

その反面、個人情報、機密データ漏洩や、不正侵入された情報セキュリティ事故をよく目にしますよね。特に近年世界中で被害が拡大しているランサムウェアというコンピューターウィルスをご存知でしょうか。感染してしまうとパソコンやスマートフォンの操作ができなくなったり、重要な情報資産を人質に身代金を要求されたりと、企業活動の妨害、個人の安全な生活や資産のみならず、場合によっては生命を脅かす可能性がある大変悪質なコンピュータウィルスです。

近年国内の被害件数も増加しており、世間的に関心度が高まっていますが、みなさんのパソコンにはどのような対策がなされていますか?正しく理解し、適切な対策を講じることで感染リスクを限りなく最小化できます。この記事ではランサムウェアについてわかりやすく解説し、適切な対策についてお伝えします。

まずはマルウェアとは?


マルウェアとは、malicious(悪意のある)とsoftware(ソフトウェア)の2つの単語をくみあわせた造語です。悪意のあるプログラムの総称であり、非常に広義な言葉です。コンピューターウィルス、ワーム、トロイの木馬、スパイウェアなどが定義上マルウェアに含まれます。

ランサムウェアとは?


ランサムウェアとはRansom(身代金)とsoftware(ソフトウェア)の2つの単語をくみあわせた造語です。マルウェアの中でコンピューターウィルスの一種と定義されており、大分すると以下の2つの型があります。

・暗号化型
パソコンのハードディスクに保存されているデータやファイルサーバ上のデータなどを暗号化して使用不可にし、データ復旧と引き換えに身代金を要求します。

・ロック型
パソコンの画面ロックしてしまい、解除するためのログイン権限やアクセス権限を奪われてしまい、ロック解除することと引き換えに身代金を要求します。

どちらのタイプも情報資産を暗号化やロックすることで人質とし、人質(情報資産)を開放するための身代金を目的としたマルウェアです。
しかしランサムウェアが厄介だといわれているのは、人質となる情報資産はデータであり複製が可能であることです。その点につけ込み、身代金を支払わなければデータを公開する等と初回の支払いの後に再び支払い強要する二重恐喝型であるという点です。

ちなみにこのランサムウェアですが、実は四半世紀ほど前から存在していたマルウェアなのです。インターネット通信の高速化により今までよりも大量のデータを取り扱えるようになったこと。またビットコインなどの仮想通貨が誕生したことにより、銀行口座のように身元を割り出されず、追跡が困難な環境が整ったことで、再びランサムウェアが流行する事となりました。

IPA(独立行政法人情報処理推進機構)の情報セキュリティ10大脅威の2021年度版でもランサムウェアは組織の部門では1位という結果になるほどです。昨年は5位でしたので、どれだけ組織(法人など)での被害が拡大しているのかは計り知れません。

ではどうしたらランサムウェアから情報資産を守ることができるでしょうか?まずはランサムウェアの感染経路についてご紹介します。

ランサムウェアとは?

ランサムウェアに感染してしまう経路とは


よくある感染経路について以下4つをご紹介します。

1.メール
フィッシングメールや、スパムメールのように、本物になりすましたメールを送り、リンクから不正なWebサイトに誘導しアクセスさせる、また添付ファイルを開かせてアプリケーションをインストールすることで感染させる手法です。
会社のメールアドレスに不審なメールが届かれる事があるかと思いますが、近年は非常に巧妙化してきており、思わずクリックしてしまいそうになることもあるのではないでしょうか。

2.Webサイト
悪意のあるWebサイトや改ざんされたWebサイトからからマルウェアをダウンロードすることで感染させる手法です。Webサイトに表示されている広告やプラグイン機能にもランサムウェアが紛れ込んでいる場合もあります。
信頼されていないWebサイトは閲覧すること自体を控えたほうがいいでしょう。
また、先程のメールのケースで解説しましたが、メールに記載されているURLをクリックしてしまうと悪意のあるWebサイトに遷移してしまうことがありますから注意が必要です。

3.外部メディア
USBメモリ、外付けHDDのような外部記憶媒体も感染経路となりえます。ネットワークを介さず人手を介して持ち運ばれます。内部不正やソーシャルエンジニアリングの手口で利用されます。
こういった外部記録媒体は、不審に思うことが少なく、つい安心してパソコンに接続してしまいがちですが、そもそも外部記録媒体の接続を許可していない企業も増えています。

4.ローカルネットワーク
社内オフィス環境のように従業員のパソコン、業務サーバー、プリンターなど共有リソースが接続されたローカルネットワークに、感染したパソコンを繋げるだけで同一ネットワーク内に感染が拡大する事例もあります。
被害が拡大しやすいケースですので、LAN環境に感染したパソコンが接続されるケースを想定して対策をしておくことが望まれます。
ファイルサーバなどにも感染してしまうのは、大半はLANを介して広がってしまったと考えられます。

どういう流れで感染してしまうのか?


次にどのような流れで感染するのでしょうか?従来のランサムウェアはばら撒き型でした。これは個人・企業問わず、不特定多数の人に対し不正なメールをばら撒き、感染を狙うという手口でした。

しかし近年では標的型の攻撃が増えています。企業・組織をターゲットに定め、執拗且つ巧妙に攻撃を仕掛ける特徴を持っています。例として偽装メールアドレス、不正なWebサイトへの誘導、USBメモリのような物理的記憶媒体を持ち込み、データ窃取プログラムを仕込む手口など、標的型の攻撃手口は高度化、巧妙化しています。
標的型攻撃メールについては、トレーニングプログラムを提供している企業やサービスが多数あります。高価なものから安価なものまでありますが、感染を防ぐためにもこのような訓練をして従業員の意識を高めることは重要です。

具体的にどのような被害があるのか?(なぜセキュリティ上の驚異と言われているか)


ではランサムウェアに感染することで具体的にどのような被害が考えられるでしょうか?
情報セキュリティには守るべき重要な要素が3つあります。ランサムウェアはこの3つの原則に対し大きな影響を与えます。なぜランサムウェアがセキュリティ上の驚異と言われているのかも含め3つの要素を切り口に解説します。

・機密性(confidentiality)
機密性とは情報を外部に見せない、漏らさないことを管理することです。ランサムウェアはデータを暗号化したり、ロックしたりするだけではありません。重要な企業の情報資産や個人情報を窃取され、データそのものを複製され不正に公開されたり、ダークWeb(闇サイト)でやり取りされたり、企業や政府の諜報活動にも利用されており、深刻な情報漏洩の被害が想定されます。

・完全性(integrity)
完全性とは情報が改ざん、過不足なく正確であることを管理することです。二重、三重の脅迫を目的に、段階的に復元させるなどの被害が想定されます。またランサムウェアは身代金を支払ってもシステムが完全に復元できるとは限りません。

・可用性(availability)
可用性とは情報をいつでも使える状態を維持することです。ランサムウェアに感染することで、パソコンやサーバーが起動しなくなります。業務システムやサービスが停止し、企業にとっては大きな機会損失となり社会的な信用にも影響を及ぼします。また莫大な身代金による金銭的損失も企業にとっては大きなダメージです。何より業種によっては、利用者の命に関わる可能性もあり深刻な被害が想定されます。

ご紹介した被害想定はほんの一部に過ぎません。身代金が支払われることで、犯罪組織はますます力をつけ勢力を拡大することになります。ランサムウェアはセキュリティの3原則を根幹から脅かし企業活動や社会活動、私たちの身近な生活まで影響を及ぼしかねないマルウェアなのです。

ランサムウェアがもたらす被害とは?

ランサムウェアの主な種類とは


ランサムウェアの主な種類として以下3種類を紹介します。

・WannaCry(暗号化型ランサムウェア)
WannaCryは2017年5月に世界中で猛威を振るった暗号化型ランサムウェアに分類されます。個人ファイルやフォルダを暗号化します。仮想通貨であるビットコインでの身代金支払いを要求する点に特徴があります。

・WinLocker(ロック型ランサムウェア) —
WinLockerはパソコンの画面をロックするロック型ランサムウェアです。個人ファイルは暗号化されませんが、ロックの解除に身代金を要求します。

・Polyransom2(MBRロック型ランサムウェア)
MBR(マスターブートレコード)とはOSを起動するために使用されるファイルです。MBRを標的とするランサムウェアは、起動プロセスを妨害し、画面には身代金要求が表示されます。

またスマートフォンを対象にしたランサムウェアの被害事例も報告されています。パソコンだけでなく、モバイル端末も含めすべてのデバイスに対策が必要と言えるでしょう。

どのような対策をしておけばいいのか


以下のような対策を多重的に講じることで、被害の最小化に役立つ可能性がります。可能な範囲で是非ご検討ください。対策について、社内に専属の担当者がいない場合、専門家に相談することを推奨します。

・定期的なバックアップを取得し別の記憶媒体に保管する。
・メールの添付ファイルや、Webページのリンクを安易にクリックしない。
・すべての端末にセキュリティソフトを導入し定義ファイルを常に最新の状態に保つ。
・OSやアプリケーションを最新の状態にアップデートする。
・パスワードは多要素認証を設定する。

感染してしまったらどうすればいいのか?


それでも感染してしまったら、まずネットワークから感染したデバイス(パソコンやスマートフォン、タブレットなど)を切り離しましょう。共有ネットワークやローカルネトワークを経由し二次被害を起こすリスクがあります。
次に情報を保全するために、重要な証跡がメモリ上に残っている可能性があります。極力、再起動や電源を落とさないようにしましょう。感染後の対処についても、社内に専属の担当者がいない場合、専門家に相談することを推奨します。
特に注意が必要なのは、ノートパソコンなど、有線LAN(ローカルネットワーク)から切り離すためにLANケーブルを抜いたとしても、自動で無線LAN(Wi-Fi)に接続するように設定がされていることも多いので、Wi-Fiを接続しないように設定することを忘れないようにして下さい。

まとめ


ランサムウェアも感染させるために日々進化しています。企業向けの標的型攻撃により多額の身代金を得ることで、サイバー犯罪のエコシステムであるRansomware as a Service (RaaS)モデルの攻撃基盤が構築されたと言われています。
近年のサイバー攻撃が巧妙化・高度化しているように私たちも、基本的な知識を身につけ、正確な情報を収集し、対策を講じることが重要です。

まず、何から手をつければ良いのかわからないというような場合、セキュリティの専門家に相談してみてはいかがでしょうか。一般的な設備投資とは異なり、セキュリティ対策は企業規模や状況によって手法が変わってきます。多くのナレッジを持つ専門家の支援は大いに役立つと思います。

特に、そのようなご相談を日々受けているような社内IT環境の保守業務などをしているベンダーは経験も豊富で、企業規模やご予算に応じた提案をしてくれます。また、ご相談は無償で対応してくれますので、お気軽にご相談してみてはいかがでしょうか。

IT保守業務を専門としているITボランチでは、このようなランサムウェアのセキュリティ対策だけではなく、テレワークを導入したことによるセキュリティ対策や安全なネットワーク構築、リモートワークになったことによる煩雑になりがちなIT資産管理など、社内のIT業務全般を貴社のIT担当者に代わり、IT業務をアウトソーシングさせていただきます。

日々多くの企業様のIT業務を対応させていただいておりますので、多くの経験や事例の中から貴社に最適な提案をさせていただきます。もちろん、現在のお困りごとや課題など、まずは気軽にご相談いただけますでしょうか。お見積りまでは完全無料でご相談いただけますので、ご安心ください。

SNSでもご購読できます。