【ランサムウェア事例】感染経路や被害の実態を解説

ランサムウェアとは、企業のデータを暗号化して身代金などを要求するマルウェアのこと

ランサムウェアとは、組織のデータを不正に暗号化し、そのデータの復元と引き換えに身代金などを要求する悪質なマルウェアです。一般社団法人 JPCERTコーディネーションセンターが公表した「ランサムウェアの脅威動向および被害実態調査報告書1.0版」（2018年7月）では、2012年頃に初めてランサムウェアが世界各地で出現するようになり、2015年以降は、海外で確認されたさまざまなランサムウェアが日本国内でもほぼ同時期に確認されるようになっていると報告されています。

PCがランサムウェアに感染した際に表示される脅迫文も日本語を含む多言語に対応しており、その脅威は世界中で拡散を続けています。組織がランサムウェア攻撃の標的となった場合、どのような被害を受ける可能性があるのでしょうか。具体的な被害例をもとに、ランサムウェアがもたらす脅威を紹介していきます。

事例1：グループ企業全体でシステム障害

国内の大手メーカーが、ランサムウェアによって広範囲にわたる被害を受けました。当該会社の子会社が管理していたネットワーク経由でランサムウェアが侵入したことにより、グループ企業が全面的なシステム障害に陥る事態に発展。さらには、バックアップデータもランサムウェアの被害に遭っていたことから、システムの復旧までに2か月以上の期間を要しました。

この事例の特徴は、グループ子会社が感染経路だったという点です。ランサムウェアに感染すると、事業に関わりのあるグループ企業や関連会社、さらには取引先にまで被害が及ぶ可能性があります。バックアップデータも例外ではなく、ネットワークに接続されているあらゆるデータが被害に遭いかねません。業務に必要なファイルが暗号化されれば、業務を正常に継続できなくなる恐れがあるため、常日頃から細心の注意が必要です。

事例2：個人情報や機密情報の漏洩

ある国内のメーカーでは、ランサムウェア攻撃を受けたことにより、数十万件の顧客情報や従業員情報が流出する被害に遭いました。この事例では、攻撃者は個人情報や機密情報を漏洩させると脅迫した上で、標的となった企業に対して身代金の支払いを要求しています。同社は身代金の要求には応じずデータの復旧を図ったものの、システムの復旧には約1か月を要しました。

この被害事例では、特定の企業をターゲットとして長期間にわたって侵入を試みる「標的型攻撃」と呼ばれる手口が用いられています。攻撃者は事前に同社のネットワークに侵入し、攻撃を仕掛ける準備を進めていたと考えられます。ランサムウェアの中には、感染してもすぐに異変が生じることなく組織内に感染が広がり続けていくタイプのものもあるため、知らないうちに大規模な被害につながりかねません。

事例3：金銭的な被害や脅迫

海外でも、大手メーカーがランサムウェア攻撃の被害に遭い、一部のシステムが機能不全に陥る被害が発生しました。この攻撃によって同社は業務を手動操作に切り替えざるを得ない事態が多発し、数か月間にわたって生産量が著しく低下。金額的には何十億円にものぼる被害を受けています。被害の規模としては、40か国に及ぶ拠点で、1万台以上のPC、サーバーがランサムウェアに感染しました。

ランサムウェア攻撃は身代金の要求だけでなく、データが暗号化され使用できない状態になることで、正常な業務の続行を著しく妨げる要因となることがあります。さらに身代金の要求に加えて、顧客情報や機密情報を漏洩させると脅迫する「二重の脅迫」が行われるケースも確認されています。企業規模の大小を問わず、こうした被害に遭う可能性は十分にあるのです。

事例4：一部のサーバーを発端にシステム全体がランサムウェアに感染

ある国内メーカーで、ランサムウェアの侵入を確認。当初はメールの送信・受信に不具合が発生していましたが、原因を調査したところ、ランサムウェアの感染によるシステム障害だったことが発覚しました。すぐに対応にあたったものの、全面復旧までに約1週間もの時間を要しました。

この事例においては、社内で運用していた複数のサーバーのうち、一部のサーバーでセキュリティパッチが自動適用されていなかったことがわかりました。最新のセキュリティパッチが適用済みのサーバーからはランサムウェアの感染は確認されず、未適用のサーバーのみ被害を受けていたのです。攻撃者はシステムの脆弱性に狙いを定めて侵入した可能性が高いと考えられます。

セキュリティパッチが配布された際には、すべての機器に対してすみやかに適用することが重要だとわかる事例です。

事例5：感染の初動対応を実施したもののサーバーがダウン

ある病院が、ランサムウェア「LockBit」による攻撃の被害を受けました。電子カルテシステムが使用できないことに気づいた職員がシステムベンダーに連絡したことにより、ウイルス感染が発覚。ランサムウェアの感染は基幹システムだけでなくバックアップデータにも及んでいたことから、復旧には時間を要すると同病院は判断し、新規患者の受け入れを一時停止せざるを得ませんでした。結果としてサーバー復旧までに2か月間、通常診療の再開までに約3か月間を要しています。

同病院は異常が検出された時点で、機器からすみやかにLANケーブルを引き抜く初動対応を実施したものの、すでにランサムウェアの被害はバックアップデータにも広がっていました。ランサムウェア攻撃の被害は、異常に気づいてから対処していては防ぎきれない可能性が高いということが顕著に表れた事例です。被害を防ぐには、ランサムウェアへの感染そのものを防ぐセキュリティ対策が不可欠といえます。

事例6：ランサムウェア攻撃によって医療機関が機能不全に

イギリスの国民保健サービスがランサムウェア攻撃の被害に遭い、主要システムが停止したことで、関連する多数の医療機関が機能不全の状態に陥りました。医療スタッフは患者のデータにアクセスできないだけではなく、電話回線も使用できなくなりました。数万件の受診予約がキャンセルされたことに加え、数百単位の診療所でコンピューターがロックされるなどの被害が発生しました。急病患者を別の病院に転院させる必要に迫られた病院もあり、社会に大きな混乱がもたらされました。

この事例の特徴は、国の保健サービスがランサムウェアの被害に遭ったことにより、国全体の医療機関に影響が及んだ点にあります。同保健サービスは、その後サイバーセキュリティ対策に日本円で約30億円もの投資をすると発表しました。ランサムウェア攻撃の被害が社会に大きな影響を与えることを再認識させられた事例といえます。

事例7：フィッシングメールを発端として大規模な被害がもたらされた

アメリカでは大手医療サービス企業がランサムウェア攻撃の被害を受けました。年間数百万人の患者を抱え、国外を含む約400もの外来センターを運営している同社のコンピューターや電話システムが利用できなくなり、手術を必要とする患者を近隣の病院に搬送せざるを得なくなるなど、多大な影響をもたらした事例です。

この事例では、フィッシングメールが発端となって同社のシステムがマルウェアに感染し、さらにこのマルウェアがランサムウェアを含むファイルのダウンロードを実行したと見られています。大規模な被害をもたらしたランサムウェアが侵入したきっかけは、たった1通のフィッシングメールにすぎなかったのです。ランサムウェアの被害を防ぐには、エンドポイントとなる1台1台の端末を適切に管理することが必要だとわかります。

ランサムウェア対策のカギを握るエンドポイントセキュリティは「SKYSEA Client View」で強化

国内外で被害が相次いでいるランサムウェア攻撃は、年を追うごとに手口が巧妙化しています。企業規模を問わずランサムウェアの被害に遭う可能性があることから、セキュリティ対策の強化はどの企業にとっても必須の課題といえるでしょう。ランサムウェア対策には、総合的な情報セキュリティ対策が欠かせません。感染前の対策を強化するには、エンドポイントセキュリティの向上に役立つソフトウェアの導入をお勧めします。

エンドポイントセキュリティの重要なポイントとしては、組織内のあらゆる機器を管理者が把握できる体制を整えることが挙げられます。管理者が把握できていない端末が1台でもあれば、それは組織にとっての脆弱性となり、ランサムウェア感染につながるリスクが高まるためです。

クライアント運用管理ソフトウェア「SKYSEA Client View」では、IPアドレスの範囲などを指定して、組織内のIT機器が危険な状態に置かれていないかを洗い出すことができます。PCだけでなく、VPN機器やWebカメラ、IoTデバイスといったあらゆる端末の管理が可能です。また、新たな端末がネットワークに接続された際にはアラートで通知するため、管理者が把握していないセキュリティの「穴」が生じることのないよう、対策を講じられます。

安全な情報セキュリティ対策を講じ、ランサムウェア攻撃の脅威に備えたい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。