ランサムウェアの感染経路とは？ 対策法と併せて解説

ランサムウェアの感染経路

ランサムウェアの感染経路にはさまざまなパターンがあります。ランサムウェアの感染を防ぐために、警察庁の最新のランキングをもとにランサムウェアの感染経路について正しく理解しましょう。

1位　VPNやネットワーク接続からの侵入

攻撃者がネットワークの脆弱性を突いて侵入し、組織内のネットワークからランサムウェアの感染が広がるケースもあります。このような手口では、ユーザーがルールどおり機器や端末を扱っていたとしても、通信そのものが感染を拡大させてしまうことになります。最近では、古くから見られる無差別的な攻撃とは異なる、特定の組織に狙いを定めて長期にわたり侵入を試みる標的型攻撃が増えつつあります。

また、リモートワークを導入している企業では、VPN機器を利用しているケースも少なくありません。VPN機器はもともとオフィス以外の場所でもPCなどのIT機器を安全に利用するための仕組みです。しかし、VPN機器そのものに脆弱性があれば、ランサムウェアに感染する可能性は十分にあります。VPN機器が感染源となり、組織内に被害が広がることもあり得るのです。

2位 リモートデスクトップからの侵入

オフィス内のPCなどを社外から操作できるリモートデスクトップ機能が、ランサムウェア感染の原因となる場合もあります。リモートデスクトップの設定に不備があると、社外からオフィス内の端末にアクセスできること自体がセキュリティホールになりかねないためです。リモートデスクトップ機能を使用する場合には、セキュリティ対策や権限設定などに細心の注意を払う必要があります。

また、リモートデスクトップの操作を行う際に個人所有の端末を利用する場合は、特に注意が必要です。組織の管理下にない端末がランサムウェアに感染していた場合、セキュリティ対策が行き届かないリスクが高まります。許可された端末以外は業務に利用しないことや、端末には必ずセキュリティ対策を施すことなど、個人所有の端末を利用する際のルールを策定しておくことが重要です。

3位 不審なメールや添付ファイル

ランサムウェアを仕込んだファイルをメールに添付して送りつけ、そのファイルを開くことで感染させる手口があります。また、添付ファイルではなく、感染させるためのリンクをメール本文に記載する方法も、比較的古くから知られているランサムウェア攻撃の手口といえます。標的を明確に定めているというよりは、同じ内容のメールを大量にばらまく無差別攻撃のパターンが多いのが特徴です。

メールの内容としては、明らかにスパムメールと判別できる単純なものから、実在する企業名やサービス名を語る「なりすましメール」まで幅広く存在します。そのため、「不審なメールや身に覚えのない送信者から届いたメールは開かない」といった対策だけでは被害を防ぎきれないのが実情です。万が一、添付ファイルやリンクを開いてしまった場合、1台の端末がランサムウェアに感染するだけでなく、ネットワークに接続されている組織内の端末やサーバー、さらには取引先やグループ会社などにも被害が拡大する恐れがあります。ランサムウェアによる被害が大規模なものになりやすいのはこのためです。

悪意のあるWebサイトへの誘導

ランサムウェアに感染させるために、感染を目的として制作したWebサイトに誘導し、感染ファイルのダウンロードを促す手口があります。中には、アクセスするだけでプログラムファイルのダウンロードが自動的に開始される悪質なWebサイトもあるため、ブラウジングしているだけでもランサムウェアへの感染リスクが生じます。

Webブラウザの中には、リスクの高いWebサイトにアクセスしようとすると警告を表示したり、アクセスそのものを無効にしたりする機能を持つものもあります。しかし、そのような機能だけであらゆるランサムウェアの脅威に備えられるとは限りません。業務に直接関係のないWebサイトなどは閲覧しないという対策もありますが、無害なWebサイトを装っているケースもあるので、ユーザーの注意力だけで被害を完全に防ぐのは困難です。

悪意のあるソフトウェアやファイルのダウンロード

ランサムウェアが仕込まれたソフトウェアやファイルをダウンロードさせることで、感染させる手口があります。一見すると悪意のあるソフトウェアやファイルとは思えないケースも多く、ユーザーが気づかないうちにランサムウェアに感染しているので注意が必要です。例えば、下記のような手口があります。

あたかも有償ソフトウェアと同等の機能を無料で利用できるように紹介しているケースもあり、ユーザーの心理を巧みに利用している点が大きな特徴です。これらの中には、ランサムウェアに感染した直後は異変が起こらず、一定の時間が経ってから発動するものもあるため、感染源が特定しにくくなることも想定されます。

ソフトウェアのインストールと実行

PCやスマートフォンにインストールするソフトウェアに、ランサムウェアが仕込まれているケースもあります。Wi-Fiなどを通じて組織のネットワークにスマートフォンが接続されていれば、スマートフォンもランサムウェアの感染源になり得る点に注意が必要です。

悪意のあるソフトウェアには、Google Playのような公式マーケットサイトではなく通常のWebサイトで配布されているものも少なくありません。アプリケーションをダウンロードし始めると途中で停止できないケースもあるため、ユーザーが異変に気づいて操作を中止しようとしても被害を食い止められない可能性があります。さらには、公式マーケットサイトを装った偽サイトへユーザーを誘導するなど、悪質な手口も見られるので注意が必要です。「公式マーケットサイトのソフトウェアであれば安全だろう」というユーザーの心理を逆手に取った手口といえます。

記録メディアを介した感染

USBメモリやSDカードといった記録メディアにランサムウェアを仕込み、接続された端末を感染させる方法も手口のひとつです。PCの設定によっては、記録メディアを接続すると同時に内容を表示する「オートラン」の機能が作動する場合があります。この機能が悪用されている場合、記録メディアをPCに接続しただけでランサムウェアに感染する可能性があるのです。

攻撃者の中には、組織内部の人間や取引先の担当者などと接触を試み、物理的に記録メディアを組織内に持ち込むよう仕向ける者もいます。ユーザーは勤務先の記録メディアであれば、あまり警戒心を抱くことなくPCなどに接続してしまいがちです。また、従業員が持ち込んだ私物の記録メディアがランサムウェアに感染していることも想定されます。記録メディアを介してランサムウェアに感染するケースがあることを社内で周知するとともに、組織で管理している記録メディア以外は使用しないようにルールを徹底することが必要です。

ランサムウェアの予防対策

ランサムウェアへの感染を未然に防ぐには、どのような対策が必要なのでしょうか。ここでは、事前に講じておくべき3つの基本的な対策について解説します。

OSやソフトウェアを常に最新の状態に保つ

業務で使用するOSやソフトウェアは、常に最新バージョンにアップデートしておくことが重要です。OSやソフトウェアのアップデートは、旧バージョンで発見された脆弱性を解消することが目的の場合があるためです。また、ランサムウェアをはじめとするマルウェアへの感染報告を受け、ベンダーがプログラムの修正を実施するケースもあります。古いバージョンのOSやソフトウェアを使い続けること自体がセキュリティリスクとなるため、注意が必要です。

なお、社内のPCやIT機器を最新の状態に保つには、アップデートを従業員任せにしないことも大切です。そのためには、情報システム管理者が社内の端末を一元管理し、アップデートの適用漏れがないか確認するための仕組みを整備しておく必要があります。社内のすべての端末を管理下に置き、必要に応じて一斉にアップデートできる仕組みが欠かせません。

セキュリティソフトウェアを導入する

従業員が使用する端末にセキュリティソフトウェアを導入し、ランサムウェアをはじめとするマルウェアの感染を防ぐことも大切です。セキュリティソフトウェアによっては、マルウェアの感染を検知するだけでなく、感染時にPCを自動的にネットワークから遮断したり、安全性が確認できるまで通信を停止したりする機能を備えたものもあります。

また、セキュリティソフトウェアに関しても、定義ファイルを最新の状態に保つことがランサムウェア対策に役立ちます。ランサムウェア攻撃には次々と新たな手口が出てきており、不審なデータや通信を見分けるための新たなプログラムが頻繁に追加されているからです。定義ファイルが最新の状態でない場合、比較的新しいランサムウェアの手口に対処できない恐れがあります。OSやソフトウェアと同様、セキュリティソフトウェアも常に最新の状態に保つことが重要です。

メールやSNSの添付ファイルを開かない

業務でやりとりのない送信者から届いたメールに添付されているファイルや、SNSなどで出回っているファイルは安易に開かないようにします。ファイルの中身を確認するために開いた途端、ランサムウェアに感染する可能性があるためです。業務上の意図や目的が明らかなファイルを除き、基本的には「必要のないファイルは開かない」「出所のわからないファイルは送信者に確認を取る」といったことを徹底する必要があります。

ランサムウェアへの感染は、ユーザーの不注意な行動が原因になるケースが多く見られます。従業員に直接送信できるメールは、攻撃者にとって格好の侵入経路であることを念頭に置き、添付ファイルを安易に開かないよう周知徹底することが大切です。

組織を脅かすランサムウェアに対して、適切な情報セキュリティ対策で感染を防ぐ

ランサムウェアの感染経路は多岐にわたっており、攻撃者の手口も巧妙化の一途をたどっています。そこで、感染の予防対策をするだけでなく、万が一感染してしまった場合の対応策も欠かせません。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織内のPCの挙動を毎日ログとして記録できるツールです。アプリケーションログ、ファイルアクセスログといったログを種別ごとにカテゴリ分けして管理できるため、ランサムウェアの感染経路の早期特定に役立ちます。さらに、不審なデータ通信がないかを確認できる「想定外TCP通信ログ」機能なども備えているため、組織内のPCと外部との通信状況を把握し、マルウェア感染による海外サーバーへの不正なデータ送信などをいち早く察知することができます。

ランサムウェア攻撃への対策を強化したい事業者様には、ぜひ「SKYSEA Client View」の導入をお勧めします。