ランサムウェアとは？犯罪の手口の傾向や特徴、対策の重要性について解説

ランサムウェアとは

ランサムウェアは「Ransom（身代金）」と「Software（ソフトウェア）」が組み合わされた造語で、身代金（金銭や暗号資産）を要求することを目的としたマルウェアです。感染すると端末などに保存されているデータが暗号化され、使用できない状態になるだけでなく、データを元に戻すための対価を要求されるといった手口が確認されています。

企業や組織がランサムウェアの被害に遭った場合、システムを正常に利用できなくなるため、業務の継続が困難な状態に陥りかねません。これらの攻撃は、元々は個人を対象としたものが多く見られましたが、2015年頃から企業・組織などを標的とした事案が目立つようになりました。

ランサムウェアによる犯罪の手口の傾向や特徴

ランサムウェアによる攻撃は、「ノーウェアランサム攻撃」と「ダブルエクストーション」の2種類に大きく分けられます。ノーウェアランサム攻撃とは、データを暗号化してユーザーが利用できない状態にした上で、復号の対価として金銭を要求する手口のこと。一方のダブルエクストーションは、データの復号に加え、不正に窃取したデータを暴露すると脅迫して金銭を要求する「二重の脅迫」が行われます。

しかし、攻撃者の要求を受け入れたからといって、データが元通りに復旧する保証はありません。また、データの暴露を阻止できる確証も得られないことから、攻撃者からの要求は受け入れず無視するのが得策といえます。一度要求を受け入れてしまうと、脅迫すれば金銭を支払う組織と見なされ、より多くの金銭を要求される恐れもあります。ここでは、このようなランサムウェアの犯罪の特徴や傾向について解説します。

ランサムウェアを使った犯罪の傾向

ランサムウェアはマルウェアの一種で、その被害件数は年々増加しています。2022年、警察庁に報告されたランサムウェアによる被害件数は230件で、その数は前年比57.5％も増加しています^※。 ランサムウェアは被害者のコンピューターに知らぬ間にインストールされ、コンピューター内のデータを暗号化して利用できない状態にします。そして、データの復元と引き換えに身代金を被害者に要求するのが、ランサムウェアの犯罪によく見られる傾向です。

※警察庁　「令和４年におけるサイバー空間をめぐる脅威の情勢等について」（2023年5月）

独立行政法人情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威 2023」（2023年1月）では、組織における脅威の1位は「ランサムウェアによる被害」となっています。また、警察庁が公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」（2023年9月）によれば、2023年上半期だけでもランサムウェアによる被害は103件に達しており、被害が相次いでいるのが実情です。

ランサムウェアによる犯罪の特徴

ランサムウェアによる攻撃が増加している背景には、身代金を支払ってしまう被害者がいることも挙げられます。ランサムウェアによる犯罪が、ビジネスとして成立してしまっているのです。

その一例が「RaaS（Ransomware as a Service）」と呼ばれるものです。ランサムウェアの開発者が、攻撃を実行するために必要なものをまとめて提供するサービスを闇市場で販売し、脅迫をたくらむ犯罪者がそのサービスを利用したり、成果報酬として身代金の利益を分配したりしています。RaaSを利用することで、犯罪者は専門知識をほとんど持っていなくても、簡単にランサムウェア攻撃を開始することができます。

さらに近年では、暗号化されたデータの復元に身代金を要求するだけでなく、「ランサムウェアによって盗み出した機密データを公開する」と強迫する行為も見られるようになりました。暗号化と強迫という「二重恐喝」が、近年のランサムウェアによる犯罪の特徴といえます。

ランサムウェアに感染したらどうなる？

マルウェアの一種であるランサムウェアに感染すると、データが暗号化されて解読不能な状態になったり、窃取されたデータを暴露するといった脅迫文がPCのデスクトップに表示されたりします。攻撃者はデータの暗号化の解除や、情報暴露を停止する代わりに、企業に対して身代金を要求するという手口が一般的です。

こうした特徴から、ランサムウェアは「身代金要求型不正プログラム」「身代金要求型ウイルス」などと呼ばれます。まずは、ランサムウェアの潜伏期間と、感染したら起きることについて見ていきましょう。

ランサムウェアの感染経路

攻撃者の狙いは、ランサムウェア感染による暗号化と情報暴露の「二重の脅迫」によって被害組織を追い詰め、より多額の身代金を支払わせることです。また、ランサムウェアに感染させる手口は、巧妙性・悪質性が年々高まっています。ここでは、従来のランサムウェアの感染経路と、近年見られるようになった新たな感染経路についてご紹介します。

従来のランサムウェアの感染経路

従来、ランサムウェアによる攻撃対象は、主に不特定多数のインターネットユーザーでした。主な感染経路は、不正プログラムが添付されたメールや、悪意のあるWebサイトを用いて感染させ、ユーザーが保有するデータを不正に暗号化し、暗号化を解除（復号）する手段と引き換えに対価を要求するといった手口が数多く確認されていました。

主な攻撃対象が個人ユーザーであったため、ランサムウェアに感染した機器の多くは個人が所有するPCであり、標的となっていたのは個人が管理するデータでした。

新たなランサムウェアの感染経路

近年増加しつつあるランサムウェアの攻撃対象は、企業・組織のネットワークです。ランサムウェアに感染させてネットワーク内のデータを暗号化するだけでなく、機密データを窃取した上で外部に流出させると脅迫して身代金を要求します。

主な攻撃対象が企業・組織であることから、不特定多数を対象としたものと比べて手の込んだ攻撃が多く、あらゆる手段で感染を試みます。前述のメールやWebサイト以外にもOSやアプリケーションの脆弱性を利用したり、認証情報を不正入手したりしてネットワーク内に侵入、ランサムウェアを直接展開することで多くのPCを感染させるという手口が増えています。

その結果、大規模なシステムが標的となってしまう点が大きな特徴といえます。感染による被害に遭った企業は正常な業務運営が困難な状況に陥り、調査や復旧に多大な時間とコストを要するケースが少なくありません。

警視庁の調査によれば、ランサムウェアの被害に遭った企業のうち、復旧に1,000万円以上の費用を要したケースは全体の46％を占めていました。個人ユーザーが主な攻撃対象だった頃と比べると、攻撃による影響や被害総額はいっそう大きくなっています。

ランサムウェアの潜伏期間

ランサムウェアは感染した直後から攻撃を開始するわけではありません。多くの場合、15日程度の潜伏期間を経てネットワークや端末に対する攻撃を始めます。潜伏期間中は、ネットワークを通じてランサムウェアが拡散され、組織内に浸透していきます。感染が拡大してから攻撃を開始するため、ランサムウェアの被害は広範囲に及びやすい傾向があります。

ランサムウェアによって起こる端末の異常

ランサムウェアに感染すると、従業員が使用しているPCなどの端末に次のような異常が見られるようになります。

• 保存データが勝手に暗号化される
• パスワードが勝手に変更される
• データにアクセスした際に警告文が表示され、身代金を要求される
• 画面がロックされ、操作できなくなる

これらの症状が確認された場合、すでに端末は攻撃を受けており、ランサムウェアに感染してしまっている可能性が高いと考えられます。ランサムウェアへの感染が疑われるときには、間違った対応を行わないよう慎重に対処することが重要です。

ランサムウェアの被害に遭ったときの対応

万が一、ランサムウェアの被害に遭ってしまった場合は、どのように対応すれば良いのでしょうか。前述のとおり、攻撃者の要求に応じて身代金を支払ったとしても、データが元に戻る保証はありません。そのため、次の対応を着実に実行していくことが大切です。

• 感染した端末をネットワークから隔離する
• 感染した端末の電源を切らない
• ランサムウェアの影響範囲を特定する
• 都道府県警察のサイバー犯罪窓口などに相談・通報する

ランサムウェアに感染したら、絶対に避けるべき初動対応

万が一、ランサムウェアに感染した場合、絶対に避けるべき初動対応がいくつかあります。被害の拡大を防ぐためにも、次に挙げる3点については社内で周知徹底することをお勧めします。

感染した端末をすぐに再起動すること

ランサムウェアに感染した端末をシャットダウンしたり再起動したりすると、停止していたデータの暗号化が再開してしまう恐れがあります。そうなった場合は端末内で無事だったファイルまで閲覧できなくなる可能性があるため、端末に異常な挙動が見られるからといって即時に再起動しないことが大切です。

感染後にデータのバックアップを取得すること

ランサムウェアに感染した端末のデータをバックアップすると、バックアップからデータを復旧した際に再び感染してしまうリスクが高まります。また、バックアップに使用するサーバーそのものがランサムウェアに感染してしまえば、組織内で一気に感染が広まる原因にもなりかねません。ランサムウェア感染が疑われる場合には、バックアップデータの取得は行わないように徹底する必要があります。

プロや警察に相談せず、攻撃者に身代金を支払うこと

攻撃者からのメッセージをうのみにしないことも、重要なポイントです。もし攻撃者から要求されるままに身代金を支払ったとしても、データが元通りに復旧される保証はありません。セキュリティの専門家や警察への相談を経てから、適切な対応策を見極め、実施することが大切です。

ランサムウェアの被害防止策

ランサムウェアによる攻撃は、業種や事業規模を問わずどの企業も標的になり得ます。ランサムウェアによる被害を防ぐためには、どのような点に注意しておく必要があるのか、意識しておきたいポイントや講じておくべき対策について解説します。

不審なリンクをクリックするのは避ける

ランサムウェアへの感染は、メールやWebサイトが発端となるケースが少なくありません。スパムメールに記載されているURLや、信頼性が確認できないWebサイトに掲載されているリンクを、安易にクリックしないことが重要です。攻撃者が仕掛けた悪意のあるリンクの中には、クリックと同時に不正なプログラムファイルのダウンロードが始まり、ランサムウェアに感染させるタイプも含まれています。この場合、感染した端末からネットワークを通じて社内のほかの機器や、取引先など社外の端末へとランサムウェアが拡散されていく可能性もあるため、不審なリンクはクリックしない方がリスクを回避できます。

信頼できない送信元から届いたメールの添付ファイルは開かない

ランサムウェアの感染経路には、メールに添付されたファイルも含まれています。普段メールでのやりとりがない送信者から届いたメールなど、信頼できないメールの添付ファイルは基本的に開かないようにすることが大切です。特に、マクロの有効化を求める添付ファイルには注意が必要です。悪意のあるプログラムを実行するために、マクロの有効化を求めるケースも見られるためです。添付ファイルの中身が不明の場合は、送付した意図を送信者に確認するなど、業務上必要なファイルかどうかを見極めた上で開くべきか判断します。

信頼性を確認できないWebサイトではファイルをダウンロードしない

信頼性が確認できていないWebサイトから、ファイルをダウンロードするのは避けるべきです。WebサイトがSSL/TLSサーバー証明書によって保護されている場合は、URLが「https:」から始まっているはずです。この場合、Webブラウザによってはアドレスバーに南京錠や盾のアイコンが表示され、安全性の高いWebサイトであることを確認できます。反対に、信頼性の低いサイトや危険だと判断されたWebサイトには、「Not Secure」などとアドレスバーに表示されるので注意が必要です。

個人情報の安易な提供は避ける

名前や勤務先の企業名といった個人情報を尋ねられた場合には、安易に答えないようにしましょう。メールやSMSはもちろんのこと、不意にかかってきた電話などで個人情報を確認された場合は、警戒する必要があります。攻撃者はこうした手口で個人情報を取得し、不正なメールをあたかも問題のないメールであるかのように見せかけるために悪用するケースがあるからです。個人情報の提供を求められた場合には、問い合わせ元がどのような企業であるか、個人情報を取得する目的が明示されているかといった点を十分に確認しておく必要があります。

ウイルススキャン機能やフィルタリング機能を活用する

メールサービスによっては、ウイルススキャンやフィルタリングといったセキュリティ機能が搭載されています。こうした機能を活用することにより、ランサムウェアなどのマルウェアに感染する恐れのあるリンクや添付ファイルを含むメールを検知できる可能性があります。これらを検知して不審なメールをブロックしたり、迷惑メールボックスに自動で振り分けたりすることで、ランサムウェアに感染する恐れのあるリンクや添付ファイルを開いてしまうリスクを抑えられます。

出所が不明のUSBメモリは使用しない

所有者や入手経路が明確ではないUSBメモリやSDカードなどの記憶媒体は、出所が判明しない限りPCに挿さない方がリスクを回避できます。いつどのようなデータが書き込まれているかわからないため、場合によってはランサムウェアが仕込まれたファイルが保存されている可能性もあるからです。記憶媒体は社内のセキュリティガイドラインにのっとって利用し、安易に端末に挿さないようにする必要があります。

OSやソフトウェアは常に最新バージョンに保つ

OSやソフトウェアが最新バージョンにアップデート可能になった際には、できる限り速やかにアップデートを行います。新たなバージョンでは、旧バージョンで見つかった脆弱性が解決されていたり、最新のマルウェアの手口に対処できるプログラムに修正されていたりする場合があるためです。OSやソフトウェアの脆弱性は攻撃者の標的となりやすいことから、古いバージョンのまま使い続けないように注意してください。

公衆Wi-Fiに接続する際にはVPNを使用する

不特定多数の人が使用する公衆Wi-Fiは、セキュリティ対策が十分に施されているとは言いがたいケースがあります。業務で使用するPCやスマートフォンは、基本的に公衆Wi-Fiに接続しないほうが無難です。やむをえず公衆Wi-Fiに接続する必要がある場合には、VPN接続で通信を暗号化した状態で使用することをお勧めします。

総合セキュリティ対策ソフトウェアの導入

ランサムウェアの感染源は、従業員が日常業務で使用するPCなど、エンドポイントと呼ばれる端末がほとんどです。そのため、各端末に総合セキュリティ対策ソフトウェアをインストールすることは、ランサムウェアの有効な対策となります。これら総合セキュリティソフトウェアがランサムウェアなどのマルウェアを検知した場合には、アラート発出やダウンロードの自動停止、通信のブロックといった対策を自動で講じてくれます。サイバー攻撃は次々と新たな手口が現れるため、あらゆるマルウェアを完全に遮断できるとは限らないものの、リスクを低減させる意味では効果のある対策です。

セキュリティ対策製品を適時アップデートする

セキュリティ対策ソフトウェアなど、セキュリティ関連の製品は常に最新の状態に保つことが欠かせません。新たなサイバー攻撃の手口が発覚すると、ベンダーは対策を講じたセキュリティ更新プログラムを配布することがあります。ランサムウェアに関しても対策が強化されている可能性があることから、アップデートの通知が届いた際は速やかにアップデートを実行することが大切です。

データのバックアップを保存しておく

ランサムウェアの目的は、「データを暗号化」して「身代金」を要求することです。ですから、データのバックアップが保存されていれば、仮に暗号化されたデータが復元できなかったとしてもバックアップデータを利用して復旧できます。ただし、バックアップに使用するハードディスクなどの記憶媒体は、バックアップが完了するごとにネットワークから切り離しておく必要があります。ネットワークに接続された状態のままだと、バックアップデータも含めてランサムウェアに感染しかねません。ネットワークから切り離された状態のバックアップデータを用意しておくことが大切です。

ランサムウェアに対するエンドポイントセキュリティの重要性

サーバーやクラウドに接続されており、さまざまなデータにアクセス可能なクライアントPCは、ランサムウェア攻撃における格好の標的です。管理者が把握していないIT機器が1台でもあると脆弱性が放置された状態となり、感染につながるリスクとなり得ます。それら、エンドポイントのセキュリティを強化しておくことは、ランサムウェアへの対策に欠かせません。

ランサムウェア対策なら「SKYSEA Client View」にお任せ

クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織内のクライアントPCを漏れなく把握し、管理画面上で最新の状況を一覧で確認できる機能を備えています。また、管理しているソフトウェアに脆弱性がないかを随時チェックし、その深刻度を「緊急」や「注意」といった表示でわかりやすく通知できる機能も搭載しています。 さらに、ウイルス対策ソフトウェアなどのエンドポイントセキュリティ製品と連携し、不審な通信やウイルス感染などの異常を検知した際に自動的にイベントログを検出。該当するPCをネットワークから遮断して二次被害を防ぎます。組織内のPCの全数把握と、適切な脆弱性対策に取り組みたい場合には、ぜひSKYSEA Client Viewの導入をご検討ください。

ランサムウェア対策に関する他機関の参考リンク

組織を脅かすランサムウェアに対して、安全＆確実な情報セキュリティ対策を

重大な脅威となりうるランサムウェアは、あらゆる企業・組織が対策に取り組むべきリスクです。年々巧妙性・悪質性が高まっているランサムウェアの攻撃を防ぐためにも、安全で確実な対策を講じておくことが重要といえます。SKYSEA Client Viewは、ランサムウェアなど悪意のある攻撃に対し、多層防御による情報漏洩対策を実現できる仕組みをご用意しています。基本的なセキュリティ対策に加えて、次のような強化機能の活用も検討されることをおすすめします。

＜SKYSEA Client Viewのセキュリティ強化機能・例＞

• 効率的・包括的に保護管理を行うUTM（Unified Threat Management）と次世代ファイアウォール連携により、PCの不審な通信を検知
• ウイルスを検知したPCを遮断、すみやかな調査の実施を支援
• 社内の共有フォルダへのマルウェアのアクセスをアラート検知　など ※これら機能は「ITセキュリティ対策強化」機能としてご提供しています。

ランサムウェアの脅威に備え、自社の大切なデータを安全・確実な方法で守りたい事業者様は、ぜひSKYSEA Client Viewをご活用ください。