ランサムウェアとは？ 攻撃手法や対策、被害発生時の対応を解説

ランサムウェアとは、悪質な不正プログラムの一種

ランサムウェアは「Ransom（身代金）」と「Software（ソフトウェア）」が組み合わされた造語で、不正プログラムの一種です。感染すると端末などに保存されているデータが暗号化され、使用できない状態になるだけでなく、データを元に戻すための対価（金銭や暗号資産）を要求されるといった手口が確認されています。

企業や組織がランサムウェアの被害に遭った場合、システムを正常に利用できなくなるため、業務の継続が困難な状態に陥りかねません。これらの攻撃は、元々は個人を対象としたものが多く見られましたが、2015年頃から企業・組織などを標的とした事案が目立つようになりました。

ランサムウェアが脅威だといわれている理由

ランサムウェアは、標的となった対象者が気づかないうちに、組織の内部ネットワークに侵入し、遠隔操作ツールを用いて企業ネットワーク内の端末操作を可能にします。企業や組織にとって、金品以上の価値を持つ資源であるデータが凍結されてしまうことは、大きな脅威といえます。

しかも、高額な金銭を要求されることに加え、犯人は身元不明であるケースがほとんどです。「身代金を支払わなければデータを暴露する」といった強迫の手口も確認されていることから、企業にとって重大な脅威となっています。なお、仮に要求どおり高額な身代金を支払ったとしても、データが元通りになるという保証はありません。

ランサムウェアの攻撃手法

ランサムウェアを用いる攻撃者の狙いは、暗号化と情報暴露の「二重の脅迫」によって被害組織を追い詰め、より多額の身代金を支払わせることです。また、ランサムウェアによる攻撃手法は、巧妙性・悪質性が年々高まっています。ここでは、従来のランサムウェアの攻撃手法と、近年見られるようになった新たな攻撃手法についてご紹介します。

従来のランサムウェアの攻撃手法

従来、ランサムウェアによる攻撃対象は、主に不特定多数のインターネットユーザーでした。不正プログラムが添付されたメールを送信したり、悪意のあるWebサイトに誘導したりすることでユーザーが保有するデータを不正に暗号化し、暗号化を解除するための対価を要求するといった手口が数多く確認されていました。 主な攻撃対象が個人ユーザーであったため、ランサムウェアに感染した機器の多くは個人が所有するPCであり、標的となっていたのは個人が管理するデータでした。

新たなランサムウェアの攻撃手法

近年増加しつつあるランサムウェアの攻撃対象は、企業・組織のネットワークです。ネットワーク内のデータを暗号化するだけでなく、機密データを窃取した上で外部に流出させると脅迫し、身代金を要求する手口が増えています。主な攻撃対象が企業・組織であることから、大規模なシステムが標的となってしまう点が大きな特徴といえます。被害に遭った企業は正常な業務運営が困難な状況に陥り、調査や復旧に多大な時間とコストを要するケースが少なくありません。

警視庁の調査によれば、ランサムウェアの被害に遭った企業のうち、復旧に1,000万円以上の費用を要したケースは全体の46％を占めていました※。個人ユーザーが主な攻撃対象だった頃と比べると、攻撃による影響や被害総額はいっそう大きくなっています。

※警視庁「令和4年におけるサイバー空間をめぐる脅威の情報等について」（2023年3月）

ランサムウェアの被害防止策

ランサムウェアの被害防止には、どのような対応が必要とされるのでしょうか。従業員が個々に行う対策と、企業・団体全体で行う対策に分けて解説します。

従業員が個々に行う対策

ランサムウェアの対策は、従業員一人ひとりがしっかりと行う必要があります。具体的に必要な対策は、下記のとおりです。

不審なメールやWebサイトを開かない

送信者や件名に不審な点が見られるメールや、そのようなメールの添付ファイル・URLなどを開かないようにすることが重要です。送信元のメールアドレスが偽装されているケースもあるため、送信者が取引先や既知のサービス名に見えたとしても何らかの不自然な点があれば、開かずに管理者へすぐに報告することを徹底しましょう。

管理者の許可を得ることなくソフトウェアをインストールしない

無料で使用できるソフトウェアに見せかけて、ランサムウェアに感染させる手口も見られます。ソフトウェアのインストールは従業員が個々の判断で行うのではなく、必ず管理者の許可を得た上でインストールすることが大切です。

パスワードを適切に設定・管理する

パスワードは推測されにくい数字・文字列で設定し、適切に管理することが大切です。自分の誕生日や電話番号は容易に推測されやすいため、パスワードに使用するのは避けるべきです。パスワードにはアルファベットの大文字・小文字のほか、数字や記号を織り交ぜて10文字以上で構成することをおすすめします。また、同じものを使い回さず、サービスごとに異なるパスワードを設定することがセキュアな運用につながります。

セキュリティ関連のリテラシー向上を図る

ランサムウェアによる攻撃手法は年々巧妙化しており、過去に見聞きした対処法では対応できなくなっているケースも見られます。セキュリティ関連の情報を常に積極的に収集するように心掛け、最新の対策や対処法を確認することをおすすめします。

企業・組織全体で行う対策

企業・組織が行うべきランサムウェア対策としては、具体的にどのようなものがあるのでしょうか。主な対策として、下記の8つが考えられます。

ウイルス対策ソフトウェアを導入する

まず欠かせない対策としては、ウイルス対策ソフトウェアを導入し、各拠点・事業所内で使用するすべての端末に対してセキュリティ強化を図ることです。ソフトウェアによっては、迷惑メール対策や有害サイト規制といった機能を備えているものもあります。不審なプログラムが外部から侵入した際や、危険なサイトへのアクセスが確認された場合に、管理者やユーザーに対して警告（アラート）を発出し、駆除まで実行してくれる製品もあるため、ランサムウェアへの感染リスクを低減させる対策として有効です。

OS等を最新の状態に保つ

攻撃者に脆弱性を突かれないためにも、端末のOSやソフトウェア、通信機器等のファームウェアは、常に最新の状態に保つ必要があります。OSなどのアップデートには、脆弱性やセキュリティリスクへの対応策が含まれている場合があります。常に万全の体制を整えるために、アップデートされずに使い続けている端末がないか、定期的にチェックすることが大切です。

認証機能を強化する

2段階認証やIPアドレス制限など、ユーザー認証機能を強化するのも有効な対策といえます。複数の認証機能を組み合わせて活用することで、端末のセキュリティレベルを向上させることができます。

ファイアウォール等の設定により不審な通信をブロックする

不正なアクセスからネットワークなどを防御するファイアウォールの設定や、IDS（不正侵入検知システム）・IPS（不正侵入防止システム）の導入により、不審な通信をブロックすることができます。メールに関してはドメイン認証機能を活用することで、外部から送られてくる不審なメールをブロックできます。

データの定期的なバックアップと適切な保存を行う

業務で使用するデータは定期的にバックアップし、万が一ランサムウェアの被害に遭っても、直近のデータを復旧できるよう日頃から備えておくことが大切です。なお、バックアップデータがネットワークに接続されていると、これらデータもランサムウェアによって暗号化されるリスクがあるため、ネットワークから切り離された外部記憶媒体などに保存しておく必要があります。

アクセス権などの権限を最小化する

従業員に割り当てるアクセス権などの権限を最小限にとどめておくことで、万が一ランサムウェアに感染したとしても被害が広がる範囲を抑えられます。各端末からアクセスできるネットワークについても、必要最小限の範囲に設定しておくと、被害の拡大を防ぐことができる可能性があります。

ネットワークを監視する

ネットワーク上の機器やサービスが正常に働いているかを確認できるPing監視（死活監視）やパフォーマンス監視、トラフィック監視、ログ監視といった手法により、ネットワーク上の不審な動きをできるだけ早く検知することで、ランサムウェアの被害拡大を抑止できる環境を整えることも大切です。

情報セキュリティ教育を行う

従業員に対して定期的に情報セキュリティ教育を行う場を設け、セキュリティに対する意識を高めることも重要です。実際にランサムウェアへの感染が確認された場合を想定して、訓練を行うのも有効な方法といえます。なお、セキュリティ対策は従業員任せにせず、事業者側がイニシアチブをとって情報提供や教育指導を実施していくことがポイントです。

ランサムウェアの被害に遭ったときの対応

万が一、ランサムウェアの被害に遭ってしまった場合は、どのように対応すれば良いのでしょうか。前述のとおり、攻撃者の要求に応じて身代金を支払ったとしても、データが元に戻る保証はありません。そのため、次の対応を着実に実行していくことが大切です。

感染した端末をネットワークから隔離する

ランサムウェアに感染した端末から社内のネットワークを通じてほかの端末にも被害が広がるのを防ぐため、まずは感染した端末をネットワークから隔離します。機器を有線LANでネットワークに接続している場合は、LANケーブルを引き抜き通信できない状態にします。無線LANを使用している場合は、端末の設定で無線LANへの接続を切断するか、Wi-Fiルーターの電源を切ってください。初動対応では「感染拡大をできるだけ抑える」ことが重要です。

感染した端末の電源を切らない

感染した端末をネットワークから隔離したら、端末の電源は入れたままにしておきます。これは、データの復元に必要な情報が端末内に残されている可能性があるためです。電源を切ってしまうと、必要な情報が失われる可能性もあるため注意が必要です。感染を確認した従業員が慌てて電源を切ってしまうことのないよう、日頃から適切な初動対応について周知徹底を図っておくことが大切です。

ランサムウェアの影響範囲を特定する

感染が確認された端末以外にも、ランサムウェアの被害を受けている可能性があります。ほかにデータが暗号化されている端末やサーバーがないか、ランサムウェアの影響範囲を特定するための調査を行います。同時に、暗号化によって使用不可の状態となっているデータの種類・範囲の確認も進めておく必要があります。このとき、管理者アカウントがランサムウェアに乗っ取られていないかは、特に注意深く確認しておくことをおすすめします。システムログを参照し、管理者が操作していない範囲で管理者権限が使用されていないかなど、不審な動きがないか点検しておくことが重要です。

都道府県警察のサイバー犯罪窓口などに相談・通報する

初動対応が完了したら、管轄する警察のサイバー犯罪窓口などに相談・通報をします。同時期に同じ業種・地域の組織が同様の被害に遭っていたり、今後標的となったりする可能性があります。すでに他の組織で同様の手口が確認されていれば、必要な対応について助言を得られる場合もあるでしょう。被害の拡大を防ぐためにも、警察にはすみやかに相談することをおすすめします。

なお、自社の業種によっては、警察のほか所轄省庁やIPA（独立行政法人情報処理推進機構）、JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）などへの報告が必要になるケースもあり、同様に事後対応について助言を得ることができるケースもあります。

ランサムウェアに対するエンドポイントセキュリティの重要性

サーバーやクラウドに接続されており、さまざまなデータにアクセス可能なクライアントPCは、ランサムウェア攻撃における格好の標的です。管理者が把握していないIT機器が1台でもあると脆弱性が放置された状態となり、感染につながるリスクとなり得ます。それら、エンドポイントのセキュリティを強化しておくことは、ランサムウェアへの対策に欠かせません。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織内のクライアントPCを漏れなく把握し、管理画面上で最新の状況を一覧で確認できる機能を備えています。また、管理しているソフトウェアに脆弱性がないかを随時チェックし、その深刻度を「緊急」や「注意」といった表示でわかりやすく通知できる機能も搭載しています。 さらに、ウイルス対策ソフトウェアなどのエンドポイントセキュリティ製品と連携し、不審な通信やウイルス感染などの異常を検知した際に自動的にイベントログを検出。該当するPCをネットワークから遮断して二次被害を防ぎます。組織内のPCの全数把握と、適切な脆弱性対策に取り組みたい場合には、ぜひSKYSEA Client Viewの導入をご検討ください。

組織を脅かすランサムウェアに対して、安全＆確実な情報セキュリティ対策を

重大な脅威となりうるランサムウェアは、あらゆる企業・組織が対策に取り組むべきリスクです。年々巧妙性・悪質性が高まっているランサムウェアの攻撃を防ぐためにも、安全で確実な対策を講じておくことが重要といえます。SKYSEA Client Viewは、ランサムウェアなど悪意のある攻撃に対し、多層防御による情報漏洩対策を実現できる仕組みをご用意しています。基本的なセキュリティ対策に加えて、次のような強化機能の活用も検討されることをおすすめします。

＜SKYSEA Client Viewのセキュリティ強化機能・例＞

• 効率的・包括的に保護管理を行うUTM（Unified Threat Management）と次世代ファイアウォール連携により、PCの不審な通信を検知
• ウイルスを検知したPCを遮断、すみやかな調査の実施を支援
• 社内の共有フォルダへのマルウェアのアクセスをアラート検知　など ※これら機能は「ITセキュリティ対策強化」機能としてご提供しています。

ランサムウェアの脅威に備え、自社の大切なデータを安全・確実な方法で守りたい事業者様は、ぜひSKYSEA Client Viewをご活用ください。