ランサムウェアとは? その脅威と今日からできる対策について解説
2022 年 8 月 10 日
企業の DX 化や新型ウイルスの影響によって急速にリモート ワークによる働き方が進む一方で、セキュリティがおろそかになった端末をねらった脅威が話題にのぼることも多くなっています。
中でもランサムウェアは端末感染を起因にシステムへの大規模な感染を引き起こす可能性があり、サービスの停止などのリスクにつながる悪質なソフトウェアの 1 つです。巧妙にしくまれているため、知らないうちに感染して甚大な被害につながるケースも見受けられます。
この記事ではランサムウェアの特徴や被害事例、感染対策と適切な処置について解説します。
- ランサムウェアの特徴と動作
1-1. ランサムウェアとは
1-2. ランサムウェアの歴史
- ランサムウェアの感染経路
2-1. メールや Web による感染
2-2. ファイルによる感染
- ランサムウェアの被害事例
3-1. 国内事例:WannaCry の大流行
3-2. 国内事例:ハッカー集団に攻撃を受けたゲーム会社
3-3. 国内事例:中小企業も対象となるランサムウェア攻撃
- ランサムウェアにどのように対策すべきか
4-1. 感染前の予防的対策とは
4-2. ランサムウェアに感染してしまったらどうするか
4-3. Microsoft 製品導入によるソリューション
- まとめ
1. ランサムウェアの特徴と動作
さて、「ランサムウェア」とは何でしょうか。ここではランサムウェアの概要や特徴、これまでにどのような種類のものが現れたのかを紹介します。
1-1. ランサムウェアとは
ランサムウェアとは、コンビューター システムの中に入り込んで悪事をはたらく「マルウェア」というソフトウェアの一種であり、身代金を意味する「ランサム (Ransom)」とソフトウェア (Software) の「ウェア」をつなげた造語です。
ランサムウェアは、コンピューターの中に入り込んでデータをロックしたり暗号化したりして利用やアクセスを不可能な状態にします。そのうえで、改ざんデータの保留やデータの破壊、公開などで脅迫し、身代金を要求する点が主な特徴です。
ランサムウェアにいったん感染するとデータを元に戻すことは難しく、身代金を支払ったとしても元に戻る保証はありません。
ランサムウェアの種類としては、主に画面ロック型と暗号化型の 2 種類あります。
【画面ロック型】
画面ロック型のランサムウェアは PC などの画面をロックし、一切の操作ができないようにしたうえで「この端末はロックされています。解除するには○○円を支払ってください」といったメッセージを表示して身代金を要求するものです。端末の中は改変されていないことが多く、データの救出も可能です。
なお、PC 向けの画面ロック型ランサムウェアは減少傾向にありますが、代わりにスマートフォン向けのランサムウェアが増えています。
【暗号化型】
暗号化型のランサムウェアはコンピューター上のファイルを暗号化し、ユーザーがアクセスできないようにしてしまうというものです。
現在はこのタイプが多く、身代金を払わないと暗号を元に戻すための鍵は提供しないと脅迫されますが、先述のように、身代金を払ったとしても元に戻る保証はありません。
つまり、いったん感染してしまうと、コンピューター システムに重大な損害を与えることになってしまうのです。
1-2. ランサムウェアの歴史
ランサムウェアの歴史は古く、1989 年の「AIDSTrojan」の出現が始まりと言われています。この当時はまだ現在のランサムウェアのようにインターネット経由で感染するものではなく、外部媒体などから感染し解除のために金銭を要求するというものでした。
また初期のころは画面ロック型が主流となっていましたが、2010 年代になるとインターネットも一般に浸透し、メールによって拡散される暗号化型のランサムウェアが増えてきました。
ランサムウェアの流れを大きく変えたのは 2013 年に出現した「CryptoLocker」です。画面ロックと暗号化の手法を合わせたハイブリッド型ランサムウェアであり、画面ロックを解いてもシステムが暗号化されていてファイルが開けなくなっており、身代金を払うことでしか解決の方法がないというものです。
その後、ランサムウェアは暗号化型が中心となり、さらに暗号化した後、情報を元に戻す復号が困難なケースが増えることになりました。
2017 年に世界中で被害が発生した「WannaCry」は日本国内の企業も感染し、オフィスや工場での業務や操業が一時停止するなど、多大な損害を被ることとなりました。
このようにランサムウェアは巧妙に形を変えて進化しており、残念ながら企業や個人にとっては依然として大きな脅威となっています。
2. ランサムウェアの感染経路
次に、ランサムウェアの感染経路について見ていきましょう。
主な感染経路としては、メールや Web に載せられたリンクによって悪質なサイトに誘導されるケースや、悪質なファイルを開くことで感染するケースがあります。
2-1. メールや Web による感染
典型的なケースとしては、メールや Web による感染があります。
【メールによる感染】
メールの場合、メールの添付ファイルやリンクにランサムウェアが仕込まれており、添付ファイルを開いたり、URL リンク先のサイトにアクセスしたりすることで感染します。
メールの添付ファイルや URL についてはさまざま注意喚起されているので、十分な対策ができていると思いがちですが、攻撃者は添付ファイルやリンクを起動させるために、巧みな細工を施しています。
「送別会の案内」などの一般的なお知らせや、通販サイトからの「不在通知」、金融機関からの「口座停止のお知らせ」など、つい開きたくなるような件名になっているケースがその例です。
本文はもちろん、差出人の宛名も偽装しているため、差出人のメール アドレスまで詳しくチェックしないとわからないようになっています。
また、SNS のリンクを感染経路に利用する「ImageGate」のようなランサムウェアもあります。SNS に悪意のあるコードを仕込んだ画像を掲載し、ユーザーに画像をダウンロードさせ、ランサムウェアに感染させるというものです。
【Web による感染】
Web サイト経由の感染の場合は、信頼できるサイトを装った偽装サイトに誘導されて、その閲覧で感染させるという手法があります。そのほかにも、オンライン広告のクリックから感染させたり、偽のダウンロード サイトに誘導してソフトウェアのダウンロードにより感染させたりと、手法も多様です。
偽装サイトは微妙にドメインのみを変更して本物そっくりに作っているものも多く、また信頼できるサイトであっても、改ざんによってランサムウェアに感染するケースがあるなど、その手口はますます巧妙になっています。
2-2. ファイルによる感染
ソフトウェアやファイルによるランサムウェアの感染経路は、大きく Web からのダウンロードと USB メモリなど記憶媒体からの2つがあります。
Web からのファイル ダウンロードで感染する場合については前述 2-1 のとおりです。多くの場合、ソフトウェア配布サイトや大手ダウンロード サイトを巧妙に偽装したサイトから感染しています。
一方、ネットワーク経由ではなくても、間違ってランサムウェアをダウンロードしてしまい、USB メモリなどの記憶媒体経由で広まってしまうこともあり得ます。
企業の場合、業務の遂行に多大な影響を及ぼすので、ドライバー ソフトのアップロードや、記憶媒体経由でのソフトウェアの配布の際には細心の注意が必要です。
3. ランサムウェアの被害事例
次に、2017 年に甚大な被害をもたらした「WannaCry」と、それ以降に発生したランサムウェアの被害事例を紹介します。
3-1. 国内事例:WannaCry の大流行
WannaCry は端末内のデータを暗号化し身代金を要求するランサムウェアです。2017 年ごろに世界中で流行し、国内でも 600 か所 2,000 端末が感染し、個人だけでなく大手企業も甚大な被害を受けました。
これほどまでに被害が広がった主な理由は、WannaCry が Web サイトやメールからのアクセスを必要としない点にあるといえます。WannaCry は外部から最新のアップデートが適用されていないシステムのセキュリティ脆弱性をねらって攻撃し、自己拡散することが可能です。
国内の大手企業においても、セキュリティが最新化されていなかった端末から攻撃されメールの送受信などに影響が出たり、インターネット閲覧用の PC が感染したりするなどの被害事例が見られました。
3-2. 国内事例:ハッカー集団に攻撃を受けたゲーム会社
2020 年 11 月に大手ゲーム会社で発生した事例では、ランサムウェア攻撃によりデータが盗まれ、身代金が要求されました。詳細については公表されていないものの、企業をねらった犯人集団によって標的化されたと推測されています。結果的には、会社情報や顧客の個人情報が流出するなどの事態にまで発展しました。
身代金を要求するだけではなく、要求に応じないと企業の重要情報を流出させるという二重の脅迫を受けるランサムウェアが使われた事例です。
3-3. 国内事例:中小企業も対象となるランサムウェア攻撃
ランサムウェアは大手の有名企業をねらった攻撃だと思われがちですが、実際には中小企業もターゲットになっています。
警視庁の調査によれば、2021 年のランサムウェアによる国内被害件数は 146 件で、そのうちの約 54% の 79 件が中小企業です。セキュリティ対策などに十分リソースを割けない中小企業が多数ねらわれていることを示しているといえるでしょう。
株式会社 NTT データが発表した「中小企業を襲うサイバー攻撃の最新手法と被害の実例」によれば、神奈川県の製造会社で経営者宛のメール添付ファイルを開いた結果、警告画面が PC に表示されて消えなくなり個人のデータが参照できなくなったという例が報告されています。
またその他にも、北海道の鮮魚店でデータ 15 年分が暗号化されて、身代金としてビットコイン 30 万円相当を要求されたという事例なども紹介されています。この事例では身代金をビットコインで支払ったものの、復元できたのは重要データの約 8 割でした。
このように、身代金を払ったとしてもデータが完全に復元できないケースは数多く報告されています。
4. ランサムウェアにどのように対策すべきか
では、企業はどのようにランサムウェアに対策していけばよいのでしょうか。
ここでは、感染しないようにする予防的な対策や感染後に被害を広げないための対策、Microsoft 製品導入による具体的なソリューションなどを紹介します。
4-1. 感染前の予防的対策とは
まず OS を最新バージョンに保ち、最新のセキュリティ対策ソフトを起動させておくことが必要です。WannaCry がセキュリティ アップデートをしていない端末をねらったように、アップデートを欠かさないことでランサムウェアの攻撃に備えることができます。
メールの添付ファイルやメールに記載されている URL については、信頼している相手からのものであっても不用意に開かないことが肝要です。多くの場合、差出人が巧妙に偽装されているので、緊急度が高く見えるものほど注意を怠ってはいけません。
また、怪しいサイトには近づかないことも必要です。特に有名な検索サイトや EC サイトなどを模倣したサイトからの被害が増えています。メールなどに記載されたリンクは URL を確認する、不自然に文字列が長いなど怪しいものについてはブラウザーで一度検索するなど、確認による感染予防を心掛けましょう。
これらの基本的な対策を講じることは、ランサムウェアの感染を予防するためには欠かせませんが、データのバックアップを定期的に取っておくことも不可欠です。データを暗号化されてもバックアップがあれば被害を最小限に抑えることができます。アクセスできなくなってからでは遅いので、日ごろから必ずバックアップしておきましょう。
4-2. ランサムウェアに感染してしまったらどうするか
万が一ランサムウェアに感染してしまった場合、どのように対応すればよいのでしょうか。
自己増殖するランサムウェアは、一度入り込んだら企業のネットワーク内で増殖してしまう恐れがあります。まずはネットワークから切断し、被害の拡大を防ぎましょう。
また、感染していない端末を使って Web 情報からランサム ソフトの種類を特定すると、有効な対策がわかることがあります。
世界的なランサムウェア対策 Web サイト「ランサムウェアはもういらない」の日本語版のページでは、ランサムウェアの情報が提供されているほか、種類によっては解除ツールが用意されていて復号できる場合があります。復号できず、バックアップが残っている場合は、バックアップからの復旧を行いましょう。
いずれにしても、感染した原因を特定し、セキュリティの脆弱性がないか、怪しいファイルやサイトにアクセスできる状況になっていないかなどを見極めたうえで、再発防止策に務めることが重要です。
4-3. Microsoft 製品導入によるソリューション
ランサムウェアからシステムを守るために、マイクロソフト社ではさまざまなソリューションを提供しています。
まず各端末 OS のレベルでは、Windows 10 または Windows 11 に装備されている「Microsoft Defender ウイルス対策」に、ランサムウェアやその他マルウェアから保護する機能が入っています。
Microsoft Defender ウイルス対策では [ファイアウォール] を [オン] にしてネットワーク経由の攻撃を防御することが可能です。またフォルダ アクセスの制御などを行うことで、ランサムウェアのファイル改ざんを防ぐといった機能も備わっています。
アプリケーション レベルでの対策としては、サブスクリプション製品「Microsoft 365」にもマルウェア侵入防止の機能があり、主に「Exchange Online Protection (EOP)」と「Microsoft Defender for Office 365」によって提供されています。
EOP はマルウェアやコンピューター ウイルスなど悪意のあるソフトウェアから保護します。メールをスキャンしてマルウェアに感染したメッセージがあった場合、削除またはカスタムのメッセージに置換することが可能です。
Microsoft Defender for Office 365 は、悪意のある URL をブロックする、攻撃されているユーザーをレポートし追跡するといった機能も備えています。
そのほか、エンドポイント デバイスを保護するという観点では、防御しきれず感染することを前提にマルウェアの自動検知/調査/修復機能を備えたソリューションとして、従業員数 300 人以下の企業向けに提供されている「Microsoft Defender for Business」があり、高度な専門知識がなくても管理や最適化が可能です。スタンドアロンでも、Microsoft 365 Business Premium の一部として提供されています。
ウィザード形式による簡単な設定で、企業のシステムの脅威および脆弱性管理や設定ミスの修正、攻撃対象領域の縮小、マルウェアやウイルスからの保護などのセキュリティ機能で、ランサムウェアを始めとした悪意のあるソフトウェアの攻撃を受けた場合に備えることができます。
またクラウド サービス「Microsoft Azure」では、ランサムウェアからの攻撃を避けられるようセキュリティ プラットフォームを強化しているほか、「Azure Backup」によって簡単にバックアップが可能で、もしものときもすばやく復旧できます。
5. まとめ
ランサムウェアの歴史は古く、現在も手を替え品を替えながらさまざまな被害をもたらしています。
企業においては、適切な OS のアップデートやセキュリティ対策ソフトで予防しておくことが重要です。また、社員 1 人 1 人がランサムウェアの最新情報からその手口を学ぶなど、日ごろから I T リテラシーを高めておきましょう。
リモートワーク・ハイブリッドワークに適した環境設置のために
リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。
- Microsoft 365・Excel: Microsoft 365 から、Excel の使い方など生産性を向上させるコラム
- Teams・Web 会議: Microsoft Teams を始め、Web 会議をワンランクアップさせるコラム
- リモートワーク・テレワーク: リモートワークやテレワークなど、新しい働き方のお役立ちコラム
必要なセキュリティ対策がすべて手に入るサービスは?
Win を守る Defender
Microsoft Defender for Business
ご購入検討の問い合わせ先
Web フォームで購入相談
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。