ランサムウェアに対する企業への攻撃が年々深刻化しており、現在企業に対するサイバー攻撃としても最も多い攻撃方法として挙げられています。感染によってデータが改ざんされ、復元と引き換えに身代金を要求されることが特徴です。
本記事では、ランサムウェアの特徴や対策方法を紹介しています。また、実際に攻撃を受けた場合の適切な対処法も紹介しているため、企業の情報を守るためにも参考にしてみてください。
ランサムウェアとは
まず、ランサムウェアの概要と目的について解説します。また、ランサムウェアによって実際に起きた被害事例も合わせて紹介するため参考にしてみてください。
ランサムウェアについて
ランサムウェアは、「身代金」を意味する英語「ランサム(Ransom)」と「ソフトウェア(Software)」を組み合わせた言葉です。ランサムウェアは、感染したコンピュータ内のファイルを暗号化し、使用不能にした上で、その解除と引き換えに身代金を要求します。
暗号化されたファイルを解読して元に戻すことは、現代の暗号技術を使用している場合、技術的に極めて困難です。さらに深刻な問題として、攻撃者に身代金を支払ったとしても、確実にファイルが復元される保証はありません。
そのため、ランサムウェアへの対策として最も重要なのは、感染を未然に防ぐことです。予防するためには、信頼できるウイルス対策ソフトを導入し、常に最新の状態に保たなければなりません。
また、OSやアプリケーションの脆弱性を解消するため、修正プログラムやセキュリティパッチを迅速に適用することも重要です。
ランサムウェアの目的
ランサムウェアの主な目的は、被害者から金銭を不正に搾取することです。攻撃者は、メールの添付ファイルや不正なウェブサイトのリンクなどを通じて、標的となるPCやネットワークにランサムウェアを侵入させます。リモートワークで利用されるVPNの脆弱性をついて社内のPCやファイルサーバー、NASに侵入させることもあります。OSやリモートデスクトップソフトウェアの脆弱性をついてPCに侵入させることもあります。
ランサムウェア攻撃の7割がVPN機器の脆弱性をついたものという報告もあります。
侵入に成功すると、ランサムウェアは組織内の重要なデータを窃取した上で、ファイルを暗号化したりシステムをロックしたりして、業務の継続を不可能にします。その後、攻撃者は組織に対して脅迫文を送り、データの復旧と引き換えに身代金を要求してくることが主な手段です。
近年の手口として、攻撃者はデータを事前に窃取しておくことで、より強力な脅迫を可能にしています。具体的には、身代金を支払わなければデータを破壊するとする脅しに加えて、「機密データを公開する」という二重の脅迫を行うことが可能です。企業はデータの喪失と漏洩の二重のリスクに直面します。
ランサムウェアの被害事例
2021年10月、徳島県の病院がランサムウェアによるサイバー攻撃の被害に遭いました。この攻撃により、電子カルテシステムが使用不能となり、患者情報の閲覧ができなくなったほか、診療報酬の請求業務も停止を余儀なくされています。その後、攻撃を行った犯罪集団から身代金の要求を受ける事態に発展しました。
また、国内の製粉大手企業でも深刻なランサムウェア被害が発生しています。同時多発的な攻撃によって、複数のサーバーや端末のデータが一斉に暗号化されました。被害は財務管理システムや販売管理などの基幹システムにまで及び、さらにグループ企業全体で共有して運用しているネットワークシステムまでもが影響を受けています。
これらの被害事例は、ランサムウェア攻撃が医療機関や製造業など社会インフラを担う重要な組織をも標的としており、被害が業務の停止や顧客サービスの中断など、深刻な影響をもたらす可能性があることを示しています。
ランサムウェア対策方法について
ランサムウェア対策方法として、次の内容を紹介します。
- データをバックアップする
- セキュリティソフトを導入する
- 不審なリンクはクリックしない
- 不明なメール添付ファイルを開かない
- 不明なサイトからファイルをダウンロードしない
データをバックアップする
データのバックアップは、ランサムウェア対策として特に効果的な方法の1つです。ランサムウェアによって重要なファイルやシステムが暗号化されてしまった場合でも、適切にバックアップを取っておけば、バックアップを用いてデータを復元できます。
ただし、バックアップデータもランサムウェアの標的になり得るため、注意が必要です。もしバックアップが通常のネットワークに接続されたままであれば、本来のデータと同様に暗号化されてしまう危険性があります。
そのため、バックアップデータは、普段使用しているサーバーや端末から直接アクセスできない環境に保存しておくことが必要です。適切に隔離された環境でバックアップを保管することで、ランサムウェアの被害から確実にデータを保護できます。
セキュリティソフトを導入する
セキュリティ対策の基本として、信頼できるウイルス対策ソフトの導入が重要です。ウイルス対策ソフトは、コンピュータに侵入を試みるマルウェアを検知し、自動的に駆除したり、実行を未然に防いだりする機能をそなえています。ランサムウェアによる攻撃の場合も、多くは事前に検知して防御することが可能です。
さらに効果的な対策として、EDRの導入が推奨されます。EDRは、サーバーやパソコンなどのエンドポイントで発生する通信を常時監視し、不審な動作や異常な挙動を検知した場合、即座にシステム管理者への通知が可能です。
管理者は、EDRが収集した詳細なログデータを分析することで、攻撃の種類や侵入経路を特定し、適切な対処方法を素早く判断できます。
不審なリンクはクリックしない
メールやウェブサイトに含まれる不審なリンクは、ランサムウェア感染の主要な経路の1つです。特に、スパムメールに記載されたリンクや、出所の怪しいウェブサイトに含まれるリンクは、絶対にクリックしてはいけません。
不審なリンクをクリックすると、ユーザーが気付かないうちに危険なプログラムのダウンロードが開始される可能性があります。結果、ランサムウェアを含むさまざまな種類のマルウェアに感染することになりかねません。
不審なリンクは、サイバー犯罪者が悪意のあるソフトウェアを拡散する際に、最も頻繁に使用する手口の1つです。魅力的な見出しや緊急性を煽る文言を使用して、ユーザーのクリックを誘導しようとします。そのため、不審なリンクには、細心の注意を払わなければなりません。
不明なメール添付ファイルを開かない
メールを通じたランサムウェア攻撃では、攻撃者が巧妙な手口を用いて、正規の業務メールを装った不正なメールを送信してきます。たとえば、取引先や同僚、上司などの信頼できる送信者になりすまして業務連絡や請求書の確認依頼など、一見すると正当な用件を装ったメールを送ってくることもあるでしょう。
ソーシャルエンジニアリング攻撃といってネット上で仲良くなって交流を続けるうちにマルウェアの含まれたファイルを送ってくるということもあります。
偽装メールには、添付ファイルやリンクにランサムウェアが仕込まれており、メールを開いたりクリックしたりすることで、気付かないうちに感染してしまう危険性があります。特に、請求書や見積書など、業務でよく使用されるファイル名を使って、受信者の警戒心を解くよう仕組まれていることが特徴です。
そのため、たとえ正規のメールのように見えても、予期せぬメールや普段とは異なる形式のメールを受信した場合は、安易に添付ファイルを開いたりリンクをクリックしたりしてはいけません。
不明なサイトからファイルをダウンロードしない
インターネット上の不審なサイトからのファイルダウンロードにも注意しなければなりません。特に、よく知らないWebサイトで提供されているソフトウェアファイルやメディアファイルには、マルウェアが仕込まれている可能性があるため、むやみにダウンロードすることは避けましょう。
安全なサイトかどうかを判断する際は、ブラウザーのアドレスバーに表示される情報が1つの判断材料です。HTTPSによる暗号化通信を示す盾や鍵のマークが表示されているかを確認しましょう。また、アドレスバーに表示されるURLが正規のものと一致しているかも、慎重に確認する必要があります。
同様の注意は、スマートフォンやタブレットなどのモバイル端末を使用する際にも必要です。アプリケーションやファイルをダウンロードする場合は、必ずGoogle PlayやApp Storeなどの公式配布プラットフォームを利用しましょう。
ランサムウェアに感染した場合
ランサムウェアに感染した場合の対処法として次の内容を紹介します。
- ネットワークの接続を切る
- 身代金の要求には応じない
- 警察へ通報する
ネットワークの接続を切る
ランサムウェアの感染を発見した場合、最初に取るべき緊急対応として、感染した端末をネットワークから即座に切り離すことが重要です。ランサムウェアが社内ネットワークを介して他の端末やシステムへ感染を拡大するのを防げます。
有線LANで接続している場合は、物理的にLANケーブルを抜きましょう。Wi-Fiで接続している場合は、端末のWi-Fi機能をオフにすることでネットワーク接続を遮断します。無線LANルーターの電源を切るのも有効です。迅速な対応により、ランサムウェアの活動を制限し、社内全体への被害の拡大を最小限に抑えられるでしょう。
ネットワークからの切断は、その後の対策や調査を行うための重要な第一歩となるため、感染に気付いた際はすぐに実施しなければなりません。
身代金の要求には応じない
ランサムウェアに感染した場合、攻撃者から身代金の支払いを要求されますが、絶対に応じてはいけません。身代金を支払ったとしても、攻撃者がデータを復旧させる保証がないためです。
実際、多くの事例で、支払いを行っても暗号化されたデータが元に戻らなかったケースが報告されています。さらに、一度支払いに応じてしまうと、攻撃者はそれを弱みと捉え、約束を反故にして追加の支払いを要求してくることも考えられるでしょう。
また、身代金の支払いは、攻撃者の犯罪活動を助長することにもなりかねません。支払われた資金は新たな攻撃ツールの開発や、より洗練された攻撃手法の確立に使用される可能性が高く、結果として、サイバー犯罪の被害を拡大させることにつながってしまいます。
警察へ通報する
ランサムウェアによる被害を受けた場合、速やかに最寄りの警察署や都道府県警察のサイバー犯罪対策課に被害届を提出し、詳細な状況を報告しましょう。
警察への通報に際しては、警察庁のウェブサイトにも明確な指針が示されているため、参考にすると良いでしょう。被害者は、通信ログやエラーメッセージ、攻撃者からの脅迫メッセージなどの証拠を保存し、警察への通報時に持参することが推奨されます。
警察への通報は、専門的な助言を得られる可能性もあり、企業としての適切な対応方針を決定する上で有用な支援を受けられるため効果的です。
ランサムウェア対策に強いソフト
ランサムウェア対策に強いソフトとしてセキュリティに優れるクラウドストレージのibisStorage(アイビスストレージ)があります。ランサムウェア対策の内容をみていきましょう。
ibisStorage(アイビスストレージ)
ibisStorageは、ゼロトラストセキュリティの考え方に基づいて設計された、高度なセキュリティ機能をそなえたクラウドストレージサービスです。近年増加しているランサムウェアの脅威から、企業の重要なファイルを効果的に保護することも特徴としてあります。
ibisStorageの優れた機能の1つが、ファイルの更新履歴を完全に保持する機能です。仮にランサムウェアによってファイルが暗号化され、そのまま上書き保存されてしまった場合でも、過去のすべての更新履歴が保存されているため、暗号化される前の正常なファイルを容易に復元できます。
また、ゼロトラストの概念に基づき、管理者から許可された端末のみでアクセスできる端末認証機能があります。承認された端末かつ、許可されたユーザーのみがファイルにアクセスできる仕組みも特徴です。不正なアクセスや改ざんを防ぎ、企業の重要なデータを安全に保管できます。また、ファイルはリアルタイムで3重にバックアップされているためデータが消失する心配がなく安全です。
ランサムウェア対策するなら「ibisStorage」
本記事では、ランサムウェアの解説をしました。ランサムウェアは、感染したコンピュータ内のファイルを暗号化し、使用不能にした上で、その解除と引き換えに身代金を要求する厄介なマルウェアです。
データのバックアップは、ランサムウェア対策として特に効果的な方法の1つで、ファイルやシステムが暗号化されてしまった場合でも、適切にバックアップを取っておけば、バックアップを用いてデータを復元できます。しかし通常のファイルサーバーやNASで、ファイルを常にバックアップするのはとても大変です。
ibisStorageを活用することで、過去のすべての更新履歴が保存されているため、暗号化される前の正常なファイルを容易に復元できます。
ランサムウェアは企業に深刻な影響を与える懸念があるため、ibisStorageの導入の検討をすることをおすすめします。
