ランサムウェアとは？目的・仕組み・感染経路・被害事例と具体的な対策方法

総務省が発表した「サイバー攻撃の最近の動向等について」[※1]によると、デジタルトランスフォーメーションやテレワーク普及に伴い、サイバー攻撃は増加傾向にあります。
サイバー攻撃の中でも「ランサムウェア」というマルウェアの一種が組織（企業）にとって大きな脅威となりました。このコラムでは「ランサムウェア」の意味や仕組み、感染経路や対策方法などをご紹介します。

ランサムウェアとは？定義・意味やマルウェアの違いやランサムウェアの特徴を説明

ランサムウェアとは、身代金を要求することを目的としたマルウェア(悪意のあるソフトウェア)の一種です。

企業がランサムウェアに感染した場合、格納しているデータを不正に暗号化（データの読み取りや処理をできなくすること）がおこなわれたり、端末がロックされ担当者がアクセスできなくなるなど、業務に支障を及ぼす影響を与えます。業務に影響を与えたのち、データを人質に攻撃者から身代金を要求されることが特徴となります。

マルウェアとの違いは下記図でご紹介します。

マルウェアとは、PC等の端末機器に意図的に悪意を働くソフトウェアの総称であり、ランサムウェアはマルウェアに含まれる一種のカテゴリということになります。

ランサムウェアのほか、ウィルス、トロイの木馬、ワーム、スパイウェアなどの各マルウェアは、感染の広がり方や感染した際の症状などで各項目に振り分けられます。

直近の特徴として「標的型攻撃」が増えている

ランサムウェアの傾向としては、不特定多数に行う「ばらまき型攻撃」でなく、特定の組織の機密情報を狙った「標的型攻撃」が多くなっています。

サイバー攻撃者が標的型攻撃を行う際、特定の組織専用にランサムウェアをカスタマイズすることが多く、セキュリティソフトから逃れやすい傾向にあります。

ランサムウェアの主な目的とは？

身代金を要求すること

上記の通り、ランサムウェアの目的は身代金を要求することです。
個人・組織(企業)のどちらとも標的となりますが、身代金の金額が高くなる組織が狙われやすい傾向にあります。[※2]

ランサムウェアが組織に対して、身代金を要求する手順は以下のとおりです。

①メールの添付ファイル等から、ランサムウェアをPCなどに侵入させる。
②侵入後、データを窃盗・不正に暗号化や画面をロックし業務に支障を与える。
③組織に対して脅迫文などで金銭を要求する。

ポイントは②のデータを暗号化する前にデータを盗む点です。
サイバー攻撃者はデータを盗んでおくことで、データの破壊と公開の2重に脅迫を行うことが可能となってしまいます。

ランサムウェアの仕組み

暗号化の仕組み

暗号化とは、データ（ファイル）の中身を判別できなくすることです。
ランサムウェアに感染すると意図せずにデータの暗号化が行なわれ、利用制限が行われてしまいます。

暗号化の仕組みは、元データに対して暗号鍵を利用し全く異なるデータとして変換(暗号化)されます。
暗号化されたデータを元に戻す際、暗号化された時と同様に暗号鍵を使用します(これを復号化と呼びます)。

そのため、暗号鍵がわからない状態で不正に暗号化された場合、元に戻せない状況となってしまいます。

端末ロックの仕組み

PCやスマートフォン端末がロックされた場合、操作自体ができなくなります。
端末ロックの仕組みは、WindowsなどのOSに忍び込み動作ができないように端末ロックし、ロック画面に「解除する場合、請求金額の支払いを完了してください」などといった脅迫文が表示されることがあります。

端末ロックの場合、端末内にあるデータが不正に暗号化されていないケースが多く、データ救出の可能性は残されています。

ランサムウェアの主な感染・侵入経路

ランサムウェアの感染経路はメール感染、ウェブサイト感染、VPN機器からの感染、リモートデスクトップからの感染などが考えられます。
また、メールとウェブサイトからはファイル感染の可能性もあり、ファイル解凍・実行する際は参照元を確認し、信頼性があるかの確認が必要です。

メールから感染

・メールに記載されているURLリンクにアクセスして感染

ウェブサイトから感染

・改ざんされた正規のウェブサイトにアクセスして感染
・不正ネット広告を閲覧することで感染

添付ファイルから感染

・メールに添付されたファイルを解凍・実行して感染
・ウェブサイトからダウンロードしたファイルを解凍・実行して感染

VPN機器からの感染

・旧型VPN端末の脆弱性を狙われて感染
・ソフトウェアのアップデートが遅れ、脆弱性を狙われ感染
・公衆Wi-Fiの通信が暗号化されていなく、VPNのアクセス情報が漏れて感染

リモートデスクトップからの感染

・Windowsのリモートデスクトップ用プロトコル(RDP)機能で外部ポートを公開している端末に対して、ID/パスワードの総当たり攻撃(ブルートフォース攻撃)で侵入されて感染
・RDP機能でクライアントからの接続待ちとなっているポートに対してBluekeep攻撃で感染

過去に発生したランサムウェアの種類と被害例

ランサムウェア「Darkside」により、約4億8,000万円の被害

2021年、アメリカ石油パイプライン大手がランサムウェア「Darkside」の攻撃を受け、身代金4億8,000万円を支払ったことを認めています。

身代金だけでなく業務上の被害もあり、ランサムウェア攻撃を受けたことで一時的にパイプラインに支障をきたしました。

ランサムウェア「Revil」により、米IT企業が約78億円の身代金を要求される

2021年7月、アメリカ大手IT企業がランサムウェア「Revil」(レビル)によって、800～1500社に被害が及び、攻撃者からデータの復号と引き換えに約78億円を要求されました。

また、「Revil」の攻撃被害により、スウェーデンの小売店で数百件以上が営業停止となり、攻撃された企業だけでなく、サービスを利用しているユーザー側にも被害が発生しました。

ランサムウェアの具体的な対策方法

検知・予測を行う従来型のアンチウィルスソフトだけでは、日々進化するランサムウェア攻撃の対策として万全とは言い切れません。組織は、エンドポイント(端末)を保護する次世代型のセキュリティソリューションの導入が必要不可欠です。

ランサムウェア対策案としてMorphisec（モルフィセック）が有効

当社で取扱っている「Morphisec」を導入することで、エンドポイントを保護することが可能です。Morphisecはランサムウェアの対策だけでなく、「ゼロデイ攻撃」の対策としても導入を推奨しています。 Morphisecは従来型のアンチウィルスソフトとは違い、アップデート・ネットワーク接続不要で、論理上誤検知は起こしません。高度な攻撃の防御を実現しつつ、端末への負荷が非常に低いエンドポイントセキュリティ製品です。

また、現在注目されているIoTデバイス機器やOT機器(エンベデッドシステム)のセキュリティにも対応しています。

ランサムウェアに感染したら、身代金の被害だけでは済まない？感染した時の対処法

一度、ランサムウェアに感染してしまうと、身代金を支払うだけでは被害は収まりにくいでしょう。組織は攻撃の影響で業務が停止となり、身代金以上の被害が発生することが予測されます。
また、業務が停止になると関係企業やユーザーとの対応に追われ、復旧業務だけでない膨大な作業が発生してしまいます。

感染したときの対処法

• 感染したPCをインターネットから切断
  

  被害を拡大させないためにも、まずは感染確認・疑いがあるPC端末等をインターネットから切断することをオススメします。万が一に備え、セキュリティソフトを導入し被害範囲・感染種別の特定などを実施できることが大前提となります。

• 不正に暗号化されたファイルのバックアップを取る
  不正に暗号化されたファイルは元に戻せる(復号できる)可能性があります。ランサムウェアの種類によっては復号が可能なため、バックアップを取得しておきましょう。注意点として、バックアップを取得するHDDやUSBは必ず空のものを利用し、感染拡大をしないよう不要な接続を控えることです。
  

• ランサムウェアの駆除、データ復号の可能性を探る

  ランサムウェアを駆除するためには、ランサムウェアの「何の種類」に感染したかを特定する必要があります。特定するために、セキュリティソフトで検知・検出するほか、暗号化されたデータの拡張子の記録や身代金を請求されたドキュメントの記録などが有効です。

  データ復号では、「No More Ransom」というサイトで復号キーが公開されていることを確認してください。

• セキュリティベンダに相談

  被害に遭った際、セキュリティソフトを導入しているセキュリティベンダへの問合せは必須です。緊急時にセキュリティの専門家からの助言を受けられるよう、日ごろから窓口を設けておくようにしましょう。

ランサムウェアの被害を出さないため、エンドポイントの保護は必須

ランサムウェア攻撃を受けた日本企業の32％は身代金を支払ってしまいます。
実際に支払った身代金（被害額）の平均額は約1億2,300万円になると発表されています。[※3]

被害に合わないためには、検知・検出を目的としたセキュリティソフトではなく、エンドポイントを保護するセキュリティの導入が必須です。攻撃者側が進化し、企業を狙い撃ちした『標的型攻撃』などランサムウェア攻撃が高度になっているため、組織もそれに合わせたセキュリティ対策が必要ではないでしょうか。

[※1] サイバー攻撃の最近の動向等について(2020年12月)

[※2] 情報セキュリティ 10 大脅威 2021(2021年2月)

[※3]2020年度版 CrowdStrikeグローバルセキュリティ意識調査(2020年11月)