×

メールニュースを購読する

公開日

2023年10月25日

更新日

2024年02月09日

ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説

身代金要求型ウイルスと呼ばれるランサムウェアが、世界中で猛威を振るっています。

国内でも2024年6月に出版大手KADOKAWAがランサムウェアによるサイバー攻撃を受けたことが大きなニュースとなり、近年深刻化しているランサムウェアの脅威が改めて浮き彫りになりました。

この記事ではランサムウェアとは何か、その脅威と手口を紹介すると共に、必要な対策について分かりやすく解説します。

ランサムウェアとは?

ランサムウェアは、Ransom (身代金)とSoftware (ソフトウェア)を組み合わせた造語で、サイバー攻撃で最もよく使われるマルウェアの一つです。インターネットや電子メール経由でシステムの脆弱性を突いて組織のネットワークに侵入し、コンピュータをロックしたり、ファイルやデータベースを暗号化することによってアクセス不能にしたのち、元の状態に戻すことと引き換えに、巨額の金銭(身代金)を払うよう組織に圧力をかけます。

さらに暗号化と同時に重要な情報を窃取し、「身代金を支払わなければ、情報をリーク(暴露)する」「DDoS攻撃を仕掛ける」「攻撃を受けていることを世間に公表する」など、次々と脅しをかける多重恐喝が横行する他、被害企業の顧客や取引先を直接脅して支払いを促したり、ダークサイトで暴露された情報が使われて損害が拡がるなど、被害が深刻化しています。

国内でもランサムウェア被害が増加

ランサムウェアは、IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」で3年連続で首位になっており、組織に甚大な被害をもたらす脅威として警鐘が鳴らされ続けています。

そのような中でも2024年6〜7月には深刻な被害が相次いで報道され、ランサムウェアが改めて注目を浴びています。

最近の主な事例

イセトー

7月5日、情報処理サービスなどを手掛けるイセトー(京都市)がランサムウェアに感染し、少なくとも約150万件の個人情報が流出したことが報道されました。また情報漏洩被害は同社にとどまらず、徳島県や和歌山市、京都商工会議所、クボタクレジットなど自治体から企業まで広範囲に及び、計40万件以上の情報が漏洩したことも明らかになりました。

KADOKAWA

7月3日、KADOKAWAは同社グループに対するランサムウェアを含む大規模なサイバー攻撃に関して、外部漏洩した可能性が高いと認識した情報の種類を公開しました。グループ会社のドワンゴや学校法人「角川ドワンゴ学園」などに関連する個人情報が流出したとして、現在も被害の把握に追われています。

NTTデータグループ

7月3日、NTTデータグループは、ルーマニア拠点の「NTTデータルーマニア」に不正アクセスがあったと発表しました。不正アクセスされたのは6月14日で、ランサムウェアによる攻撃の可能性を含め、現在は解析を進めているとしています。

岡山県精神科医療センター

6月11日、岡山県精神科医療センターは、同センターのシステムがサイバー攻撃を受け、最大約4万人分の患者情報が流出した可能性があると発表しました。電子カルテの内容が流出していないかどうか調査を継続しながら、攻撃発覚後に新たに確保したシステムを使って診療を継続していることが発表されています。

ランサムウェアによる被害の実態

ランサムウェア攻撃による被害は、世界中で増加し続けています。被害によって発生した復旧費用や逸失利益の総額は平均273万ドル(約4億4千万円)で、2023年調査から1.5倍に急拡大したと報道されています(「ランサムウエア攻撃『劇場型』拡大 平均被害額1.5倍に」2024年7月3日 日本経済新聞)。

ランサムウェアによる恐喝の取引総額も増加の一途をたどっており、Chainalysisの調査によると2023年は​​10億ドル(約1,650億円)を超え、これまでの最高額を記録しました。

ランサムウェア攻撃者の受け取り総額(2019年-2023年)

出典:2024年暗号資産犯罪動向調査レポート,Chainalysis Inc.

ランサムウェアによってデータが盗まれると、攻撃者のサイト上でその情報がリーク(暴露)されます。攻撃者のリークサイトを監視している三井物産セキュアディレクションの調査によると、2023年のリーク件数は全世界で約4800件、うち国内組織(海外拠点含む)は約140件に上り、高止まりを続けています。

グラフは三井物産セキュアディレクション「暴露型ランサムウェア攻撃統計 CIGマンスリーレポート」2024年6月号 (2024年5月分)をもとに当社作成。国内被害は海外拠点も含む。

 

2023年下半期は中小企業が標的に

2023年の下半期は、中小企業や組織がランサムウェア攻撃によって深刻な影響を受けました。サイバー攻撃への対応や復旧のリソースが大企業に比べて少ない点が狙われ、標的になるのは大手企業だけではなくなっています。

狙われる業種

従来は銀行が一貫してトップに名を連ねていましたが、2023年は製造業が攻撃を最も多く受け、ヘルスケアやIT業界も頻繁に標的にされました。2024年の国内での事件では教育、医療機関もターゲットになっており、業種を問わずリスクに晒されていると言って良いでしょう。

深刻化する被害

具体的な被害は主に下記が挙げられます。

  • 金銭的な損失: 身代金の支払い、データ復旧費用、セキュリティ対策費用など、巨額の損失が発生
  • 業務の停止: データへのアクセスが制限されることで、業務が停止し、生産性が低下
  • 信用の失墜: 顧客情報や機密情報の漏洩は、企業の信用失墜に直結

近年では攻撃を受けた企業が倒産に追い込まれるケースも出てきており、ランサムウェア攻撃は企業の存続を脅かす深刻な脅威となっています。またランサムウェア感染後の復旧に1ヶ月の期間を要した組織は42%にのぼり、組織の56%は復旧費用に500万円以上かかったと回答しています。

主なランサムウェア

ランサムウェアには様々な種類があり、攻撃対象や手口が異なります。その数は数十種類とも言われていますが、以下に主なものを紹介します。

CryptoLocker(2013年登場)フィッシングメールで侵入

CryptoLocker(クリプトロッカー)は、自身を添付したフィッシングメールを送りつけ、受信者が添付ファイルをクリックすることで感染し、外部の攻撃者からの遠隔操作で暗号化します。データを復号化するための鍵を入手するために、攻撃者にビットコインなどの方法で身代金を支払うように要求します。CryptoLockerは、身代金を要求するマルウェアというランサムウェアの概念を広く知らしめました。

WannaCry(2017年登場)Windowsの脆弱性を利用して感染拡大

WannaCry(ワナクライ)は、WindowsのSMB(Server Message Block)プロトコルの脆弱性を利用して感染を拡大するワーム型のランサムウェアです。WannaCryに感染するとコンピュータ内のファイルを暗号化し、ビットコインでの身代金支払いを要求しました。1台でもWannaCryに感染するとネットワーク内の他のコンピュータに感染を拡大します。また、クラウド型のファイル共有サービスを経由して感染を広げます。ファイルを復号化するために金銭を要求する脅迫画面が表示されます。

Ryuk(2018年登場)メール、トロイの木馬など複数の経路で侵入

Ryuk(リューク)は、自身を添付したフィッシングメール、トロイの木馬のTrickBotが、Ryukをインストールし、ネットワークに接続されたコンピュータに感染を拡大します。また、Emotetのボットネットとの連携、RDPなどの脆弱性への攻撃など、感染経路は多岐にわたります。Ryukは、システムファイルの暗号化を試みるため、感染するとシステムが不安定になったり、システムがクラッシュする場合があります。感染後に、攻撃者への身代金の支払いと連絡方法が記載されたファイルが表示されます。

MAZE(2019年登場)メール経由で感染

MAZE(メイズ)は、フィッシングメール、既知のセキュリティの脆弱性、悪意のある広告など、様々な手法で感染を拡大します。MAZEは、コンピュータ内のファイルを暗号化するだけではなく、機密データを盗み出します。また、窃取したデータの一部を暴露して脅迫を行いました。データを暗号化する攻撃とデータを暴露し脅迫する「二重攻撃」を用います。

ランサムウェアの感染経路

ランサムウェアの代表的な感染経路は、次のとおりです。これらの感染経路を複合的に利用し感染を拡大するランサムウェアもあります。

メールの添付ファイルや本文に記載されたURL

ランサムウェアは、取引先からの請求書の送付を装った「なりすましメール」によるフィッシングや、マルウェア添付ファイルや、メールの本文に記載されたURLにアクセスすることで感染します。メールの差出人や件名、本文などをなりすました「標的型攻撃メール」を通じて、メール受信者が添付ファイルやURLを開くよう仕向けます。

ランサムウェアは、取引先からの請求書の送付を装った「なりすましメール」によるフィッシングや、マルウェア添付ファイルを開かせようと試みます。

5400万通のメールを解析したサイバーソリューションズによると、ウイルスが添付されたメールには、人名、請求、写真、注文、賞与などのキーワードが含まれていました。詳細は、「5400万通のメールから見えたサイバー攻撃のトレンド」をご覧ください。

Webサイトからの感染

Webサイトに設置された不正なリンク、偽装されたサイトの閲覧や、不正広告の閲覧によるランサムウェアの自動実行やダウンロードしたファイルのクリックによって感染します。また、フィッシングサイトなどを通じて感染する手口もあります。

VPNや社内ネットワーク経由での感染

ランサムウェアは、感染したコンピュータが接続されている社内ネットワークの他のコンピュータや、VPN機器の脆弱性を狙って感染を試みます。令和5年におけるサイバー空間をめぐる脅威の情勢等について​​(警察庁、2022年)によると、VPN機器からの侵入が63%と最も高くなっています。

USBメモリや外付けHDDなど外部記憶媒体からの感染

ランサムウェアに感染したUSBメモリや外付けHDDなどの外部記憶媒体をコンピュータに接続することでランサムウェアがインストールされ感染します。大手通販サイトを装い「ランサムウェアの仕込まれたUSB」を送りつけることで感染させる被害が起きています。

ランサムウェア攻撃の段階

初期侵入

攻撃者は、ランサムウェアの感染による情報窃取の目的を達成するために、フィッシングメールを送りつけることでマルウェアやランサムウェアの感染、脆弱性の悪用を通じてネットワークに侵入します。

ポストエクスプロイト

ランサムウェアは侵入したコンピュータで自身の権限を昇格させます。また、コンピュータ内に保存されている、ログイン認証情報、顧客や個人情報、業務上重要なデータなどを収集します。また、侵入したコンピュータを遠隔操作するためにバックドアを設置したり、その他のマルウェアを感染させます。

ネットワークでの感染拡大

盗んだログイン認証情報を使用したり有効なセッションをハイジャックして、ネットワークに接続されている他のコンピュータやシステムに侵入します。侵入した先のシステムやコンピュータでも、重要な情報を盗み出し感染を拡大します。

データの持ち出し

業務上の重要なデータを複製し一箇所に集約した上で攻撃者のサーバにアップロードします。暴露脅迫を行うために、特に秘匿性が高い重要な情報を特定し盗み出します。

ランサムウェアの実行

データのアップロードが完了した後に、感染したコンピュータでランサムウェアを実行します。ランサムウェアを確実に実行するために、ランサムウェアを実行する前に、セキュリティ対策ソフトを停止させます。また、グループポリシー機能などを使い、組織内ネットワークにランサムウェアを展開・実行します。

ランサムウェアがファイルやシステムを暗号化した上で、対象の端末に身代金要求画面を表示させたり、デバイスを使用できないようにロックします。

ランサムウェア対策とは

メール経由のランサムウェア侵入を防ぐ

ランサムウェアは、標的型攻撃メール、なりすましメール、フィッシングメールなどに自身を添付したメールやメール本文内の不正なURLのダウンロードを通じて侵入します。受信するメールを検閲し、なりすましやフィッシング、ビジネスメール詐欺ではないか確認し、添付ファイルにランサムウェアやコンピュータウイルスが含まれていないか、暗号化されたZIPファイルを復号化してチェックした上で、リンク先URLは不正なリンクでないか、さらに、未知の脅威が含まれていないかを確認し、脅威を取り除きます。

 

メール経由でのランサムウェアの侵入を防ぐ復号的なメールセキュリティ対策

詳しくは、クラウド型メールセキュリティの選び方をご覧ください。

 

侵入経路別のランサムウェア対策

ランサムウェア対策は、侵入経路に即した複合的な対策が重要です。

侵入経路 対策
マルウェア添付メール メールでのマルウェア検知、削除
脆弱性の悪用 OSやソフトウェアのアップデート
認証情報の悪用 MFA保護強化。特権昇格の防止
フィッシング フィッシングメールの検知、不正なURLの検知、無効化
総当たり攻撃 ID、パスワードの定期的な更新、MFAの導入
ダウンロード 不正なURLへのアクセス制限

データのバックアップも重要

ランサムウェアによるデータやシステムの暗号化やロックに備えるために、システムやデータのバックアップは欠かせません。バックアップデータが暗号化されるケースも報告されているため、バックアップデータはネットワークから切り離した状態で保存しましょう。また、バックアップデータの復元や復旧の手順の確認も重要です。

月額200円から導入できるランサムウェアのメール対策

サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円からランサムウエアを含むマルウェアメールの受信防御、なりすましメールやフィッシングメールの受信防御、不正なURLの無効化、サンドボックスを導入できます。

参考資料:3分でわかる「Cloud Mail SECURITYSUITE」

CMSSは、Microsoft 365、Google Workspace にも対応

CMSSは、Microsoft 365Google Workspaceと連携し、ランサムウェア添付メール受信対策、フィッシング、なりすましメールの防止などのメールセキュリティを強化します。

7000アカウントのMicrosoft 365 メールセキュリティ 導入事例


不動産最大手のレオパレス21は、約7,000のメールアカウントをMicrosoft 365に移行していましたが、 メールセキュリティはオンプレミスでの運用が続いていました。

一部の取引先で暗号化添付メールの受信が制限された2021年頃から脱PPAPとメールセキュリティのクラウド化を推進。 オンプレミスで運用していた3社4製品のメールセキュリティCMSSへ移行し、メールセキュリティをワンストップ化しました。最新の脅威の防御と、メールセキュリティの運用・管理工数を削減できました。

CMSS 選定のポイント CMSS 選定の理由
1 既存セキュリティ対策を踏襲できるか 従来の対策を踏襲でき暗号化ファイルのクラウドスキャン等、機能が豊富
2 導入・運用コストの妥当性 他社よりも低コストで導入でき、運用管理コストを低減
3 脱PPAPの実現 メールに添付の送信で、相手先に合わせた脱PPAPを実現

詳しくは、レオパレス21様の導入事例をご覧ください。

ランサムウェアに感染しまった時の対処法

ランサムウェアに感染したら、セキュリティソフトによるランサムウェアの除去、バックアップデータから復旧する以外の解決策はありません。

  1. ランサムウェアから感染した端末をネットワークから遮断する
  2. ランサムウェアを除去する
  3. データ複合ツールの有無を調べるために感染したランサムウェアを特定する
  4. 復号化ツールを利用して暗号化データの復号を試す
  5. 都道府県警察のサイバー犯罪相談窓口へ被害を報告する

ランサムウェアを正しく恐れ、適切な対策を導入しましょう

ランサムウェアに感染すると、業務で利用するPCやシステムを使用できないことによる業務停止、身代金の要求に加え高額な復旧費用など甚大な金銭被害が発生します。取引先への影響も大きく、身代金を支払ってもデータを取り戻せる保証はありません。このようなリスクを考慮にいれて、ランサムウェア対策を徹底し感染を防ぎましょう。