昨今では、セキュリティ対策を強化している会社も多くなっています。これからランサムウェアへの対策を検討している会社もあるでしょう。
本記事では、ランサムウェアに関する情報を収集している方に向け、ランサムウェアの種類やその具体例などを解説します。また、ランサムウェアの被害を防止する方法や、感染した際の対応についても解説するため、ぜひ参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
ランサムウェアとは
ランサムウェアとは、マルウェアの1種でランサム(身代金)と、ソフトウェアを合わせた造語です。ランサムウェア被害にあうと、組織のネットワークに侵入され、コンピュータ自体やデータなどを人質にして、金銭を要求されます。
関連記事:ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説 | 法人向けクラウドメールサービスのサイバーソリューションズ
近年のランサムウェアによる被害状況
ランサムウェアによる被害は、近年どのような状況にあるのでしょうか。
2023年のランサムウェアによる被害状況
ランサムウェアによる被害は、2023年の1年間で197件発生しているとされています。そのなかでも、データを暗号化せずにデータを盗み、対価を要求するノーウェアランサムによる被害は30件にのぼります。
※参考:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
2024年上半期のランサムウェアによる被害状況
2024年のランサムウェアによる被害は、上半期だけで114件も発生しています。被害のなかには、ランサムウェアによって盗まれた情報が、ダークウェブ上のリークサイトに掲載されたケースもありました。
※参考:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
ランサムウェアの種類
ランサムウェアにはいくつかの種類があります。代表的な5つを解説します。
暗号化型
暗号化型とは、ファイルやデータを暗号化するタイプのランサムウェアのことです。暗号化された情報の復元を交換条件に、金銭を要求されます。しかし、暗号化されたデータの復号は困難も多く、金銭を払ったにもかかわらずデータが正常に復号できない場合もあるでしょう。
ロック型
ロック型とは、パソコンやスマートフォンの画面をロックするタイプのランサムウェアです。このケースは、スマートフォンをはじめとしたモバイルデバイスが対象になることが多く、ロックされたデバイスへのアクセス回復を交換条件に、金銭を要求されます。
暴露型
暴露型とは、業務に関する情報を盗んで、それを外部に暴露すると脅すタイプのランサムウェアです。盗んだ情報を削除するもしくは、拡散しないという条件で金銭を要求されます。
消去型
消去型とは、業務に関する情報を削除するタイプのランサムウェアのことです。削除したデータを復元するのを交換条件にして、金銭を要求されます。ただし、暗号化型同様に、金銭を払ってもデータが確実に元通りになる保証はありません。
破壊型
破壊型は、システム自体を破壊するタイプのランサムウェアです。システムの破壊自体が目的の場合と、システムを破壊すると脅して金銭を要求することが目的の場合があります。
主なランサムウェア10選
ランサムウェアにはさまざまな種類があり、攻撃の手口が異なります。以下では、主なランサムウェアを紹介します。
Bad Rabbit
Bad Rabbitは、ウクライナやロシアで感染が流行したとされるランサムウェアです。Webサイトからファイルをダウンロードする際に感染します。Petyaというランサムウェアの亜種ともいわれています。
CryptoLocker
CryptoLockerは、2013年ごろに発生したランサムウェアで、メールに添付されたファイルから感染します。コンピュータ内のデータを暗号化するほか、デバイスへのアクセスもロックする場合があります。
なお、このCryptoLockerがきっかけで、ランサムウェアが世間一般に広く知られるようになりました。
GoldenEye
GoldenEyeも、Petyaの亜種とされているランサムウェアです。システムの起動に必要なデータを暗号化して、パソコンを使えなくします。ウクライナでは、GoldenEyeによる大きな被害があり、インフラが相次いでダウンするといったトラブルになりました。
Jigsaw
Jigsawに感染すると、画面に映画のキャラクタが表示され、時間とともにデータがランダムに削除されてしまいます。なお、パソコンを再起動しても意味がなく、かえって多くのデータが消えてしまう恐れがあります。
LockBit
LockBitは、近年被害が増加している二重恐喝型のランサムウェアです。データを高速で暗号化し、ネットワークを介して、感染が拡大します。
MAZE
MAZEはデータを暗号化するランサムウェアです。また、暗号化前のデータを暴露するという恐喝も行われ、過去には実際にインターネット上データが公開された例もあります。
Petya
Petyaは、業務データやシステムに関する重要なファイルも暗号化してしまうランサムウェアです。Windowsのパソコンが標的になっており、メールで添付ファイルを開封すると感染します。なお、欧州だけでなく日本でも被害が確認されています。
Qlocker
Qlockerは、バックアップも含むデータを暗号化します。QNAP社のNAS(ネットワーク接続できる外部記憶装置)の脆弱性が狙われたほか、中小企業や個人事業主などでも被害が多発したランサムウェアです。
Troldesh
Troldeshは、Shadeともいわれているランサムウェアで、アメリカや日本、インドでも被害が発生しました。多くのランサムウェアと同様に、データを暗号化します。メールの添付ファイルから感染し、攻撃者と被害者がメールでやり取りできる特徴があります。
WannaCry
WannaCryも、ファイルを暗号化するランサムウェアです。WindowsのOSの脆弱性が狙われ、自己増殖する特徴があります。WannaCryの被害は世界中で発生しました。
ランサムウェアの攻撃プロセス
ランサムウェアは、一般的にどのような方法で攻撃してくるのかを解説します。
システムや内部ネットワークへの侵入
まずは、攻撃対象のシステムや内部ネットワークに侵入します。ランサムウェアは、さまざまな経路からシステムへの侵入を試みるため、対策を講じていた場合も組織のわずかな脆弱性を狙って侵入してきます。
システムの操作
侵入できたら、ランサムウェアの攻撃対象とするデータを探したり、システム権限の奪取を試みたりします。また、ネットワークに接続されているほかのデバイスへの侵入を試みる場合もあるでしょう。
データの窃取
システム権限を奪取したら、機密情報や個人情報を収集します。収集したデータは、攻撃者のサーバへ、小分けにしてアップロードされる場合があります。
ランサムウェアの実行
データを盗み出したら、ランサムウェアを実行します。具体的には、データを暗号化したり、システム自体を使えないようにロックしたりする場合が多いでしょう。なお、この段階になってランサムウェアの被害が発覚する場合が多いとされています。
ランサムウェアの感染経路
ランサムウェアの感染経路には、主に次のものが挙げられます。
・VPN
・メールやメールの添付ファイル
・リモートデスクトップ接続
・外部記憶装置
・Webサイト
なお、上記は単独で使用されるだけでなく、複合的に使用されるケースもあります。
ランサムウェアの被害を防止するためのポイント
ランサムウェアの被害を防止するために、行うべき対策を紹介します。
セキュリティソフトウェアを導入したりサイバー保険に加入したりする
セキュリティソフトウェアやアンチウイルスソフトウェア、EDR(サイバー攻撃を検知したり、対処したりするもの)の導入が有効です。ランサムウェアの侵入を未然に防いだり、早期に発見したりできるようになります。
また、万が一に備えて、サイバーリスクによって発生する損害に対応できるサイバー保険に加入するのもおすすめです。
VPNのセキュリティ対策を強化する
VPNは、社外から安全に社内ネットワークにアクセスできる技術である反面、脆弱性もあります。そのため、自社で使用しているVPN機器に脆弱性がないか確認して必要な対策を取ったり、運用方法を定期的に見直したりすることが重要です。
多要素認証(MFA)を導入する
IDとパスワードで認証する仕組みは、ランサムウェアの感染経路になりやすいといわれています。認証システムに多要素認証を導入することで、ランサムウェアの侵入リスクを低減できます。
ランサムウェアに感染した場合の対応方法
対策を講じていても、ランサムウェアに感染してしまった場合には、次のような対応を取りましょう。
被害の抑制
ランサムウェアの被害が発覚したら、まずは被害の拡大防止を考える必要があります。感染が疑われるシステムをネットワークから切り離すようにしましょう。
次に、被害を免れたバックアップデータを早急に保護して、セキュリティ事故の調査を行う企業に連絡します。
原因の特定
システム復旧後には、再度ランサムウェアの被害にあわないように、攻撃者の侵入経路を塞ぐ必要があります。まずは、ランサムウェアの被害範囲から侵入経路を推測し、侵入経路になりやすい可能性のあるものから調査するようにしましょう。
攻撃の再発防止
侵入経路が判明したら、攻撃の再発防止対策が必要です。以下は、対策の一例です。
・業務に必要な最低限のシステムやアカウントだけを運用するよう切り替える
・適切なアクセス制御や認証情報の変更、認証方式の見直しを実施する
・システムの脆弱性を調査して、適切な対策を実施する
復旧
被害の拡大を防ぐため、切り離したシステムを再度ネットワークに接続します。接続前には、汚染されたシステムが正常に動作しているかを確認しましょう。
復旧後は、再びランサムウェアの影響が出ていないかを確認し、バックアップから暗号化されたファイルを復元します。対応可能な復号ツールがあれば、利用してみるのもよいでしょう。
ランサムウェアの感染事例
最後にランサムウェアの感染事例を紹介します。
国内事例|株式会社エムケイシステム
株式会社エムケイシステムでは、データセンタのサーバがランサムウェアに感染しました。その結果、同社が提供するクラウドサービスが停止して、約3,400人の利用者に影響しました。
※参考:情報セキュリティ10大脅威 2024[組織編]|独立行政法人情報処理推進機構
国内事例|名古屋港運協会
名古屋港運協会では、名古屋港のコンテナの搬入や搬出などを管理するシステムが、リモート接続機器経由でランサムウェアに感染しました。その影響により、約3日間、名古屋港の物流が停止しました。
※参考:コンテナターミナルにおける情報セキュリティ対策等検討委員会について|国土交通省
国内事例|株式会社イズミ
株式会社イズミでは、サーバに保存していたファイルの一部が暗号化されてしまった結果、基幹システムが利用できなくなりました。また、システムのバックアップデータにも被害が発生したとされています。
※参考:第 64 期第1四半期報告書の提出期限延長に関する承認申請書提出のお知らせ|株式会社イズミ
海外事例|アルゼンチンのインターネットサービスプロバイダ
最後に、海外の事例も紹介します。
アルゼンチンのインターネットサービスプロバイダがランサムウェアに感染し、約753万ドルの身代金を要求されたケースがあります。最終的には、同社が業務に使用していた1万8,000台以上のデバイスにも感染が広がりました。
※参考:事業継続を脅かす新たなランサムウェア攻撃について~「人手によるランサムウェア攻撃」と「二重の脅迫」~|独立行政法人情報処理推進機構 セキュリティセンター
まとめ
ランサムウェアは、組織のわずかな脆弱性を狙って侵入してきます。そのため、最新の対策を常に導入しておく必要があります。また、万が一感染した場合には、慌てず適切な対応を取って、被害を最小限に抑えられるようにしましょう。
ランサムウェア対策を検討する際は、サイバーソリューションズ株式会社にお問い合わせください。サイバーソリューションズ株式会社は、さまざまなインフラ環境に対応できるメールに関するあらゆるサービスを提供しています。また、コストを抑えたセキュリティ強化をサポートします。
