身代金要求型ウイルスと呼ばれるランサムウェアが、世界中で猛威を振るっています。国内でも2024年6月に、出版大手KADOKAWAがランサムウェアによるサイバー攻撃を受けたことが大きなニュースとなり、近年深刻化しているランサムウェアの脅威が、改めて浮き彫りになりました。この記事ではランサムウェアとは何か、その脅威と手口に加え、必要な対策についてわかりやすく解説します。
CMSS – Cloud Mail SECURITYSUITEについて詳しく見る
目次
ランサムウェアとは?
ランサムウェアは、Ransom (身代金)とSoftware (ソフトウェア)を組み合わせた造語で、サイバー攻撃で最もよく使われるマルウェアのひとつです。
インターネットや電子メール経由でシステムの脆弱性を突いて組織のネットワークに侵入し、コンピュータをロックしたり、ファイルやデータベースを暗号化したりすることで、アクセス不能にしたのち、元の状態に戻すことと引き換えに、巨額の金銭(身代金)を払うよう組織に圧力をかけます。
さらに暗号化と同時に重要な情報を窃取し、「身代金を支払わなければ、情報をリーク(暴露)する」「DDoS攻撃を仕掛ける」「攻撃を受けていることを世間に公表する」など、次々と脅しをかける多重恐喝が横行しています。被害企業の顧客や取引先が脅かされて支払いを促されたり、ダークサイトで暴露された情報が使われて損害が拡がったりと、被害が深刻化しています。
マルウェアとの違い
マルウェアとは、コンピュータやネットワークに悪影響を与える、悪意のあるソフトウェアの総称です。そのなかでも、データの復元やシステムの復旧と引き換えに金銭を要求するものは、「ランサムウェア」と呼ばれます。つまり、ランサムウェアはマルウェアの一種であり、金銭を目的とした攻撃が特徴です。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取る国内におけるランサムウェアの被害事例
ランサムウェアは、IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」で3年連続で首位になっており、組織に甚大な被害をもたらす脅威として、警鐘が鳴らされ続けています。
そのようななかで、2024年6〜7月には深刻な被害が相次いで報道され、ランサムウェアが改めて注目を集めています。
イセトー
7月5日、情報処理サービスなどを手掛けるイセトー(京都市)がランサムウェアに感染し、少なくとも約150万件の個人情報が流出したことが報道されました。また情報漏洩被害は同社にとどまらず、徳島県や和歌山市、京都商工会議所、クボタクレジットなど自治体から企業まで広範囲に及び、計40万件以上の情報が漏洩したことも明らかになりました。
KADOKAWA
7月3日、KADOKAWAは同社グループに対するランサムウェアを含む大規模なサイバー攻撃に関して、外部漏洩した可能性が高いと認識した情報の種類を公開しました。グループ会社のドワンゴや学校法人「角川ドワンゴ学園」などに関連する個人情報が流出したとして、現在も被害の把握に追われています。
NTTデータグループ
7月3日、NTTデータグループは、ルーマニア拠点の「NTTデータルーマニア」に不正アクセスがあったと発表しました。不正アクセスされたのは6月14日で、ランサムウェアによる攻撃の可能性を含め、現在は解析を進めているとしています。
岡山県精神科医療センター
6月11日、岡山県精神科医療センターは、同センターのシステムがサイバー攻撃を受け、最大約4万人分の患者情報が流出した可能性があると発表しました。電子カルテの内容が流出していないかどうか調査を継続しながら、攻撃発覚後に新たに確保したシステムを使って診療を継続していることが発表されています。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアによる被害の実態
2024年以降の状況
2025年上半期は、ランサムウェアの被害報告件数は116件で、半期としては2022年下半期と並び、過去最多を記録しました。組織の規模別では、中小企業の被害件数が77件と、約3分の2を占めており、件数・割合ともに過去最多となりました。これらのデータは、セキュリティ対策が手薄になりがちな中小企業への攻撃が増加する傾向を示しています。
※参考:令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について|警視庁
ランサムウェア攻撃者の受け取り総額(2019年-2023年)
出典:2024年暗号資産犯罪動向調査レポート,Chainalysis Inc.
ランサムウェアによってデータが盗まれると、攻撃者のサイト上でその情報がリーク(暴露)されます。攻撃者のリークサイトを監視している三井物産セキュアディレクションの調査によると、2023年のリーク件数は全世界で約4800件、うち国内組織(海外拠点含む)は約140件に上り、高止まりを続けています。
グラフは三井物産セキュアディレクション「暴露型ランサムウェア攻撃統計 CIGマンスリーレポート」2024年6月号 (2024年5月分)をもとに当社作成。国内被害は海外拠点も含む。
狙われる業種
従来は銀行が一貫してトップに名を連ねていましたが、2023年は製造業が攻撃を最も多く受け、ヘルスケアやIT業界も頻繁に標的にされました。2024年の国内での事件では教育、医療機関もターゲットになっており、業種を問わずリスクに晒されていると言って良いでしょう。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアが企業にもたらす影響・ダメージ
具体的な被害は、以下のとおりです。
- 金銭的な損失: 身代金の支払い、データ復旧費用、セキュリティ対策費用など、巨額の損失が発生
- 業務の停止: データへのアクセスが制限されることで、業務が停止し、生産性が低下
- 信用の失墜: 顧客情報や機密情報の漏洩は、企業の信用失墜に直結
近年では攻撃を受けた企業が倒産に追い込まれるケースも出てきており、ランサムウェア攻撃は企業の存続を脅かす深刻な脅威となっています。またランサムウェア感染後の復旧に1ヶ月の期間を要した組織は42%にのぼり、組織の56%は復旧費用に500万円以上かかったと回答しています。
金銭的な損失を被る
ランサムウェア被害では、早期復旧を目的に身代金を支払うと、多額の損失を被るおそれがあります。身代金を支払わなかったとしても、売り上げの減少や業務停止による違約金、復旧や調査、再発防止などに多額の費用がかかります。警視庁の調査によると、ランサムウェアの被害にあった企業・団体の37%が、調査や復旧作業に1,000万円以上の費用を要したと回答しています。
※参考:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警視庁
生産性が低下する
ランサムウェアへの感染で、システムやデータが使用不能になると、業務停止に陥って生産性低下につながります。感染が広範囲に拡大した場合、復旧までに時間がかかり、企業収益にも影響します。
特にECサイトなどリアルタイム性が求められる事業では、サービス停止が売り上げ減少に直結します。製造業においては、生産計画が遅延したり品質管理や在庫管理が混乱したりするため、現場にも深刻な影響が生じます。
社会的信用を失う
ランサムウェア攻撃は、顧客からの信頼やブランド価値に甚大なダメージを与えます。情報漏洩が発生した場合、顧客は不安を抱いて競合他社へ流出し、社会的信用が大きく低下します。
また、機密情報の窃取や公開は、損害賠償や株価の下落リスクといった二次被害をまねき、経営に長期的な悪影響につながります。社会的な信頼喪失は、金銭的損失や業務停止とともに深刻なダメージとなり得ます。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアのおもな4つの種類と特徴
ランサムウェアには、4つの特徴があります。以下で、それぞれについて詳しく解説します。
1.画面ロック型
画面ロック型は、パソコンやスマホの画面をロックして操作をできなくし、金銭を要求するタイプです。仕組みが比較的シンプルであるため、容易に対処できます。
2.暗号化型
暗号型は、端末内のファイルを暗号化し、復号に必要な鍵と引き換えに身代金を要求するタイプです。鍵がなければデータを元に戻せないため、被害が深刻になる可能性があります。
3.二段階の脅迫型
二段階の脅迫型は、暗号化型に加え、盗んだデータを公開すると脅して二重に金銭を要求するタイプです。2019年頃から確認されるようになり、より強い圧力をかけてきます。
4.人の手によるランサムウェア攻撃型
人の手によるランサムウェア攻撃型は、攻撃者が手動で標的のネットワークに侵入し、重要なサーバや機密情報を狙って、ランサムウェアを仕掛けるタイプです。組織内を綿密に調査してから攻撃するため、被害規模が大きくなりやすく、テレワーク環境の脆弱性やSNS経由で侵入されるケースもあります。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアの最新の傾向
ランサムウェアの攻撃手法は高度化しています。ここでは、ランサムウェアの最新の動向について解説します。
ばらまき型から標的型に移行している
ランサムウェア攻撃は、不特定多数を狙う「ばらまき型」から、VPN機器の脆弱性を突くなどして企業や団体のネットワークに侵入し、感染を広げる「標的型」に変わってきました。攻撃の手口としては、データの暗号化や情報の窃取に加え、窃取した情報を公開すると脅す二重脅迫も増加しています。
標的型に狙われやすいのは、業務を停止すると多大な影響が出る、身代金の支払い能力が高いといった企業です。
RaaS型の攻撃が増えている
ランサムウェア攻撃は、「RaaS」によってビジネス化されつつあります。「RaaS(Ransomware as a Service)」 とは、開発者がランサムウェアや攻撃基盤をサービスとして提供し、利用者が報酬を支払って攻撃する仕組みを指します。
RaaSの普及で、高度な開発力や技術力がなくても容易にランサムウェア攻撃が実行できるようになり、被害が拡大しています。
生成AIが悪用されている
近年、生成AIの悪用による、ランサムウェア攻撃の高速化と高精度化が起きています。標的の情報収集や侵入計画のサポート、メール文面の精度向上、ディープフェイクによるなりすましなど、準備から実行まですべての段階で生成AIが利用されています。
ランサムウェアなどの攻撃ツールの作成や改変に、高度な技術力や経験が不要になり、新たな攻撃者が参入する危険性が高まっています。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取る注目すべきランサムウェア
ランサムウェアには様々な種類があり、攻撃対象や手口が異なります。その数は数十種類ともいわれています。ここでは、おもなものについて解説します。
CryptoLocker(2013年登場)フィッシングメールで侵入
CryptoLocker(クリプトロッカー)は、自身を添付したフィッシングメールを送りつけ、受信者が添付ファイルをクリックすることで感染し、外部の攻撃者からの遠隔操作で暗号化します。データを復号化するための鍵を入手するために、攻撃者にビットコインなどの方法で身代金を支払うように要求します。CryptoLockerは、身代金を要求するマルウェアというランサムウェアの概念を広く知らしめました。
WannaCry(2017年登場)Windowsの脆弱性を利用して感染拡大
WannaCry(ワナクライ)は、WindowsのSMB(Server Message Block)プロトコルの脆弱性を利用して感染を拡大するワーム型のランサムウェアです。WannaCryに感染するとコンピュータ内のファイルを暗号化し、ビットコインでの身代金支払いを要求しました。1台でもWannaCryに感染するとネットワーク内の他のコンピュータに感染を拡大します。また、クラウド型のファイル共有サービスを経由して感染を広げます。ファイルを復号化するために金銭を要求する脅迫画面が表示されます。
Ryuk(2018年登場)メール、トロイの木馬など複数の経路で侵入
Ryuk(リューク)は、自身を添付したフィッシングメール、トロイの木馬のTrickBotが、Ryukをインストールし、ネットワークに接続されたコンピュータに感染を拡大します。また、Emotetのボットネットとの連携、RDPなどの脆弱性への攻撃など、感染経路は多岐にわたります。Ryukは、システムファイルの暗号化を試みるため、感染するとシステムが不安定になったり、システムがクラッシュしたりする場合があります。感染後に、攻撃者への身代金の支払いと連絡方法が記載されたファイルが表示されます。
MAZE(2019年登場)メール経由で感染
MAZE(メイズ)は、フィッシングメール、既知のセキュリティの脆弱性、悪意のある広告など、様々な手法で感染を拡大させます。MAZEは、コンピュータ内のファイルを暗号化するだけではなく、機密データを盗み出し、窃取したデータの一部を暴露して脅迫をしました。データを暗号化する攻撃と、データを暴露し脅迫する「二重攻撃」を用います。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアの感染経路・手口
ランサムウェアの代表的な感染経路・手口は、以下のとおりです。これらの感染経路・手口を複合的に利用し、感染を拡大させるランサムウェアもあります。
メールの添付ファイルや本文に記載されたURL
ランサムウェアは、取引先からの請求書の送付を装った「なりすましメール」によるフィッシングや、マルウェア添付ファイルや、メールの本文に記載されたURLにアクセスすることで感染します。メールの差出人や件名、本文などをなりすました「標的型攻撃メール」を通じて、メール受信者が添付ファイルやURLを開くよう仕向けます。
ランサムウェアは、取引先からの請求書の送付を装った「なりすましメール」によるフィッシングや、マルウェア添付ファイルを開かせようと試みます。
5400万通のメールを解析したサイバーソリューションズによると、ウイルスが添付されたメールには、人名、請求、写真、注文、賞与などのキーワードが含まれていました。詳細は、「5400万通のメールから見えたサイバー攻撃のトレンド」をご覧ください。
Webサイトからの感染
Webサイトに設置された不正なリンク、偽装されたサイトの閲覧や、不正広告の閲覧によるランサムウェアの自動実行やダウンロードしたファイルのクリックによって感染します。また、フィッシングサイトなどを介して感染させる手口もあります。
VPNや社内ネットワーク経由での感染
ランサムウェアは、感染したコンピュータが接続されている社内ネットワークの他のコンピュータや、VPN機器の脆弱性を狙って感染を試みます。令和5年におけるサイバー空間をめぐる脅威の情勢等について(警察庁、2022年)によると、VPN機器からの侵入が63%と最も高くなっています。
USBメモリや外付けHDDなど外部記憶媒体からの感染
ランサムウェアに感染したUSBメモリや外付けHDDなどの外部記憶媒体をコンピュータに接続することでランサムウェアがインストールされ感染します。大手通販サイトを装い「ランサムウェアの仕込まれたUSB」を送りつけることで感染させる被害が起きています。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェア攻撃の手法・段階
1.初期侵入
攻撃者は、ランサムウェアの感染による情報窃取の目的を達成するために、フィッシングメールを送りつけることでマルウェアやランサムウェアの感染、脆弱性の悪用を通じてネットワークに侵入します。
2.ポストエクスプロイト
ランサムウェアは侵入したコンピュータで自身の権限を昇格させます。また、コンピュータ内に保存されている、ログイン認証情報、顧客や個人情報、業務上重要なデータなどを収集します。また、侵入したコンピュータを遠隔操作するためにバックドアを設置したり、その他のマルウェアを感染させたりします。
3.ネットワークでの感染拡大
盗んだログイン認証情報を使用したり有効なセッションをハイジャックして、ネットワークに接続されている他のコンピュータやシステムに侵入します。侵入した先のシステムやコンピュータでも、重要な情報を盗み出し感染を拡大します。
データの持ち出し
業務上の重要なデータを複製し一箇所に集約した上で攻撃者のサーバにアップロードします。暴露脅迫を行うために、特に秘匿性が高い重要な情報を特定し盗み出します。
4.データの持ち出し
データのアップロードが完了した後に、感染したコンピュータでランサムウェアを実行します。ランサムウェアを確実に実行するために、ランサムウェアを実行する前に、セキュリティ対策ソフトを停止させます。また、グループポリシー機能などを使い、組織内ネットワークにランサムウェアを展開・実行します。
5.ランサムウェアの実行
データのアップロードが完了した後に、感染したコンピュータでランサムウェアを実行します。ランサムウェアを確実に実行するために、事前にセキュリティ対策ソフトを停止させます。また、グループポリシー機能などを使い、組織内ネットワークにランサムウェアを展開・実行します。
ランサムウェアがファイルやシステムを暗号化した上で、対象の端末に身代金要求画面を表示させたり、デバイスを使用できないようにロックしたりします。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェア対策とは
侵入経路別のランサムウェア対策
ランサムウェア対策は、侵入経路に即した複合的な対策が重要です。
|
侵入経路 |
対策 |
| マルウェア添付メール | メールでのマルウェア検知、削除 |
| 脆弱性の悪用 | OSやソフトウェアのアップデート |
| 認証情報の悪用 | MFA保護強化。特権昇格の防止 |
| フィッシング | フィッシングメールの検知、不正なURLの検知、無効化 |
| 総当たり攻撃 | ID、パスワードの定期的な更新、MFAの導入 |
| ダウンロード | 不正なURLへのアクセス制限 |
メール経由のランサムウェア侵入を防ぐ
ランサムウェアは、標的型攻撃メール、なりすましメール、フィッシングメールや、メール本文内の不正なURLのダウンロードを通じて侵入します。受信するメールを検閲し、なりすましやフィッシング、ビジネスメール詐欺ではないかを確認する必要があります。
さらに、添付ファイルにランサムウェアやコンピュータウイルスが含まれていないか、暗号化されたZIPファイルを復号化してチェックした上で、リンク先URLは不正なリンクでないか、未知の脅威が含まれていないかを確認し、脅威を取り除きます。
メール経由でのランサムウェアの侵入を防ぐ復号的なメールセキュリティ対策
詳しくは、クラウド型メールセキュリティの選び方をご覧ください。
データのバックアップを取得する
ランサムウェアによるデータやシステムの暗号化やロックに備えるために、システムやデータのバックアップは欠かせません。バックアップデータが暗号化されるケースも報告されているため、バックアップデータはネットワークから切り離した状態で保存しましょう。また、バックアップデータの復元や復旧の手順の確認も重要です。
OSを最新の状態にアップデートする
OSやソフトウェアを常に最新の状態に保つことは、ランサムウェアから身を守る基本的な対策です。攻撃者はOSやブラウザの脆弱性を狙うため、セキュリティ修正プログラムやアップデートが配布されたら、速やかに適用することが重要です。
ウイルス対策ソフトウェアを導入する
ランサムウェア対策には、ウイルス対策ソフトの導入も効果的です。導入して終わりではなく、導入後も定期的に更新し、常に最新の状態を保つことが大切です。なお、ウイルス対策ソフトは、ランサムウェアだけでなく他の種類のマルウェア対策にも効果があります。
認証機能の管理を強化する
認証機能の強化もランサムウェア対策の重要なポイントです。二段階認証の導入や、IPアドレスによるアクセス制限と組み合わせて、多様な認証方法を積極的に活用しましょう。
アクセス権を最小化する
ランサムウェア対策として、アクセス権の最小化も重要です。ランサムウェア感染時の被害を減らすため、ユーザーの権限やアクセス範囲は必要最低限に絞りましょう。また、端末からアクセスできるネットワークを制限することも有効な対策です。
ファイアウォールで不審な通信を遮断する
ファイアウォールを使って怪しい通信をブロックするのも、ランサムウェア対策の基本です。IDS(侵入検知システム)やIPS(侵入防止システム)を併用することで、不正なアクセスをより効果的に防げます。また、メール送信ドメイン認証を導入すれば、不審なメールも減らせます。
情報セキュリティ対策の周知を徹底する
ランサムウェア対策では、従業員への情報セキュリティ教育の継続的な実施も欠かせません。不審なメールやファイルを開かないなど基本的な対処法を徹底し、最新のセキュリティ情報も社内で共有しましょう。
ID、パスワードを定期的に更新する
攻撃を防ぐため、機器のIDやパスワードは速やかに変更し、定期的に更新しましょう。脆弱性対策と合わせて実施することが重要です。パスワードは10文字以上にし、数字や記号を含め、大文字と小文字を組み合わせましょう。
不正なURLへのアクセスを制限する
不正なURLへのアクセスは厳重に制限しましょう。メールやSNSで届く怪しいリンクを安易にクリックすると、ランサムウェア感染や情報漏洩のリスクが高まります。不審なURLへのアクセスをブロックする対策を導入し、社員にも注意を促すことが重要です。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取る月額200円から導入できるランサムウェアのメール対策
サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円からランサムウェアを含むマルウェアメールの受信防御、なりすましメールやフィッシングメールの受信防御、当社システムによるURLの安全性の確認、サンドボックスを導入できます。
参考資料:3分でわかる「Cloud Mail SECURITYSUITE」
CMSSは、Microsoft 365、Google Workspace にも対応
CMSSは、Microsoft 365やGoogle Workspaceと連携し、ランサムウェア添付メール受信対策、フィッシング、なりすましメールの防止などのメールセキュリティを強化します。
【CMSS導入事例:レオパレス21様】メールセキュリティをワンストップ化
不動産最大手のレオパレス21は、約7,000のメールアカウントをMicrosoft 365に移行していましたが、 メールセキュリティはオンプレミスでの運用が続いていました。
一部の取引先で暗号化添付メールの受信が制限された2021年頃から脱PPAPとメールセキュリティのクラウド化を推進。 オンプレミスで運用していた3社4製品のメールセキュリティをCMSSへ移行し、メールセキュリティをワンストップ化しました。最新の脅威の防御と、メールセキュリティの運用・管理工数を削減できました。
| CMSS 選定のポイント | CMSS 選定の理由 | |
| 1 | 既存セキュリティ対策を踏襲できるか | 従来の対策を踏襲でき暗号化ファイルのクラウドスキャン等、機能が豊富 |
| 2 | 導入・運用コストの妥当性 | 他社よりも低コストで導入でき、運用管理コストを低減 |
| 3 | 脱PPAPの実現 | メールに添付の送信で、相手先に合わせた脱PPAPを実現 |
詳しくは、レオパレス21様の導入事例をご覧ください。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアに感染してしまった時の対処法
ランサムウェアに感染したら、セキュリティソフトによるランサムウェアの除去、バックアップデータから復旧する以外の解決策はありません。
1.ランサムウェアに感染してしまった時の対処法
ランサムウェア感染が判明した場合、はじめにすべき対応は、感染した端末やサーバを速やかにネットワークから切り離すことです。接続した状態の端末を放置すると、他の端末へ感染が広がる可能性があります。
具体的には、有線接続の場合にはLANケーブルを抜き、無線接続はWi-Fiルーターの電源を切ったり、機内モードにしたりして通信を遮断する必要があります。
2.感染したランサムウェアを特定する
ランサムウェアは種類によって対処法が異なるため、種類を特定することが重要です。ウイルス対策ソフトを利用したり、暗号化されたファイルの拡張子などを手がかりにしたりして、種類を調べて特定します。公開されている復号ツールで復旧できる場合がありますが、対応するツールがなければ、初期化をしなければなりません。
3.ランサムウェアを除去する
ランサムウェアを特定できたら、感染状況や侵入経路を確認したうえで駆除作業に移ります。 端末にインストールしてあるウイルス対策ソフトを利用して、危険性の高いファイルは削除・隔離を実行します。場合によっては感染した端末の初期化をするなど、ランサムウェアを完全に除去することが重要です。
4.暗号化データの復号を試す
ランサムウェアによってデータを暗号化されてしまった場合には、データを復旧できる復号ツールを探します。一部のランサムウェアに対しては、警視庁やセキュリティソフトのベンダーが、専門的な知識がなくても利用できる復号ツールを無料で公開しています。 データを復旧できる可能性があるため、対応しているツールがあれば試すことをおすすめします。
※参考:ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について|警視庁
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るランサムウェアを正しく恐れ、適切な対策を導入しましょう
ランサムウェアに感染すると、業務で利用するPCやシステムを使用できないことによる業務停止、身代金の要求に加え高額な復旧費用など甚大な金銭被害が発生します。取引先への影響も大きく、身代金を支払ってもデータを取り戻せる保証はありません。このようなリスクを考慮にいれて、ランサムウェア対策を徹底し感染を防ぎましょう。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取る
