ランサムウェアの感染経路とは?普段からできる対策・万が一の対処法も解説
2023.06.26(月)
- 運用・セキュリティ
パソコンやネットワークに悪影響を与えるマルウェアの一種であるランサムウェア。
感染してしまうと、企業の情報資産が閲覧できなくなるうえ、身代金を要求されるなど企業活動に甚大な被害が発生します。
企業は自社の情報資産を守り、事業に影響が出ることのないよう、このランサムウェアに備えた対策に取り組まなければなりません。
ランサムウェアの対策をするうえで重要なことが感染経路の把握です。感染経路を理解すれば、適切な対策ができます。
本記事では、ランサムウェアの感染経路と対策、万が一の際の対処について解説します。
ランサムウェアとは?
ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた言葉です。ウイルスなどの悪意のあるソフトウェア=マルウェアの一種であり、パソコンやスマートフォンなどに侵入して、勝手にデータの暗号化やデバイスのロックなどが行われます。
データを人質に取られてしまうため、制限解除と引き換えに身代金の要求がされる可能性があります。
企業においてランサムウェアに感染すると、一時的に端末の操作ができなくなったり、データにアクセスできなくなって業務が停止してしまうことも脅威の一つです。
ランサムウェアの種類
ランサムウェアは、大きく分けて「暗号型」と「ロックスクリーン型」の2種類があります。
- 暗号型:ファイルが暗号化され、閲覧できない状況を解除するため身代金が要求される
- ロックスクリーン型:デバイス操作が制限され、解除と引き換えに身代金が要求される
ただし身代金を支払っても、データの暗号化やデバイスのロックが解除されるとは限りません。
身代金の要求に従ったにも関わらず、解除されないばかりか、被害に遭ったデータが勝手にばらまかれてしまう恐れもあります。
万が一ランサムウェアに感染したら、身代金を支払わずに対応することが求められます。
最近の被害事例
徳島県にある病院の事例では、ランサムウェアによるサイバー攻撃を受けて電子カルテや会計など院内システムがロックされました。
2021年10月31日にランサムウェアの被害を受けてから、2022年1月4日までの間、通常診療ができませんでした。
約8万5千人分のデータが暗号化され、非常に大きな被害が出てしまいました。
ランサムウェアに感染した原因はVPN装置のソフトウェアの更新漏れだったとのことです。
ランサムウェアの感染経路
続いて、ランサムウェアの感染経路を紹介します。
- VPN装置
- リモートデスクトップ
- 不審なメール
- 不審なWebサイトの閲覧
- ソフトウェア・ファイルのダウンロード
- USBメモリ・HDD
VPN装置
近年、在宅勤務やテレワークが普及したことで、遠隔からでも社内システムにアクセスできるVPNを導入している企業は多いでしょう。
VPNは外部ネットワークと社内ネットワークの接点であるため、脆弱性を狙った攻撃を受けやすく、ランサムウェアの侵入を許してしまう恐れがあります。
VPN装置の老朽化、システムの更新漏れ、パッチ適用の漏れ・遅れなどによって容易にランサムウェアの感染経路となります。
リモートデスクトップ
リモートデスクトップとは、離れたところにある端末のデスクトップをインターネット経由で手元の端末から遠隔操作できる仕組みです。
リモートデスクトップのID・パスワード情報が盗まれると不正アクセスされ、ランサムウェアに感染する原因となります。
管理者アカウントが乗っ取られた場合には、ログイン情報を変更されたり、ランサムウェアとは別のウイルスをインストールされたりする可能性にも注意が必要です。
また、リモートデスクトップに脆弱性が発見されると、第三者からの攻撃に狙われやすくなり、ランサムウェアの侵入を許すケースもあります。
不審なメール
身に覚えのない不審なメールは、ランサムウェアの感染経路の一つです。メール内の添付ファイル・リンクにランサムウェアが仕込まれている可能性があります。
ビジネスシーンでは、顧客や取引先を装って請求書・見積書・ゴルフコンペ開催などのもっともらしい件名・本文でメールが送られてきます。偽造メールだと気付かずに、ファイルを起動してしまうと一瞬にしてランサムウェアに感染してしまう恐れがあります。
不審なWebサイトの閲覧
インターネット上に公開されているWebサイトがランサムウェアの感染経路になるケースがあります。
正規サイトを装っているサイトの閲覧・不正広告の閲覧・ファイルのダウンロードなどをしてしまうと、ランサムウェアに感染します。
あらかじめ偽造サイトとして用意されている場合、普段よくアクセスする正規サイトが改ざんされている場合など、さまざまな手口があります。
ソフトウェア・ファイルのダウンロード
不審なWebサイト経由で配布されているソフトウェア・ファイルには、ランサムウェアが仕込まれているリスクが存在します。
特に知名度が低い海外サイトや、運営元がわからないサイトは注意が必要です。
不正なものだと気付かずダウンロードすると、利用している端末がランサムウェアに感染します。
USBメモリ・HDD
USBメモリ・HDDなどの外部記録媒体を介したランサムウェア感染経路もあります。
ランサムウェアが仕込まれた外部記録媒体をパソコンに接続したり、保管されているファイルを起動したりすることが原因です。
普段からできるランサムウェア感染の対策
ランサムウェアの侵入・感染を防ぐには適切な対策が欠かせません。
本章では普段からできるランサムウェアの対策を紹介します。
- OS・ソフトウェアを最新の状態に保つ
- 認証情報の適切な管理
- 不審なメールを開かせない
- Webサイト閲覧の制限
- ウイルス対策ソフトの導入
- 外部記録媒体の制限
- 定期的なバックアップ
順番に見ていきましょう。
OS・ソフトウェアを最新の状態に保つ
ランサムウェアは端末やVPN装置などの脆弱性を狙って侵入します。端末やVPN装置などのOS・ソフトウェアは常に最新の状態にすることがランサムウェア対策に効果的です。
また、サポートが終了しているハードウェア・ソフトウェアを使用していると、脆弱性への対応ができないためリスクが高まります。一刻も早くサポートを受けられる製品へのリプレイスを検討しましょう。
認証情報の適切な管理
リモートデスクトップやVPN装置の認証パスワードに脆弱性があると、ランサムウェアに感染するリスクがあります。他者に推測されづらい認証パスワードを設定して管理しましょう。
また、多要素認証の導入も効果的です。複数の認証方法を設定すれば、ID・パスワードのみの認証よりも、ランサムウェアの侵入リスクを低減できます。顔認証や指紋認証、ワンタイムパスワードなどの導入を検討しましょう。
不審なメールを開かせない
普段受信しないようなメールや送信元が定かでないメールを受信しても開かないように周知しましょう。なかには、業務と関係があるように装っている可能性もあるため、少しでも違和感を感じたら「リンクを踏まない」「添付ファイルをダウンロードしない」ことも大切です。
メールやリンクを開かなければランサムウェアに感染するリスクを抑えられます。
また、メールのフィルタリングをかけるのも効果的です。設定しておくと、迷惑メールや不審なメールなどを検知して排除できます。
さらに事前に受信拒否の設定もできるため、受信者の判断に依存しないセキュリティ対策を実施可能です。
Webサイト閲覧の制限
企業側が閲覧できるWebサイトを制限すると、不審なサイトへのアクセスを防止できます。
例えば、Webフィルタリングを導入すると、従業員がインターネット上にあるWebサイトへアクセスする制限ができます。不審なサイトへアクセスできなければ、ランサムウェアを自動で読み込むことはなく、怪しいソフトウェア・ファイルをダウンロードすることもありません。さらに、怪しいWebサイトのリンクを踏まなくなるため、ランサムウェアに感染するリスクを軽減できます。
また、偽造サイトは正規サイトと同様の見た目をしているため、詳細まで確認しなければ見分けが困難です。Webサイトを閲覧する際は、URLを確認すると正規サイトとは異なる部分を発見できます。
メールの受信と同様に、リスクの存在を周知し、社内の危機意識を高めておくことが大切です。
ウイルス対策ソフトの導入
ウイルス対策ソフトを導入すると、ランサムウェアの自動検知・駆除ができます。
どれほど社内の危機意識を高めて人為的なセキュリティ対策を行っても、漏れが発生する可能性があります。ウイルス対策ソフトを活用すれば、セキュリティ担当者の工数を削減しながら、社内全体のセキュリティレベルの向上が可能です。
ランサムウェアの侵入を防止するなら、アンチウイルス機能やスパム対策機能などを搭載したウイルス対策ソフトを導入しましょう。ウイルスの検出・除去ができるため、ランサムウェアの感染対策ができます。
さらに、ウイルス対策ソフトを導入する際はEDRも効果的です。EDRとはEndpoint Protection Platformの略で、組織内のネットワークのエンドポイントからデータを収集し、マルウェアの検出・管理・調査・復旧を効率的にできるソフトウェアです。
ランサムウェアを発見した場合、管理者に通知がされるため、素早い原因究明や復旧対応を実施可能です。そのため、ランサムウェアの被害拡大を防ぐ効果が期待できます。
外部記録媒体の制限
従業員が自分で用意した外部記録媒体の使用を制限しましょう。業務端末での外部記録媒体の使用制限をして、業務で必要な場合は企業が指定した外部記録媒体のみ使用できるようにすると、ランサムウェアに感染するリスクを低下できます。
また、外部記録媒体を用意する際は、信頼できる店舗や取引先などから購入するのも効果的です。正規品を購入すれば、ランサムウェアが仕込まれている可能性をなくせます。
定期的なバックアップ
直接的な対策ではありませんが、定期的なバックアップも効果的です。ランサムウェアに感染すると、データの暗号化がされてしまうため閲覧できません。バックアップデータがあれば、ランサムウェアに感染していないデータを復元させて、業務を継続できる可能性があります。
バックアップを取る際は、バックアップデータの暗号化を防ぐために社内ネットワークから切り離して保管しましょう。データ復元時のみネットワークに接続すれば、業務を継続しやすくなります。
ランサムウェアに感染した場合の対処法
ランサムウェアの感染対策に取り組んでも100%防止できるとは限りません。万が一ランサムウェアに感染した場合の対処法を把握しておくのが重要です。
主な対処法は以下のとおりです。
- 素早く感染した機器を隔離する
- ランサムウェアを特定・除去する
- 復号ツールを使用する
- バックアップからデータを復旧する
それぞれ参考にしてみてください。
素早く感染した機器を隔離する
ランサムウェアの感染を検知した場合、素早くネットワークから隔離しましょう。初動の速さによって社内への影響が変わってきます。
迅速にネットワークから切り離して、被害拡大を最小限に抑えてください。
ランサムウェアを特定・除去する
ネットワークからの隔離が完了したら、セキュリティ対策製品を活用してランサムウェアを特定して除去を進めましょう。
セキュリティ対策製品であれば、端末やネットワークからあらゆるデータを収集しているため、スムーズにランサムウェアの特定が可能です。
復号ツールを使用する
一部のランサムウェアは「No More Ransom」と呼ばれるサイトで複号ツールが公開されています。特定したランサムウェアに適した復号ツールをダウンロードして活用しましょう。
ただし、復号ツールを使用する際はランサムウェアの除去が必要です。ランサムウェアが残っていると、繰り返しシステムをロック・暗号化し続けてしまいます。
復号とは、暗号化やデータ圧縮など何らかの変換処理によって得られた符号列から、元のデータを復元すること。
バックアップからデータを復旧する
ランサムウェアの種類によって復号できない可能性があります。バックアップデータがあると、ランサムウェア感染前の状態にデータを復元可能です。ランサムウェアの影響を受けることなく業務をおこなえます。
まとめ~ランサムウェアを防ぐ具体策はお早めに~
ランサムウェアはマルウェアの一種で、感染するとデータの暗号化やデバイスロックなどの被害が発生します。被害の解消のために、身代金を要求される悪質なケースもあります。企業ネットワークで多く利用されているVPN装置・リモートデスクトップなど、さまざまな感染経路から、ランサムウェアが侵入する恐れがあります。
ランサムウェアを防ぐには適切な対策が必要です。取り返しのつかない事態になる前に、本記事を参考に、感染経路を把握して具体的な対策に取り組んでみてください。
ランサムウェアなど、セキュリティ対策にお悩みの方へ
被害に遭ってしまう前に備えておきたいセキュリティ対策。今や企業の知名度・大小に関わらず、すべての企業・団体が標的とされてしまう危険性があります。被害に遭ってしまった場合、業務が継続不能になり取引先に迷惑をかけたり、機密情報が漏えいするなど、企業の信頼を大きく損なう恐れもあります。
そんな事態になる前に、自社のセキュリティ対策を見直してみませんか?
20年以上ITソリューションを手掛けるグローバルネットコアでは、多彩なセキュリティ対策サービスをラインアップしております。気になるサービスがありましたら、お気軽にお問い合わせください。