ランサムウェアの感染経路とは?普段からできる対策・万が一の対処法も解説
2024.12.16(月)
- 運用・セキュリティ
パソコンやネットワークに悪影響を与えるマルウェアの一種であるランサムウェア。
ランサムウェアに感染してしまうと、企業の情報資産が閲覧できなくなるほか、身代金の要求や機密情報の流出など企業活動に甚大な被害が発生します。
企業は自社の大切なデータを守り、事業に影響が出ることのないよう、このランサムウェアに備えた対策に取り組まなければなりません。
ランサムウェアの対策をするうえで重要なことが感染経路の把握です。感染経路を理解すれば、適切な対策ができます。
本記事では、ランサムウェアの感染経路と対策、万が一の際の対処について解説します。
ランサムウェアとは?
ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた言葉です。ウイルスなどの悪意のあるソフトウェア(マルウェア)の一種であり、パソコンやスマートフォンなどに侵入して、勝手にデータの暗号化やデバイスのロックなどが行われます。
データを人質に取られてしまうため、制限解除と引き換えに身代金の要求がされる可能性があります。
企業においてランサムウェアに感染すると、一時的に端末の操作ができなくなったり、データにアクセスできなくなって業務が停止してしまうことも脅威の一つです。
ランサムウェアの種類
ランサムウェアは、大きく分けて「暗号型」と「ロックスクリーン型」の2種類があります。
- 暗号型:ファイルが暗号化され、ユーザーアクセスできない状態にする。暗号化を解除(復号)するため、攻撃者から身代金が要求される
- ロックスクリーン型:ファイルの暗号化は行われないがデバイス操作が制限され、解除と引き換えに攻撃者から身代金が要求される
ただし身代金を支払っても、データの暗号化やデバイスのロックが解除されるとは限りません。
身代金の要求に従ったにも関わらず、解除されないばかりか、被害に遭ったデータが勝手にばらまかれてしまう恐れもあります。
また、近年では暗号化を行わずにデータを窃取し、そのデータを公開するという脅迫と引き換えに身代金を要求する「ノーウェアランサム」も登場しています。
万が一ランサムウェアに感染したら、身代金を支払わずに対応することが求められます。
最近の被害事例
2024年6月 日本の大手メディア・出版企業の事例
企業内で利用している複数のサーバーが、ランサムウェアによるサイバー攻撃を受けました。
インターネット上で運営しているサービスやWebサイト、社内システムなどが停止に追い込まれたほか、約25万4千人分の個人情報が漏えいしました。
主力の動画配信サイト事業・出版事業が約2か月間停止するという非常に深刻な被害となりました。
このサイバー攻撃による事業停止の影響で、企業は2025年3月期に24億円の特別損失を計上する見通しです。(2024年11月現在)
ランサムウェアに感染した原因は2024年8月時点では特定できていないものの、従業員のアカウント情報がフィッシング攻撃で盗まれたことが根本原因ではないかと発表されています。
2022年10月 国立大学の事例
国立大学で運営している情報システムのアカウントを管理するサーバーが第三者による不正アクセスを受け、ランサムウェアに感染しました。
サーバーのプログラムの一部や作業ファイルが暗号化されたほか、学生や教職員の個人情報が約4万件漏えいしました。
2022年8月に実施したファイアウォールの設定変更のミスにより、外部からもサーバーへのアクセスが可能な状態となっていたことが主な原因とみられています。
不正アクセスを受けたサーバーの再構築は2022年12月に完了し、被害の発覚から復旧までに約2か月を要しました。
2021年10月 徳島県にある病院の事例
徳島県にある病院の事例では、ランサムウェアによるサイバー攻撃を受けて電子カルテや会計など院内システムがロックされました。
2021年10月31日にランサムウェアの被害を受けてから、2022年1月4日までの間、通常診療ができませんでした。
約8万5千人分のデータが暗号化され、非常に大きな被害が出てしまいました。
ランサムウェアに感染した原因はVPN装置のソフトウェアの更新漏れだったとのことです。
ランサムウェアの感染経路
続いて、ランサムウェアの感染経路を紹介します。
- VPN装置
- リモートデスクトップ
- 不審なメール
- 不審なWebサイトの閲覧
- ソフトウェア・ファイルのダウンロード
- USBメモリ・HDD
VPN装置
近年、在宅勤務やテレワークが普及したことで、遠隔でも社内システムにアクセスできるVPNを導入している企業は多いでしょう。
VPNは外部ネットワークと社内ネットワークの接点であるため、脆弱性を狙った攻撃を受けやすく、ランサムウェアの侵入を許してしまう恐れがあります。
VPN装置の老朽化やシステムの更新漏れ、パッチ適用の漏れ・遅れなどによって容易にランサムウェアの感染経路となってしまいます。
リモートデスクトップ
リモートデスクトップとは、離れたところにある端末のデスクトップをインターネット経由で手元の端末から遠隔操作できる仕組みです。
リモートデスクトップのID・パスワード情報が盗まれると不正アクセスされ、ランサムウェアに感染する原因となります。
管理者アカウントが乗っ取られた場合には、ログイン情報を変更されたり、ランサムウェアとは別のウイルスをインストールされたりする可能性にも注意が必要です。
また、リモートデスクトップに脆弱性が発見されると、第三者からの攻撃に狙われやすくなり、ランサムウェアの侵入を許すケースもあります。
不審なメール
身に覚えのない不審なメールは、ランサムウェアの感染経路の一つです。メール内の添付ファイルやリンクにランサムウェアが仕込まれている可能性があります。
ビジネスシーンでは、顧客や取引先を装って請求書・見積書・ゴルフコンペ開催などのもっともらしい件名・本文で不審なメールが送られてくることがあります。
偽造メールだと気付かずに添付ファイルを展開したり、本文中のリンクをクリックしたりしてしまうと一瞬にしてランサムウェアに感染してしまう恐れがあります。
不審なWebサイトの閲覧
インターネット上に公開されているWebサイトがランサムウェアの感染経路になるケースがあります。
正規サイトを装っている悪質なWebサイトの閲覧や、Webサイトに設置されている不審な広告のクリックなどをしてしまうと、ランサムウェアに感染します。
あらかじめ偽造サイトとして作られている場合や、普段よくアクセスする正規サイトが改ざんされている場合など、さまざまな手口があります。
ソフトウェア・ファイルのダウンロード
不審なWebサイト経由で配布されているソフトウェア・ファイルには、ランサムウェアが仕込まれているリスクが存在します。
特に知名度が低い海外サイトや、運営元がわからないサイトからダウンロードしたデータには注意が必要です。
不正なものだと気付かずダウンロードすると、利用している端末がランサムウェアに感染します。
USBメモリ・HDD
USBメモリ・HDDなどの外部記録媒体がランサムウェアの感染経路となるケースもあります。
ランサムウェアが仕込まれた外部記録媒体をパソコンに接続したり、保管されているファイルを起動したりすることが原因です。
近年のおもなランサムウェアの感染経路
これまで、ランサムウェアの主な感染経路は不審なメールによるものが多数を占めていました。
ですが、警視庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年にランサムウェアによる被害を受けた企業・団体等の感染経路を調査したところ、VPN機器からの侵入が63%、リモートデスクトップからの侵入が18%という結果が出ています。
また、テレワークに利用される機器等の脆弱性や強度の弱い認証情報等を利用して侵入したと考えられるものが全体の約8割を占めています。
このことから、パッチの適用や強固なパスワードの設定・二要素認証などの導入がランサムウェア対策に有効といえます。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
普段からできるランサムウェア感染の対策
ランサムウェアの侵入・感染を防ぐには適切な対策が欠かせません。
本章では普段からできるランサムウェアの対策を紹介します。
- OS・ソフトウェアを最新の状態に保つ
- 認証情報の適切な管理・設定
- 不審なメールを開かない
- Webサイト閲覧の制限
- ランサムウェアに対応したウイルス対策ソフトの導入
- 外部記録媒体の利用制限
- 定期的なバックアップ
順番に見ていきましょう。
OS・ソフトウェアを最新の状態に保つ
ランサムウェアは端末やVPN装置などの脆弱性を狙って侵入します。端末やVPN装置などのOS・ソフトウェアは常に最新の状態にすることがランサムウェア対策に効果的です。
また、サポートが終了しているハードウェア・ソフトウェアを使用していると、脆弱性への対応ができないためリスクが高まります。一刻も早くサポートを受けられる製品へのリプレイスを検討しましょう。
認証情報の適切な管理・設定
リモートデスクトップやVPN装置の認証パスワードに脆弱性があると、ランサムウェアに感染するリスクがあります。他者に推測されづらい認証パスワードを設定して管理しましょう。
また、多要素認証の導入も効果的です。複数の認証方法を設定すれば、ID・パスワードのみの認証よりも、ランサムウェアの侵入リスクを低減できます。顔認証や指紋認証、ワンタイムパスワードなどの導入を検討しましょう。
不審なメールを開かない
企業において、内容に違和感のあるメールや送信元が定かでないメールを受信した場合は開封しないよう、従業員への周知を徹底しましょう。なかには、業務と関係があるように装っている可能性もありますが、少しでも怪しいと感じたメールは「開かない」「リンクを踏まない」「添付ファイルをダウンロードしない」ことが大切です。
これらの対策を行うことによって、ランサムウェアに感染するリスクを抑えられます。
また、メールセキュリティソフトによってフィルタリングをかけるのも効果的です。フィルタリングを設定しておくと、迷惑メールや不審なメールなどを検知して排除できます。
さらに事前に受信拒否の設定もできるため、受信者(従業員)の判断に依存しないセキュリティ対策を実施可能です。
Webサイト閲覧の制限
企業内でWebサイトの閲覧制限を設定するサービスを導入すると、不審なサイトへのアクセスを防止できます。
例えば、Webフィルタリングを導入すると、インターネット上にある危険なWebサイトへのアクセスを制限できます。ランサムウェアを自動で読み込んだり、怪しいソフトウェア・ファイルをダウンロードしてしまう可能性を減らすことができます。
また、偽造サイトは一見すると正規サイトと同様の見た目をしているため、詳細まで確認しなければ見分けることが困難です。ただし、URLが不自然な構造になっている・読み込み速度が遅いなど、偽装サイトと判別できるポイントも存在しています。
不審なメールの取り扱いと同様に、リスクの存在や対処方法を周知し、社内の危機意識を高めておくことが大切です。
ランサムウェアに対応したウイルス対策ソフトの導入
ウイルス対策ソフトを導入すると、ランサムウェアの自動検知・駆除ができます。
どれほど社内の危機意識を高めて人為的なセキュリティ対策を行っても、漏れが発生する可能性があります。ウイルス対策ソフトを活用すれば、セキュリティ担当者の工数を削減しながら、社内全体のサイバーセキュリティレベルの向上が可能です。
ランサムウェアの侵入を防止するには、従来のアンチウイルス機能だけでなく、振る舞い検知機能を搭載したセキュリティソリューションの導入が効果的です。振る舞い検知は、既知のパターンだけでなく、プログラムの動作やシステムへの影響をリアルタイムで監視し、悪意のある挙動を検知します。
これにより、未知のランサムウェアやゼロデイ攻撃に対しても対応可能です。
さらに、ウイルス対策ソフトを導入する際はEDRも効果的です。EDRとはEndpoint Protection Platformの略で、組織内のネットワークのエンドポイントからデータを収集し、マルウェアの検出・管理・調査・復旧を効率的にできるソフトウェアです。
EDRによってランサムウェアを発見した場合はネットワーク管理者に通知されるため、素早い原因究明や復旧対応を実施可能です。そのため、組織内におけるランサムウェアの被害拡大を防ぐ効果が期待できます。
外部記録媒体の利用制限
企業において、従業員の私物のUSBメモリやHDDなど、外部記録媒体の持ち込み・使用は制限しましょう。業務で必要な場合はあらかじめ企業が用意した外部記録媒体のみ使用できるようにすると、ランサムウェアに感染するリスクを低下できます。
また、外部記録媒体を用意する際は、信頼できる店舗や取引先などから購入するのも効果的です。正規品を購入すれば、ランサムウェアが仕込まれている可能性をなくせます。
定期的なバックアップ
直接的な対策ではありませんが、ランサムウェアの被害に備えて定期的にデータバックアップを取るようにしましょう。
ランサムウェアに感染すると、データが暗号化されてしまうため閲覧や操作ができなくなり、万が一復旧できない場合もあります。バックアップデータがあれば、ランサムウェアに感染していないデータを復元させて、早期に業務を継続できる可能性があります。
バックアップを取る際は、以下のポイントを抑えて行いましょう。
バージョン管理と長期保存を行う
ランサムウェアは感染してすぐ攻撃を始めるのではなく、一定の潜伏期間が存在していると言われています。長いもので数カ月にわたるものがあるなど、数週間分のバックアップデータだけでは復旧が難しいこともあります。
ランサムウェアの潜伏期間を考慮し、複数のバックアップバージョンを保持し、古いデータも一定期間保存しておくことが重要です。
クラウドバックアップの活用
バックアップを取る際は、バックアップデータの暗号化を防ぐために社内ネットワークから切り離して保管するのが望ましいと言えます。
磁気テープや外付けストレージなどに保管する方法もありますが、クラウドサーバーを利用するとより便利で安全にバックアップデータを保管することが可能です。
クラウドサーバーはオフィスから地理的・物理的に切り離された環境でデータ保管ができるほか、複数リージョンでバックアップを取ってデータの安全性を高めることも可能です。ランサムウェアだけでなく、災害などを想定した事業継続計画(BCP)対策も実現できます。
ランサムウェアに感染した場合の対処法
ランサムウェアの感染対策に取り組んでも100%防止できるとは限りません。万が一ランサムウェアに感染した場合の対処法を把握しておくのが重要です。
主な対処法は以下のとおりです。
- 感染した機器をネットワークからすぐに遮断する
- 感染した機器の電源を切らない
- ランサムウェアを特定・駆除する
- 復号ツールを使用する
- バックアップからデータを復旧する
- 専門家に相談する
それぞれ参考にしてみてください。
感染した機器をネットワークからすぐに遮断する
ランサムウェアの感染を検知した場合、感染した機器を素早くネットワークから切断して、他の端末へ感染が拡大しないようにしましょう。初動の速さによって社内への影響が変わってきます。
LANケーブルで接続している場合はケーブルを抜く、Wi-Fiで接続している場合はWi-Fi接続をオフにするなどして、迅速にネットワークから切り離して被害拡大を最小限に抑えてください。
感染した機器の電源を切らない
ランサムウェアに感染した後も、感染した機器の電源は入れたままにしておきましょう。
シャットダウン・再起動を行うことでデータの復旧が難しくなったり、原因の特定が難しくなったりするケースがあります。
ランサムウェアを特定・駆除する
ネットワークからの隔離が完了したら、ウイルス対策ソフトなどのセキュリティ対策製品を活用しランサムウェアを特定して駆除を進めましょう。
セキュリティ対策製品であれば、端末やネットワークからあらゆるデータを収集しているため、スムーズにランサムウェアの特定が可能です。
復号ツールを使用する
一部のランサムウェアは「No More Ransom」と呼ばれるサイトで複号ツールが公開されています。特定したランサムウェアに適した復号ツールをダウンロードして活用しましょう。
ただし、復号ツールを使用する際はランサムウェアが駆除されていることが必要です。ランサムウェアが残っていると、繰り返しシステムをロック・暗号化し続けてしまいます。
復号とは、暗号化やデータ圧縮など何らかの変換処理によって得られた符号列から、元のデータを復元すること。
バックアップからデータを復旧する
ランサムウェアの種類によっては、復号ツールが開発・公開されておらず、暗号化されたデータを復号できない可能性があります。
バックアップデータがあると、ランサムウェア感染前の状態にデータを復元可能です。万が一ランサムウェアに感染しても、業務を迅速に復旧できます。
さらに業務への影響を軽減するためには、復旧手順の明確化と日頃からの訓練を行うとよいでしょう。事前に手順を策定し、定期的に復元作業をシミュレーションすることで、感染時の対応をスムーズに進めることができます。
専門家に相談する
ランサムウェアによる被害を根本的に解決するには、社内の情報システム担当者や外部のITセキュリティの専門家に相談しましょう。被害状況の調査や原因の特定、復旧手順など専門知識によって適切にサポートしてくれます。
影響が深刻な場合は、警察のサイバー犯罪対策の相談窓口に通報してください。
まとめ~ランサムウェアを防ぐ具体策はお早めに~
ランサムウェアはマルウェアの一種で、感染するとデータの暗号化やデバイスロック、データの流出などの被害が発生します。被害の解消のために、身代金を要求されることもあります。
近年では、企業で多く利用されているVPN装置やリモートデスクトップなど、ネットワークの脆弱性を狙ってランサムウェアが侵入するケースが増えています。
ランサムウェアを防ぐには適切な対策が必要です。取り返しのつかない事態になる前に、本記事を参考に、感染経路を把握して具体的な対策に取り組んでみてください。
ランサムウェアなど、セキュリティ対策にお悩みの方へ
被害に遭ってしまう前に備えておきたいセキュリティ対策。今や企業の知名度・大小に関わらず、すべての企業・団体が標的とされてしまう危険性があります。被害に遭ってしまった場合、業務が継続不能になり取引先に迷惑をかけたり、機密情報が漏えいするなど、企業の信頼を大きく損なう恐れもあります。
そんな事態になる前に、自社のセキュリティ対策を見直してみませんか?
20年以上ITソリューションを手掛けるグローバルネットコアでは、多彩なセキュリティ対策サービスをラインアップしております。気になるサービスがありましたら、お気軽にお問い合わせください。
