ランサムウェアとは

ランサムウェアとは、身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」の組み合わせから作られた造語であり、攻撃先のデバイスに侵入してそのデバイス内のファイルを不正に暗号化し、そのファイルの復号と引き換えに身代金として金銭を要求するマルウェアである。

ランサムウェアは当初、主に一般ユーザーをターゲットとしていたものの、2017年のWannaCryの蔓延などを契機に、企業・組織が狙われることが増えている。IPAが発表している「組織に対する情報セキュリティ10大脅威」にも毎年ランクインしており、2023年も前年に引き続き、1位が「ランサムウェアによる被害」となっている。

ランサムウェアの凶悪化

ランサムウェアは毎年のように新種が登場しており、より凶悪で巧妙なものへと進化している。当初は、データを暗号化して身代金を要求するのみであったが、近年は暗号化と同時にデータも外部に盗み出し、身代金を支払わなければ、盗み出したデータを一般公開するという二重の脅迫を行う「ダブルエクストーション」や、身代金を支払わない場合、さらにDDoS攻撃を仕掛けると脅す、三重脅迫型のランサムウェアも登場するなど、手口は悪質化する一方となっている。

「NO MORE RANSOM!」ますます凶悪化するランサムウェアにどう対抗すべきか？

ランサムウェアの業種別被害事例

企業の業種を問わずランサムウェアの被害は頻発している。以下に代表的な事例を業種別に紹介する。

製造業における事例

近年、最も多くランサムウェアのターゲットとなっている業種が製造業である。工場のデジタル化などに伴い、侵入する「隙」が多数生じているためとみられている。なお、製造業の場合、ランサムウェアに感染するとサプライチェーンにも影響が波及することになる。攻撃者視点で見れば、その影響範囲が広いことも攻撃のターゲットとして狙われる要因の1つとして考えられる。

１）国内大手自動車会社へのランサムウェア攻撃
2020年6月には国内の大手自動車会社がランサムウェアに感染。その結果、海外の9工場で生産が一時停止、国内の3工場でも出荷を一時停止する事態となった。加えて、事務系社員のパソコンも使えなくなるといった被害も生じた。

２）建設機材製造会社へのランサムウェア攻撃
2022年12月、仮設機材の設計・製造などを行う会社のベトナムにある拠点が攻撃され、ランサムウェアに感染。顧客情報や従業員情報が暗号化され、盗み出された可能性があることが翌年1月に発表された。

医療機関における事例

国内の医療機関もランサムウェアの攻撃ターゲットとなるケースが少なくない。というのも、医療機関は人命に関わるという特性から、より緊急度が高まるため、高額の身代金が早期に入手できると攻撃者が期待することも要因の1つと考えられる。

３）町立病院へのランサムウェア攻撃
2021年10月、ある町立病院の院内システムがLockbit2.0と呼ばれるランサムウェアに感染。その結果、電子カルテが閲覧できなくなるなど、2ヶ月超もの間、診療に影響を及ぼした。

４）総合医療センターへのランサムウェア攻撃
2022年10月、ある総合医療センターがPhobosの亜種とされるランサムウェア「Elbie」に感染。原因は、給食事業者のネットワーク内に設置されていたファイアウォールが抱えていた脆弱性だった。RDPを経由して侵入し、院内ネットワークにて感染が拡大することとなった。完全復旧まで2ヶ月超の期間を要し、被害総額は調査・復旧費用で数億円以上、診療制限に伴う逸失利益は十数億円とみられる。

エンタメ業における事例

多くの顧客を抱える、エンタメサービスを事業展開する会社もランサムウェア攻撃に遭遇するケースがある。その理由は、保有する顧客リストが流出した場合、影響範囲が大きくなる傾向にあるためだ。また、ゲームの開発では、開発工程におけるサプライチェーンが確立していることも多く、そうした特性もランサムウェア攻撃に狙われる要因となっている。

５）国内大手ゲーム会社へのランサムウェア攻撃
2020年11月、大手ゲーム会社がRagnar Lockerを名乗るグループに攻撃された。その結果、顧客や株主情報など15,649件の個人情報が盗まれ、さらに二重の脅迫を受けるに至った。しかし、この大手ゲーム会社はその要求を拒否したとされる。

食品製造業における事例

６）国内大手製粉会社へのランサムウェア攻撃
2021年7月、国内大手製粉会社がランサムウェアに感染。社内のほぼすべてのシステムに被害が及んだ。その結果、財務会計システムは別環境での再構築を強いられる事態となり、決算報告書の提出を約3ヶ月延期するなど、大きな被害を受けた。

インフラ・設備業における事例

７）港湾管理会社へのランサムウェア攻撃
2023年7月、中部地方の港湾管理会社がランサムウェア攻撃を受けた。ターミナルを管理するシステムが完全復旧するまでの間、2日半にわたって、港内すべてのコンテナターミナルが作業停止するといった損害を被った。

ランサムウェアとは？過去の事例から求められるセキュリティ対策とは？

ランサムウェアから企業を守るには

国内では国策的なDXの推進などもあり、デジタルの活用は企業活動においてより重要性を増している。そうした動きの裏では、ここまで見てきたように、さまざまな業種においてランサムウェアによる被害が確認されている。そこで、ランサムウェアから企業を守るために、ユーザー側の対策と企業側が行うべき対策を紹介する。

ユーザー側でできる対策は以下のとおりだ。

不審なWebサイトからファイルをダウンロードしない

ランサムウェア攻撃はファイルに潜伏するマルウェアに感染することで、ネットワークを経由して広がっていく。そのため、不審なファイルをダウンロードしないことが重要だ。

不審なリンクをクリックしない

スパムメールに記載されたリンク、あるいは信頼できないサイトに含まれるリンクは、決してクリックしないこと。昨今、国内向けにも非常に巧妙な内容のメールが送り付けられている。そうしたメールを開封する必要がある場合、まずは関連するキーワードで検索するなどして情報収集を行うこと。そして、公式サイトなどで何かしらのお知らせが発表されているかどうかも確認するようにしたい。

信頼できない送信元からのメール添付ファイルを開かない

先述のリンク同様に、不審なメールに添付されたファイルも開封しないこと。うっかり開いてしまい、ランサムウェアの感染に至るケースもあるため注意が必要だ。

セキュリティソフトの導入

ランサムウェアに限らず、マルウェア全般への対策としてセキュリティソフトの導入は有効だ。また、先述のような不審なリンクを万一クリックした場合でも、リンク先がすでにブラックリストに登録されているWebサイトなどへのアクセスは、セキュリティソフトが強制的に遮断してくれる。加えて、付随するパーソナルファイアウォールなどの機能を有効化しておくことで、ネットワークも適切に保護される。

OSやアプリケーションを最新バージョンに更新する

セキュリティ対策の基本であるが、OSやアプリケーションを常に最新バージョンに更新すること。昨今、ソフトウェアベンダーは脆弱性が発覚次第、速やかに修正パッチを配付するようになってきている。こうした対応を行うことで、既知の脆弱性を解消することができる。

次に、企業側で行うべき対策として、以下のようなソリューション導入などが挙げられる。

エンドポイントセキュリティの導入

ランサムウェアからの被害を防ぐには、エンドポイントを構成するデバイスを適切に保護することが重要だ。例えば、「ESET PROTECT Advanced クラウド」はクラウドサンドボックスにより、ランサムウェアだけでなくゼロデイ脆弱性といった脅威に対する保護が強化される。

定期的なバックアップ

ランサムウェアによってデータが暗号化された場合に備えて、定期的なバックアップも欠かせない。ただし、同一ネットワーク上にバックアップしておくと、バックアップデータも併せて暗号化される恐れがある。そのため、バックアップはクラウドなど別ネットワークに行っておくことも重要だ。

ただし、二重脅迫型ランサムウェアや三重脅迫型ランサムウェアでは、盗み出されたデータが公開されてしまう可能性がある。その場合、バックアップは速やかな復旧には貢献するものの、データの公開が防げるわけではないということを改めて認識しておきたい。

MDRなどの侵入を前提とした対策を行う

攻撃者による侵入を水際で100％阻止することは難しいため、通信の状況を常時監視することが求められる。具体的には、セキュリティベンダーによる、24時間365日体制でセキュリティ監視を行うMDR（Managed Detection and Response）のような、攻撃者による侵入を前提とした対策を行うことが重要になる。万一、侵入された場合でも早期に検知・対処することでエンドポイントへの感染拡大を防ぎ、感染したとしても被害を最小限に食い止めることができる。

また、上記のような対策に加えて、従業員の情報セキュリティに関するリテラシーを高めておくことも重要だ。攻撃者の手口を把握すること、そして攻撃者は絶えず攻撃の機会をうかがっているといった状況を認識して業務に臨むことで、被害遭遇の危険性を低減できる。攻撃者による魔の手は身近なところに潜んでいるという意識を持って業務に取り組むことが求められている。

進化するランサムウェアの手口、被害を防ぐためにしておきたい7つのこと