ランサムウェアとは

ランサムウェアとは身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語です。

ランサムウェアの仕組み

ランサムウェアは、コンピュータやスマートフォンなどの端末に侵入し、内部に保存されているファイルを無断で暗号化します。その結果、ユーザーは大切なデータにアクセスできなくなり、復元のために身代金の支払いを要求されます。画面には、暗号化されたファイルの復号方法や、支払い期限、連絡先などのメッセージが表示され、支払いを強要するのが一般的な手口です。

ランサムウェアの被害

2017年に世界中に大きな被害をもたらした「WannaCry」は、ランサムウェア攻撃の代表例です。この攻撃により、多くの企業や医療機関が業務停止に追い込まれ、実際に工場の操業停止や医療機関での診療不能といった事態が発生しました。

一方国内では、警視庁サイバー警察局サイバー企画課の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」（2024年3月14日）によると、ランサムウェアの被害の報告件数は、令和4年上半期以降、それ以前と比較して高い水準で推移しています。ランサムウェア被害の企業・団体などの規模別報告件数では半数以上を中小企業が占め、対策が遅れている中小企業への攻撃が今後も拡大することが予測されます。被害総額は数千万円から数十億円と甚大な被害を及ぼすこともあります。実際、何らかの対策を講じていても、「攻撃があった際に検知できなかった」「バックアップが戻せなかった」「復旧に膨大な時間と費用がかかった」などの企業も多くみられます。

一方、サイバー攻撃のような未発の事柄に対してコストをかけることに消極的な企業も多く、IT投資を検討する際に、セキュリティ対策は二の次にされやすい傾向があります。万全なセキュリティ対策には高度な技術力と継続的な対応が必要で、初期費用だけでなく維持費用が大きな課題となることも一因です。最近では大手出版社が標的にされる事件が話題になりました。手口は、データが暗号化され、盗んだ機密データをダークウェブで公開し、金銭を要求するというものでした。一度ランサムウェア攻撃を受けると復旧までの業務停止、企業の信頼性の低下、株価の下落など多方面に影響が出る恐れがあります。

感染経路と攻撃手口

ランサムウェア攻撃の手口は、時代とともに進化しており、攻撃者はさまざまな手法を駆使して被害を拡大させています。

主な感染経路

• 不審なメールや添付ファイル
  多くのランサムウェアは、フィッシングメールや偽装された添付ファイル、リンクを通じて拡散されます。取引先や身近な人物を装い、注意を引く文面で送られてくるメールは、受信者が不用意にファイルを開く原因となります。
• ネットワークインフラの脆弱性
  テレワークの普及に伴い、VPN（Virtual Private Network）機器やその他のネットワーク機器の脆弱性を狙った攻撃が増えています。適切なセキュリティ対策が施されていない環境では、攻撃者が外部から侵入し、内部ネットワークに拡散するリスクが高まります。

進化する攻撃手口

• 従来型：単なる暗号化と身代金要求
  初期のランサムウェアは、感染後にファイルを暗号化し、その解除のために金銭を要求するシンプルな手法でした。しかし、支払いを行っても復号が保証されないため、被害は甚大です。
• 二重恐喝（ダブルエクストーション）
  現在主流となっている手法は、データを暗号化するだけでなく、あらかじめネットワーク内から機密情報を窃取しておき、「身代金を支払わなければこのデータを公開する」と脅迫するものです。これにより、企業は単にファイルの復号だけでなく、情報漏洩のリスクにも直面することとなります。
• ノーウェアランサム
  暗号化を行わず、データ窃取のみにより金銭を要求する手口も見受けられます。これらは、システムの通常運用に大きな影響を及ぼさないように見える一方で、機密情報の漏洩という重大なリスクを内包しています。

企業・組織で実施すべき被害防止対策

ランサムウェア被害を防ぐためには、個々の社員の注意だけでなく、企業全体での体制強化が求められます。ここでは、対策を「個々の社員ができる対策」と「企業・団体全体での対策」に分けて解説します。

個人での対策

• 不審なメールの添付ファイルや信頼できないウェブサイトを開かない
  フィッシングメールや不明な送信者からの添付ファイル、リンクは絶対に開かないようにしましょう。特に、長期休暇明けなどメールが溜まりやすい時期は注意が必要です。
• 管理者の許可を得ていないソフトウェアをインストールしない
  安易にインターネット上の無料ソフトやツールを導入すると、裏で不正なプログラムが混入している可能性があります。インストールは必ず社内のシステム管理者の許可を得るようにしましょう。
• パスワードを適切に設定・管理し、定期的に変更する
  パスワードは最低でも10文字以上とし、数字、記号、大文字・小文字を組み合わせた強固なものに設定します。また、各サービスごとに異なるパスワードを使い回さないように心掛けることが重要です。
• セキュリティ教育を定期的に受け、セキュリティリテラシーを高める
  ランサムウェアをはじめとするサイバー攻撃は、手口が日々巧妙化しています。最新の攻撃事例や対策情報をもとに、定期的なセキュリティ研修を受けることで、個々のリテラシー向上を図りましょう。

企業や団体としての対策

• OSやソフトウェアを最新の状態にする
  使用しているシステムのパッチやアップデートを迅速に適用することで、既知の脆弱性を解消し、攻撃の足掛かりを断つことができます。アップデートの管理を怠ると、古いソフトウェアが攻撃の対象となりかねません。
• セキュリティ対策ソフトを導入する
  最新のウイルス対策ソフトやエンドポイント検出・対応（EDR）システムを導入し、常に最新状態に保つことで、未知の脅威にも一定の防御策が期待できます。
• 2段階認証などの認証機能を強化する
  単一のパスワードだけではなく、二要素認証（2FA）などの多層的な認証手段を採用することで、不正アクセスのリスクを大幅に低減できます。
• ファイアウォールなどを設定して不審な通信をブロックする
  不審な外部通信を遮断するため、ファイアウォールの適切な設定や、侵入検知システム（IDS）・侵入防御システム（IPS）の導入を推進しましょう。これにより、攻撃の兆候を早期に察知し、迅速な対応が可能となります。
• データの定期的なバックアップを行い、バックアップはネットワークから切り離して保管する
  万が一ランサムウェアに感染しても、最新のバックアップデータがあれば迅速な復旧が可能です。ただし、バックアップ媒体がネットワークに常時接続されていると、同時に暗号化されてしまう恐れがあるため、定期的にネットワークから切り離して管理します。
• アクセス権などの権限を必要最低限にする
  各ユーザーや端末に割り当てる権限は、必要最小限にとどめることで、万が一の感染時に被害の範囲を限定できます。また、ネットワークを細かく区分し、セグメントごとに管理することで、感染拡大のリスクを低減させます。
• ネットワークを監視する
  ネットワーク内で不審な通信や挙動があった場合、早期に検知できる仕組みを整えることで、感染の拡大や外部からの侵入を迅速に食い止めることが可能となります。
• 定期的にセキュリティ教育を行う
  最新の攻撃事例や対策情報をもとに、定期的に教育内容をアップデートし、社員個々のリテラシー向上を図りましょう。

被害に遭ったときの対応策

万が一、ランサムウェアの被害に遭遇した場合、迅速かつ的確な初動対応が被害の拡大防止に直結します。ここでは、感染発覚時に行うべき具体的な手順を解説します。

初動対応のポイント

• 感染端末のネットワークからの隔離
  ランサムウェアはネットワークに接続された他の端末にも感染を広げる可能性が高いため、感染が確認された端末は速やかにネットワークから切断します。有線接続の場合はLANケーブルを抜き、無線接続の場合は機内モードに切り替えるか、Wi-Fiルータの電源を一時的にオフにするなどの対策を講じます。
• 感染端末の電源は切らない
  感染端末の電源を急いで切ると、復旧に必要なログや証拠が失われる恐れがあります。まずは、電源を入れたまま、必要な情報を収集しつつ、専門家の指示を仰ぐことが重要です。
• 組織全体での状況把握と連絡網の活用
  感染が確認された場合、関係部署や支店、取引先にも速やかに情報を共有し、被害拡大防止のための対応を協議します。特に、システム管理部門やセキュリティ担当部門との連携が不可欠です。

警察および専門機関への通報

• 警察への連絡
  ランサムウェア被害はサイバー犯罪に該当するため、速やかに最寄りの警察署やサイバー犯罪専用のオンライン受付窓口へ通報しましょう。警察は被害の実態を把握し、必要な捜査や支援を行います。
• 専門機関との連携
  情報処理推進機構（IPA）や日本サイバー犯罪対策センター（JC3）などの専門機関、またはセキュリティベンダーに相談し、被害拡大防止や復旧作業のアドバイスを受けることも有効です。

警察と「No More Ransom」プロジェクトの役割

ランサムウェア被害の抑止に向けた取り組みとして、国や国際的なプロジェクトの活動が注目されています。

警察の取り組み

警察は、ランサムウェアを含むサイバー犯罪の実態を解明し、被害拡大を防ぐためにさまざまな対策を講じています。被害が発生した場合、警察は速やかに捜査を開始し、加害者の特定と証拠収集を行うとともに、被害企業へのアドバイスや支援を提供しています。また、企業や市民からの情報提供を基に、さらなる犯罪抑止策の強化が図られています。

「No More Ransom」プロジェクト

「No More Ransom」プロジェクトは、国際的な協力のもとで展開される取り組みで、ランサムウェア被害の低減を目的としています。

• 無料の復号ツールの提供
  一部のランサムウェアに対しては、同プロジェクトのウェブサイトで復号ツールが公開されており、感染した場合にデータ復旧の可能性があるとされています。
• 情報共有と対策支援
  ランサムウェアの最新情報や攻撃手口、対策方法が掲載されており、企業や個人が迅速に対策を講じるための有用なリソースとなっています。

まとめ

本記事では、ランサムウェアの基本的な仕組みから、感染経路、進化する攻撃手口、そして個人および企業が講じるべき具体的な対策までを幅広く解説しました。

• ランサムウェアとは、 ファイルを暗号化し、復元のための金銭を要求する悪質な不正プログラムであり、被害は業務停止や情報漏洩といった深刻なリスクを伴います。
• 感染経路は、 不審なメール、添付ファイル、脆弱なネットワーク機器など多岐に渡り、攻撃手口も従来型の単純な暗号化から、二重恐喝やノーウェアランサムといった新たな手法へと進化しています。
• 防止対策として、 個々の注意や定期的なセキュリティ教育、システムの最新状態維持、認証機能の強化、バックアップの徹底など、基本的かつ実践的な取り組みが求められます。
• 被害発生時には、 速やかなネットワーク隔離と状況把握、警察や専門機関への通報が不可欠です。

ランサムウェアを含むセキュリティの対策には、高度な専門の知識を持つ技術者が必要です。しかしセキュリティ人材の不足や対策コストの上昇などにより、社内で万全な体制を組めていない企業が多いのも事実です。

富士ソフトのセキュリティ対策

富士ソフトでは社員のセキュリティリテラシーを高めるために、定期的にセキュリティ教育を実施しています。お客様の大切な情報資産を守るため、システム開発においても必ず「情報処理安全確保支援士」の資格を持った社員がチェックを行っています。

最新のセキュリティ対策技術を駆使したソリューションを提供しており、企業のネットワーク全体を守るための包括的なサービスを展開しています。

• リアルタイム監視システム
  異常な通信や不審な挙動を即座に検知し、迅速な対応を実現するための監視システムを導入。
• 多層防御システム
  ウイルス対策、ファイアウォール、認証強化、バックアップ管理を一体化したセキュリティソリューションにより、万一の感染リスクを最小限に抑えます。
• 専任のサポートチーム
  万が一の被害発生時には、迅速な対応と復旧作業を支援する専門スタッフが24時間体制でサポート。

2024年1月に提供を開始した、ランサムウェア対策ソリューション「Riviiv（リヴァイブ）」は初期導入費用ゼロ円の月額制で強固なランサムウェア対策環境の構築から運用・保守までをサポートします。低コストで始めることができるランサムウェア対策で企業の大切なデータを守ります。

おわりに

ランサムウェアの脅威は日々進化しており、対策もまた高度化が求められています。個々の注意と、組織全体での体制強化が、被害を未然に防ぐ鍵となります。本記事を通じて、ランサムウェアの基本知識と具体的な対策を理解いただき、皆様の安全な業務運営にお役立ていただければ幸いです。

今後も、最新のサイバーセキュリティ情報を提供し続けるとともに、皆様の安全をサポートするためのソリューションを展開してまいります。

※記載の会社名、製品名は各社の商標または登録商標です。