-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
1. ランサムウェアとは:その定義と影響
ランサムウェアの基本概念と仕組み
ランサムウェアは、感染したデバイス内のデータを暗号化し、その解除のために身代金を要求するサイバー攻撃の一種です。具体的には、攻撃者が悪意あるソフトウェアを用いて個人や組織のファイルにアクセスし、その内容を暗号化します。その後、暗号を解除する鍵と引き換えに金銭を要求する仕組みとなっています。特にランサムウェアによる被害件数は年々増加しており、多くの企業や団体で深刻な問題となっています。
歴史的発展:30年以上変化するサイバー脅威
ランサムウェアの脅威は30年以上にわたり進化し続けています。1989年に登場した「AIDS Trojan」が最初のランサムウェアとされ、その後、インターネットの普及により世界的な展開が進んでいきました。近年では、ランサムウェア・アズ・ア・サービス(RaaS)という形で、攻撃者が一般人や他の犯罪者にランサムウェアの利用を提供するビジネスモデルが広がっています。2023年には、暗号化に依存しない「ノーランサムウェア」も登場し、より巧妙な手法が採用されています。
企業への影響と被害規模
ランサムウェア攻撃は企業に多大な影響を与えています。被害を受けた企業は、業務の停止や機密情報の漏洩など、重大なリスクに直面します。2023年の被害報告件数は227件に達し、中小企業が大きな割合を占めています。特に製造業を含む重要な業種が多くの被害を受けており、被害復旧にかかる費用が100万円を超えるケースが8割以上、1億円を超える例も確認されています。企業におけるランサムウェアの影響は、単なる金銭的な損失にとどまらず、社会的信用の失墜や顧客離れを引き起こすことが少なくありません。
身代金支払い・復旧までのプロセス
ランサムウェアの被害に遭った場合、企業はまず被害の状況を把握し、専門機関への相談や対応を検討します。多くの場合、攻撃者は身代金を仮想通貨で支払うよう要求しますが、日本では身代金の支払いが基本的に推奨されていません。そこで、企業はバックアップデータを活用してシステムを復旧させることが重要になります。ただし、バックアップも暗号化される「二重恐喝型」のランサムウェアが増加しており、対応の困難さが増しています。2023年の統計によれば、バックアップから復旧できた事例は86%と比較的高めでしたが、残りの14%は復元が不可能であったことが報告されています。
2. 国内227件の被害事例と統計
2023年度の合計被害件数とその概要
2023年度のランサムウェア被害件数は実質的に227件に達し、前年同期と比較して増加傾向が続いています。このうち114件は2023年上半期に報告されており、前年同期比で11件増加しました。ランサムウェアの被害は暗号化されたデータを人質とし、身代金を要求する「ダブルエクストーション型」が全体の74%を占めている点が特徴です。また、近年ではデータを暗号化せず窃取して対価を要求する「ノーランサムウェア」と呼ばれる手法も広がりつつあり、特に注意が必要です。
中小企業が占める被害の割合と原因
2023年のランサムウェア被害においては、中小企業が実に約半数を占める状況が確認されています。警察庁の公表によれば、中小企業の被害割合は64%に上り、全体の73件に当たります。大企業や公共団体に比べてサイバーセキュリティ対策が不十分であること、リソース不足から対応が後手に回りやすいことが主な原因として挙げられます。また、ランサムウェア攻撃では手薄なセキュリティ管理や既知の脆弱性が狙われるケースが多く、VPNやリモートデスクトップの設定不備が感染原因となる可能性が高いです。
セクター別被害:医療機関を含む主要業種の影響
ランサムウェアの被害は特定の業種に偏ることなく広範に及んでいますが、2023年度には製造業が主要なターゲットとなっていることが判明しています。このほか、医療機関や教育機関といった社会的に重要なインフラを担うセクターへの影響も深刻です。医療機関では機密性の高い患者データが標的となり、業務停止や情報漏洩といった問題に発展するケースが後を絶ちません。また、サプライチェーン全体が狙われるリスクもあり、一部の企業で発生した被害が関連する複数の組織に波及する可能性があります。
VPNやリモートデスクトップが感染経路に
ランサムウェア攻撃の感染経路としては、VPN機器やリモートデスクトップ(RDP)の脆弱性を狙った手法が確認されています。これらのリモートアクセスツールは多くの企業で利用されており、新型コロナウイルス感染症拡大以降、急速に導入が進んだ結果、設定の甘さや更新の遅れが攻撃者に付け込まれる要因となっています。具体的には、初期アクセスに成功した攻撃者がネットワーク内へ侵入し、ランサムウェアを展開するという流れです。このため、VPNの設定強化やRDPへの多要素認証の導入が感染リスクを軽減する鍵となります。
3. 最新トレンドと脅威の変化
RaaS(ランサムウェア・アズ・ア・サービス)の台頭
近年、ランサムウェアの脅威はさらに高度化しており、その要因の一つとして「RaaS(ランサムウェア・アズ・ア・サービス)」の台頭が挙げられます。RaaSは、組織的犯罪の新たな形態として注目され、攻撃者がランサムウェアを商品化し、サブスクリプション方式や一回使用料で提供するモデルを指します。この仕組みは、技術的な専門知識を持たない犯罪者でも簡単にサイバー攻撃を行える道を開き、ランサムウェアによる被害件数の増加を招いています。
特に、RaaSは攻撃者間で分業を可能にすることで、計画的かつ広範な攻撃が行われやすい特徴があります。2023年には、この手法が利用されたランサムウェア攻撃が国内で多発し、その影響は中小企業から大規模な医療機関に至るまで幅広いセクターに及びました。こうした背景には、支払い能力のある企業を標的とし、個別にカスタマイズした攻撃を行う動きの活発化も挙げられます。
2024年上半期の統計データから見る新たな傾向
2024年上半期のデータは集計中ではありますが、既に2023年上半期の傾向から予測できるポイントがいくつかあります。例えば、2023年上半期だけでランサムウェア被害の件数は114件を記録し、前年同期比で11件増加しました。この増加傾向は2024年も継続し、高度な攻撃手法を用いたケースや、RaaSの利用件数がその主な原因になると予想されます。
統計データにおいて注目すべき点は、被害の約74%が二重恐喝型(データの暗号化と公開を脅す手法)によるものであることです。また、今年から「ノーランサムウェア」のカテゴリが新たに含まれ、暗号化を行わずデータ窃取のみを目的とする攻撃も増加傾向にあります。これによってバックアップ戦略だけでは十分に対応できない新しい課題も浮上しています。
国内外の被害増加を示す背景要因
国内外でランサムウェア被害が増加している背景には、サイバー攻撃の手法が迅速に進化する一方で、多くの中小企業や団体がセキュリティ対策を十二分に実施できていない現状があります。警察庁の報告によると、2023年だけでも実質227件の被害が報告され、その中心にはセキュリティ管理が手薄な中小企業が多く含まれています。
その要因として、VPNやリモートデスクトップなどの接続経路を狙った攻撃が多発している点が挙げられます。また「Emotet」などのマルウェアが再度活動を活発化していることも、国内被害の増加に拍車をかけています。これに加え、情報漏洩による社会的信用の失墜や業務停止といった二次被害のリスクの高さが、企業や組織にとって深刻な脅威となっています。
高度化する攻撃手法と具体例
ランサムウェア攻撃の手法は年々高度化しており、その中でも特筆すべきなのがAI技術やソーシャルエンジニアリングを利用した攻撃の増加です。これにより、標的型攻撃の精度が向上し、人間の心理や行動パターンを巧みに突く手法が主流となっています。加えて、攻撃者が侵入経路を隠すために多層的な手口を採用し、検知や追跡が困難になるケースも増えています。
具体的な事例としては、「二重恐喝型」の攻撃が引き続き多く利用されており、約8割の攻撃がこの手法に分類されています。データの暗号化だけでなく、企業の機密情報を盗み出して公開すると脅迫することで、復旧に向けたコストだけでなく社会的なダメージも負わせる狡猾な手段です。このような手法により、被害企業はバックアップデータだけで完全な復旧が実現できないケースも依然として多発しています。
4. 予防策と感染時の対応
バックアップ戦略の重要性
ランサムウェア被害からの復旧において、バックアップは最も重要な対策の一つです。統計によれば、ランサムウェア被害を受けても86%のケースでバックアップから復元が可能であることが示されています。ただし、バックアップデータ自体が暗号化の対象となるリスクが存在し、その場合復元が不可能となる事例が全体の67%に達します。そのため、バックアップは暗号化対策を施した環境で行うことが重要です。また、オフライン保管や複数の世代管理を行うことで、ランサムウェアにおける被害拡大を抑えることができます。
VPNとリモートデスクトップの脆弱性対策
ランサムウェアの感染経路として、VPN機器やリモートデスクトップ(RDP)を利用した攻撃が多数報告されています。これらの脆弱性を突いたランサムウェア攻撃を防ぐためには、常に機器やソフトウェアのセキュリティパッチを適用することが必要です。また、強力なパスワードの設定や多要素認証(MFA)の導入によって、不正アクセスのリスクを大幅に低減できます。さらに、不審なIPアドレスからのアクセスを制限することで、攻撃の入り口を最小化することが可能です。
専門機関や警察との連携方法
ランサムウェア被害を受けた際には、専門機関や警察への迅速な報告と連携が非常に重要です。警察庁サイバー警察局やサイバー特別捜査部では、2023年より強化された体制で国内外のランサムウェア事件に対応しています。被害を報告することで、攻撃者の特定や再発防止に向けた取り組みが進むほか、専門的なサポートを受けることも可能です。また、専門のセキュリティ企業との連携を図ることで、復旧や調査を効率的に行うことができます。
サイバーレジリエンスを高める具体的施策
ランサムウェアの脅威が増大する中で、サイバーレジリエンス(侵害が起きた際の復旧や耐久力)を高めることが必要です。まずは、社員や関係者に対するセキュリティ教育を定期的に実施し、不審なメールやリンクを開かないよう意識付けることが効果的です。また、ゼロトラストモデルの採用やシステム全体の脆弱性診断を行い、防御体制を強化します。さらに、事業継続計画(BCP)を策定し、ランサムウェア攻撃による業務停滞が起きた際の迅速な対応手順を明確化することが重要です。
