-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
ランサムウェアとは何か
ランサムウェアの定義と由来
ランサムウェアとは、感染したコンピュータやシステムのデータを暗号化したりアクセスを制限したりして、その解除を条件に身代金を要求するマルウェアの一種です。「ランサム」という言葉は身代金を意味し、「ウェア」はソフトウェアを指します。このように、被害者を金銭的に脅迫する手口が特徴です。
ランサムウェアの始まりとしてよく知られているのは、1989年に登場した「AIDS情報トロイ」です。このソフトウェアは、感染者のコンピュータ内のファイルを暗号化し、復元のために料金を要求する仕組みになっていました。それ以来、この攻撃手法は進化し、今日ではさらに危険性が高まっています。
ランサムウェアの特徴と種類
ランサムウェアの特徴は、システム内のデータを暗号化して使用不能にし、被害者に復号のための鍵を得る手段として金銭の支払いを求める点にあります。これに加え、現在ではデータを窃取して公開を脅迫する「二重脅迫型」の攻撃も増加しています。
ランサムウェアにはさまざまな種類が存在します。有名なものとしては、世界的に大きな被害を引き起こした「WannaCry」や、データ窃取まで行う「MAZE」、企業を主な標的とする「Ryuk」などが挙げられます。また、近年登場した「BlackSuit」や「Underground」などの新種も確認されており、サイバー犯罪者たちは手口を常にアップデートしています。
過去の被害事例
ランサムウェアによる被害の最たる例として挙げられるのが、2017年に起こった「WannaCry」攻撃です。この攻撃では、世界150か国以上の30万台を超えるコンピュータが感染し、重要なデータが暗号化されました。被害者に求められた身代金の支払い期限を過ぎるとデータが永久消失するという手口は、多くの企業や政府機関に大混乱をもたらしました。
また、2021年にはアメリカの大手保険会社CNA Financialが「Phoenix Locker」というランサムウェアによる攻撃を受け、4000万ドルもの身代金を支払った事例もあります。この金額は、個別企業として過去最高額の支払いとされています。
ランサムウェアがもたらす被害の範囲
ランサムウェアによる被害の範囲は広範囲に及びます。感染した場合、ハードディスク内のデータが暗号化されるだけでなく、ファイルサーバーやバックアップサーバー、クラウドサービスなどにも影響が及ぶ可能性があります。これにより業務が停止し、企業活動全体に大きな損害をもたらします。
さらに、攻撃を受けた企業や機関は、顧客や社会からの信頼を失うリスクを抱えることにもなります。近年では、データの公開を脅迫される場合もあり、個人情報や機密情報の漏洩について法的な問題に直面することも増えています。このように、ランサムウェアは一企業や個人に留まらず、社会全体に大きな影響を与える攻撃手法です。
ランサムウェアの主な攻撃手法
標的型攻撃と無差別攻撃の違い
ランサムウェアの攻撃手法には、大きく分けて標的型攻撃と無差別攻撃の2種類があります。標的型攻撃は特定の個人や企業、団体を対象に計画的に行われる攻撃で、高度なリサーチと手口が特徴です。一方、無差別攻撃は広範囲にマルウェアをばら撒くことで、多数のユーザーを感染させ利益を狙う方法です。たとえば、標的型攻撃では経営層を中心とした社会的影響の大きい人物や重要な企業を狙う場合が多く、無差別攻撃ではメールスパムや感染型添付ファイルを使って幅広いターゲットに被害を及ぼします。
感染経路の具体例(メール、Webサイトなど)
ランサムウェアの感染経路として一般的なのは、メールや不正なWebサイト、さらにはUSBやその他の外部記憶媒体の利用です。メールを用いる場合、偽名や偽装された送信元が用いられ、「請求書」や「コンプライアンス資料」といった信頼を装った添付ファイルを送りつけます。また、正規サイトに見せかけたフィッシングサイトへと誘導する手口も存在します。さらに、信頼性の低いソフトウェアやアプリケーションをダウンロードする際にランサムウェアが侵入するケースも確認されています。これらの手段を通じて、攻撃者はターゲットユーザーのデバイスにマルウェアを仕込みます。
データ暗号化と身代金要求の仕組み
ランサムウェアの攻撃では、感染したコンピュータやネットワーク内のデータが高度に暗号化され、ユーザーがアクセスできなくなります。この暗号化を解除するためには「復号鍵」が必要であり、その代償として攻撃者が身代金を要求するのが特徴です。被害者には通常、特定のビットコインアドレスなどを通じて身代金を送金するよう指示されます。もし要求通りに支払わなければ、データの永久消失やオンラインでの公開をちらつかせるケースもあります。この仕組みは、名前の由来である「ランサム(身代金)」に直結する行為です。
新型の二重脅迫型攻撃とは
最近のランサムウェアの攻撃では、単にデータを暗号化するだけにとどまらず「二重脅迫型攻撃」が増加しています。この手法では、被害者のデータを暗号化するだけでなく、そのデータの一部を窃取します。そして、暗号化を解除するための身代金に加え、窃取したデータを公開しない代償としてさらなる金額を要求します。この二重脅迫型攻撃は、被害者がバックアップや復元手段を持っている場合でも、データの公開リスクを恐れて要求に応じざるを得ない状況を作り出す点で、従来の手法よりもさらに悪質です。
ランサムウェアから身を守るための対策
セキュリティソフトとファイアウォールの活用
ランサムウェアによる被害を防ぐためには、信頼性の高いセキュリティソフトとファイアウォールを活用することが重要です。セキュリティソフトは、ランサムウェアの感染をリアルタイムで検知し、システムに侵入する前に阻止する機能を備えています。加えて、ファイアウォールを設定することで、外部からの不正なアクセスを遮断し、ネットワークの安全性を高めることができます。特に、定期的なソフトウェアのアップデートは、最新の脅威に対応するために不可欠です。
データのバックアップを行う重要性
ランサムウェアからの被害を最小限に抑えるためには、定期的なデータのバックアップが不可欠です。ランサムウェアの主な被害はデータの暗号化によるアクセス不能ですので、重要なデータを外部のハードディスクやクラウドストレージに保存しておくことが有効な対策です。また、バックアップしたデータはオフライン環境に保管することで、感染拡大のリスクを回避できます。万が一、ランサムウェアに感染してもバックアップがあれば業務の早期復旧が可能です。
メールの添付ファイルやリンクを注意するポイント
ランサムウェアはメールの添付ファイルやリンクを経由して感染するケースが多く見られます。そのため、知らない送信者からのメールは開封を控えることが重要です。特に、不審な添付ファイルを開いたり、メール内のリンクをクリックしたりすると、ランサムウェアがシステムに侵入する危険性があります。さらに、リンク先を確認する慎重な姿勢や、メールを開く前の送信元アドレスの確認も効果的な防止策です。
ゼロトラストセキュリティの導入
ランサムウェアを含むサイバー攻撃の進化に対応するため、ゼロトラストセキュリティの概念を取り入れることも推奨されます。ゼロトラストでは、「誰も信頼しない」を基本方針とし、システムやネットワーク内外のすべてのアクセスを都度確認します。このアプローチにより、ランサムウェアの感染経路となる不正アクセスを事前にブロックすることが可能です。特に、多要素認証や権限管理の徹底が、被害の防止に役立ちます。
ランサムウェア感染時の対応策
感染した際の初動対応
ランサムウェアに感染した場合、まず冷静に初動対応を行うことが重要です。最初に行うべきは、感染が広がらないようにネットワークから感染した端末を切り離すことです。これにより、ファイルサーバーや他のデバイスへの被害拡大を防ぐことができます。また、感染が確認されたら、慌ててファイルを開いたり、システムを再起動したりしないよう注意しましょう。さらに、感染状態の証拠を記録するために、エラーメッセージや脅迫文のスクリーンショットを撮っておくことも推奨されます。これらは後に専門家や公的機関に相談する際の有益な情報となります。
専門家や公的機関への相談方法
ランサムウェア感染への対応には、専門家や公的機関への相談が欠かせません。セキュリティベンダーや専門のセキュリティ企業に連絡を取り、現状の被害範囲や復旧の可能性を確認しましょう。また、公的機関である警察や情報セキュリティ機関(例:日本ではIPA(情報処理推進機構))にも報告することが重要です。これにより、事件の全体像が把握され、他の被害者や将来的な攻撃の防止につながる可能性があります。専門機関のサポートを受けることで、冷静かつ適切な対策を講じることができるでしょう。
身代金を支払うリスクと選択肢
感染した際に示されるランサムウェア犯罪者からの身代金要求について、支払うかどうかは慎重に検討する必要があります。一部の事例では、身代金を支払ったにもかかわらずデータが復旧しなかったり、新たな要求が続いたりするケースが報告されています。さらに、身代金の支払いは犯罪者を助長することにつながるため、倫理的観点からも避けるべき選択肢とされています。可能な限り、専門家との協力によって復旧を試み、身代金を支払わずに被害を最小限に留める方法を模索するべきです。
感染拡大を防ぐための行動
ランサムウェア感染の拡大を防ぐためには、迅速かつ的確な行動が欠かせません。感染を確認したら、他のデバイスやシステムへの感染を防ぐためにネットワーク全体の接続を一時的に遮断し、すべてのデバイスを調査することが重要です。また、適切なセキュリティ対策を講じていない場合は、この機会にシステムの脆弱性の確認と修正を行いましょう。さらに、一連の対応を通じて取得した知見を社内外で共有し、再発防止策としてセキュリティ教育を強化することも必要です。
