ランサムウェアとは？流行している種類や対策、感染時の対応も解説

今、ランサムウェアと呼ばれるマルウェアが世界で猛威をふるっています。ランサムウェアに感染してしまうと、パソコンやサーバーの中のデータアクセスが制限されてしまい、その制限からの復旧を盾に身代金を要求される恐れがあります。

ランサムウェアからの攻撃には、どのように立ち向かっていけばよいのでしょうか。今回は、ランサムウェアについて、種類や対策、感染時の対応をお伝えしていきます。

1 ランサムウェアとは
2 新たなタイプのランサムウェアが発生し続けている
3 世界中でランサムウェアの被害が報告されている
4 ランサムウェアへの有効な対策とは
5 もしランサムウェアに感染してしまったら
6 ランサムウェアの対策にはサイバーレジリエンスの考え方が重要
7 ランサムウェアの特徴を知って適切な対策を

ランサムウェアとは

ランサムウェア（Ransomware）とは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。感染させたパソコンのデータを暗号化するなどして、その復号と引き換えに身代金を求めてきます。

2015年以降にランサムウェアは増加し始め、IPA（独立行政法人情報処理推進機構）のIPA情報セキュリティ安心相談窓口でも2015年以降に相談件数が増えてきています。

新たなタイプのランサムウェアが発生し続けている

一般的なランサムウェア以外にも、新たな種類が発生し続けています。どのような種類のランサムウェアが発生しているか、みていきましょう。

ランサムDDoS

2017年5月以降には、ネットワークを介して攻撃パケットを送出することで感染拡大を図る、ランサムウェアの新たなタイプであるランサムDDoSが発生しました。攻撃者は、DDoSによるネットワーク負荷を盾に身代金を要求してきます。

このタイプのランサムウェアは一般的にランサムDDoS（Distributed Denial of Service：分散サービス妨害）と呼ばれます。

攻撃者に必要なものは、トラフィック送信用ボットネットと、電子メールで組織を脅迫する手段だけです。ボットネット（攻撃に用いるために乗っ取ったパソコンやサーバーなどで構成されたネットワーク）は、安価なうえ、アンダーグラウンドで簡単に手に入るため、低レベルスキルの攻撃者でも比較的簡単に攻撃を実行できてしまいます。

攻撃のしやすさもあって、ランサムウェアDDoSは2019年から2020年の間に154％増加したという調査結果もあります。その攻撃の対象は、金融サービスや通信事業者、政府機関などをはじめとする広範な分野にわたりました。

標的型ランサム

2018年～2019年頃より、特定の企業・組織に標的を定めるようなランサムウェアの被害が拡大しました。

ツールを使用して、最新のセキュリティ修正プログラムが適用されていないサーバーを特定し、脆弱性を悪用してこれらのサーバーのいずれかへの侵入に成功すると、他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから認証情報などを収集します。

その後ランサムウェアを実行して、これらのシステム上のファイルを暗号化して身代金を要求するのです。

暴露型ランサム

暴露型ランサムは、身代金の要求と情報の暴露という二つの脅迫行為を伴うため、二重の脅迫とも呼ばれています。ランサムDDoSと同様に2018年～2019年頃から登場しました。

ファイルを暗号化した上で窃取した情報を暴露サイトに公開すると脅し、高額の身代金を要求します。顧客や取引先の個人情報などを暴露されることもあります。

暴露型ランサムは、パソコンやサーバーなどIT機器の脆弱性を狙った攻撃や、組織内の特定の人物を狙う標的型メールの添付ファイルによって感染することが多く、特に標的型メールは、実在する部署や人物、取引先などを装ってメールを送ってくるため注意が必要です。

このように、ランサムウェアの脅威は年々凶悪化しています。ウェブルートでは、ランサムウェアをはじめとする2020年全体の脅威活動を分析し、サイバー脅威の新しい傾向を発見しました。

世界中でランサムウェアの被害が報告されている

今や世界中でランサムウェアによる企業・組織の被害が報道されています。中には1万台を超える非常に多くのパソコンやサーバーが攻撃を受けたり、機密性の高いデータが多数窃取されたりといった事例もあります。身代金は、その多くが数千万円から数億円の規模に及びます。

ランサムウェアの被害事例については、「ランサムウェアの被害事例　企業が行うべき対策とは？」をご覧ください。

ランサムウェアへの有効な対策とは

ここからはランサムウェアへの対策を具体的にみていきましょう。

メールへの注意

受信者に興味を持たせるような文面や、重要であることを装った文面で添付ファイルを開かせ、感染させることが主なランサムウェアの手口です。近年の不正なメールは手口が巧妙になっており、窃取した実際の業務メールから不正なメールを作成するため、一見すると見抜けないこともあります。

添付ファイル付きのメールやリンク付きのメールについては送信者に確認するなど、開いても問題ないと確証を得てから操作しましょう。

許可されたWebサイトのみへのアクセスを実現し、ランサムウェアのリスクを低減したい方は、「Webroot® DNS Protection」をご覧ください。

ウイルス対策ソフトの導入

攻撃者は、マルウェアやフィッシングサイトなどの手法でデータを盗み出します。そして盗みだした認証情報などのデータを悪用してネットワークに侵入し、ランサムウェアに感染させていくのです。このような被害にあうリスクを低減させるために、ウイルス対策ソフトを導入して定義ファイルを最新に保っておきましょう。

自社パソコンなどへのセキュリティ被害の可能性を低減したい方は、「Webroot® Business Endpoint Protection」をご覧ください。

厳重なIDやパスワードの設定

認証パスワードが脆弱であったために不正侵入を許し、感染が拡大してしまうこともあります。パスワードは、英語大文字・小文字・数字・記号を組み合わせたうえで、10文字以上のランダムな文字列を設定できると無難でしょう。

連続で不正侵入されることを防ぐため、他システムとの使い回しは厳禁です。場合によっては2要素認証などの強固な認証手段を取り入れることも検討しましょう。

ネットワークから切り離したバックアップ保存

バックアップデータを取っていても、場合によってはバックアップデータも暗号化されてしまうこともあります。バックアップは定期的に行い、ネットワークから切り離して保管しましょう。同時にバックアップデータによるシステムの復旧手順を確立しておくことも大切です。

ランサムウェアに対抗する保護されたバックアップにご興味がある方は、「Carbonite® Endpoint」をご覧ください。

必要最小限のアクセス権付与

権限やアクセス可能範囲の割り当ては必要最小限にすると、ランサムウェアに感染したとしても被害拡大を最小限に抑えられます。サーバーやパソコンだけではなく、ネットワーク機器も同様に権限やアクセス範囲を必要最小限で割り当てておきましょう。

ネットワークの監視

ネットワークの監視ツールなどを導入することで、マルウェアに感染した端末から発生する不審な通信を監視できるようになります。不審な通信を即時に発見できれば、ランサムウェアなどの被害を最小限に抑えられます。異常を発見した場合は、即時に対処しましょう。

もしランサムウェアに感染してしまったら

身代金は絶対に支払わないことです。身代金を支払ったとしても、データが確実に元に戻る保証はありません。

一部のランサムウェアについては、「No More Ransom」プロジェクトのWebサイトで復号ツールが公開されていますので、必要に応じて使用しましょう。「No More Ransom」プロジェクトは、ランサムウェアを用いた攻撃者に侵されてしまったパソコンやサーバーのデータを取り戻すためのサポートを提供するプロジェクトです。

また、ランサムウェアの感染を免れた端末であっても、他のマルウェアに感染している可能性があるため、影響がなかった端末も含めてログを保管したうえで調査しましょう。

その他、社員に対して適切なセキュリティ教育を行うなど、総合的な対策強化を図っていきましょう。

ランサムウェアの感染については、「ランサムウェアに感染したらどうなる？その症状や感染時の対処方法と事前対策」の記事をご覧ください。