「今まで開けていたファイルが開かなくなった」「見覚えのない画面が表示される」と社員から連絡が入り、思わず焦ってしまう情報システム担当もいらっしゃるのではないでしょうか。パソコンの不具合は「ランサムウェア」によるものかもしれません。

本コラムでは「ランサムウェア」のこれまで発生した被害の事例や各企業が行うべき予防と感染後の対策などについて解説します。

変化する攻撃手法 従来のランサムウェア攻撃との違い

「ランサムウェア(Ransomware)」とは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。

ランサムウェアは、パソコンなどの端末やそれらの端末に保管されたファイルを暗号化したり、画面をロックしたりすることによって、利用者の端末操作に制限をかけます。その後、制限の解除と引き換えに金銭を要求するというウイルスです。なお、ランサムウェアの攻撃方法については日々変化しており、企業・組織の事業活動への脅威が増大しています。

ランサムウェアについて詳しくは、「ランサムウェアとは?流行している種類や対策、感染時の対応も解説」をご覧ください。

従来のランサムウェア攻撃

これまで、攻撃者は不特定多数のサーバや端末などに対してウイルスを添付したメールをばらまき、ランサムウェアの感染を広げてきました。

ウイルスに感染した被害者の中には、データを復旧させるために金銭の支払いに応じてしまう人もいます。このような攻撃は今でも行われているのが現状です。

新たなランサムウェア攻撃

新たな攻撃手法として、特定の企業や組織を狙ったランサムウェア攻撃が存在します。特定の企業や組織を標的にすることでその企業または組織の事業が継続できない状況を作り上げ、攻撃者は金銭が支払われるまでは復旧しないといった行動に出ます。企業・組織側は事業継続のために高額な身代金を支払ってしまうといった事例が生じているのです。

具体的な攻撃手法については、次のとおりです。

  • 人手によるランサムウェア攻撃
    これまでのウイルスを添付したメールをばらまく手口ではなく、特定の企業や組織のネットワークを狙ってあらゆる手法を用いて侵入する方法が増えています。機密情報を保管している端末やシステム全体をコントロールしている管理サーバなどを乗っ取って、社内に繋がっているサーバや端末にランサムウェアを感染させ、事業の継続を妨げるようなことを行います。
  • 二重の脅迫
    従来のランサムウェアでは、暗号化したデータを復旧するために金銭を要求していましたが、予め暗号化する前にデータを盗んでおき、支払いに応じなければデータを外部に公開するといった二重の脅迫を行う手法も増えています。

ランサムウェアの感染について詳しくは、「ランサムウェアに感染したらどうなる?その症状や感染時の対処方法と事前対策」の記事をご覧ください。

ランサムウェアの被害状況・事例

今や世界中でランサムウェアによる企業・組織の被害が報告されています。本章では、「人手によるランサムウェア攻撃」と「二重の脅迫」による被害事例を紹介します。

「人手によるランサムウェア攻撃」による被害事例

当攻撃に関する主な事例について3件紹介します。

  • 特定の企業を狙った事例
    2020年6月に国内大手自動車会社に対してランサムウェア攻撃が発生し、この攻撃により世界的にも大規模なシステム障害が起こりました。この事例ではEKANS(エカンズ)という名のランサムウェアが使用されており、攻撃者はこの自動車会社に対してピンポイントで侵入を試みていたことが分かりました。
  • 10,000台以上の端末が攻撃された事例
    2020年7月に南米の企業に対してランサムウェア攻撃が行われ、約753万ドルの金銭が要求されました。この事例では攻撃者がシステムの管理サーバを乗っ取り、社内18,000台以上の端末がランサムウェアに感染しました。この攻撃により、この企業の一部のサービスがダウンするといった被害が生じています。
  • データ復旧のために身代金の支払いに応じた事例
    2019年12月に欧州の大学に対してランサムウェア攻撃が行われました。この事例では、被害にあった大学が約22万ドルを攻撃者へ支払い、金銭受領後、攻撃者はシステムを復旧しました。具体的な方法としては、大学内のネットワークに侵入して管理サーバを乗っ取り、267台のサーバとその一部のバックアップ端末にウイルスを感染させています。

更なる被害者への攻撃の資金源や動機になるという理由から身代金を支払うことは推奨されていませんが、この事例では、研究などのデータを失うリスク、試験のデータや給与の支払いなどの大学運営に関わる業務を止めることができない」などといった理由からこのような決断をしたようです。

「二重の脅迫」による被害事例

暗号化と暴露を組み合わせた二重の脅迫を使った事例について紹介します。

  • 大手ゲーム会社を襲った暗号化と暴露の二重脅迫の事例
    2020年10月に大手ゲーム会社の米国拠点が保有していた社内ネットワークに繋がる予備の端末を介して、社内ネットワークに不正侵入されました。その後は米国だけでなく日本国内の拠点にある端末にランサムウェアが感染し、各機器内のファイルが意図せずに暗号化されました。

これにより当ゲーム会社が管理するシステムへのアクセス障害が発生しています。

ランサムウェアの被害ではこのような二重の脅迫が出現したほか、身代金も上昇傾向にあります。ウェブルートでは、2020年全体の脅威活動を分析し、ランサムウェアをはじめとするサイバー脅威の新しい傾向を発見しました。

ランサムウェアに対する対策

ランサムウェアの感染を防ぐために企業ができることを紹介します。

社内ネットワークへの侵入を防止する

攻撃者が企業や組織のネットワークに侵入することにより生じるのがランサムウェア攻撃であるため、侵入対策を講じることが重要です。

具体的な対策として、まずはインターネットからアクセス可能なサーバやネットワーク機器を最小限としつつ、プロトコルやアクセスできるプログラムを限定することが重要です。また、脆弱性対策として、OSや利用しているソフトウェアなどを常に最新の状態に保つことも欠かせません。さらにメールによる攻撃も依然として脅威であるため、セキュリティ装置などによる対策や日頃の利用者への周知や訓練を行うようにしましょう。

自社パソコンなどへのセキュリティ被害の可能性を低減したい方は、「OpenText™ Business Endpoit Protection」をご覧ください。

データ・システムのバックアップ

事業継続のために必要な対策として、データやシステムのバックアップが重要です。データをバックアップする際は、次の点に留意する必要があります。

  • バックアップの妥当性を定期的に確認する
  • データだけでなくシステムの再構築を含めた復旧計画を策定する
  • バックアップに使用する装置・媒体は、バックアップ時のみ対象機器と接続する
  • 重要なファイルは定期的にバックアップする
  • バックアップに使用する装置・媒体を複数用意する

年々攻撃者の手口が巧妙化していることから全ての攻撃を防ぐことは難しいです。そのため、企業は感染した後のことも考え、いかに早く、正確にデータが復元できるかを考えることも重要です。

ランサムウェアに対抗する保護されたバックアップにご興味がある方は、「Carbonite® Endpoint」をご覧ください。

ランサムウェア対策にはサイバーレジリエンスが重要

サイバーレジリエンスとは、システムがサイバー攻撃を受けたときに、その影響を最小化し、早急に元の状態に戻す仕組みや能力を指します。

先述した通り、企業は感染防止策だけではなく、感染した後の対応も考える必要があります。つまりサイバーレジリエンスを導入すると、サイバー攻撃に対する「事前と事後の対策」が可能になるということです。

サイバーレジリエンスを実現するには、ウイルスの侵入を防ぎ被害を最小限に食い止める施策とバックアップにより素早く感染前の状態に復旧する施策を考えることが重要といえます。

サイバーレジリエンスについて詳しくは、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご覧ください。

ランサムウェア対策はいかに業務影響や資産への損害を抑えるかが大切

ランサムウェアの手口は巧妙化しており、現実問題としてネットワークへの侵入を全て防ぐことは困難な状況です。サイバー攻撃による侵入や被害は完全に防ぎきることができないため、攻撃を受けたときにいかに業務への影響や資産への損害を抑えるかという観点で対策を講じることが大切です。