ランサムウェアによる被害は増加傾向にあり、攻撃の手法も巧妙化しています。そのため、新たな脅威に関する知識を持ち、適切な対策をとることが大切です。
本記事では、現在主流となっているランサムウェアの特徴や主な感染経路、そして未知の脅威に有効な対策についてご紹介します。
ページコンテンツ
2021年のランサムウェア事情
サイバー空間に潜むさまざまな脅威のなかでも、特に代表的なものがランサムウェアです。ランサムウェアとは、PCなどに感染し悪事をはたらくマルウェアの一種で、端末に保存されたファイルやデータなどを暗号化し、アクセスを制限したり操作不能にしたりします。この状態を解除(復号化)することと引き換えに、ターゲットに金銭を要求してくるのが特徴です。なお、「ランサム」(Ransom)とは身代金という意味です。
ランサムウェアによる攻撃は日々巧妙化してきており、近年は企業をピンポイントで狙う「標的型」ランサムウェアが増加しています。また、VPN機器やリモートデスクトップからの侵入など、感染経路も多様化しています。
警察庁が発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2021年上半期に、企業や団体などにおけるランサムウェア被害として警察庁に報告のあった件数は61件であり、前年下半期の21件と比べて大幅に増加しました。
増加している理由として、「二重恐喝」と呼ばれる攻撃手法の拡大があげられます。二重恐喝とは、データの暗号化を解除するために金銭を要求することに加え、データの窃取もしたうえで「身代金の要求に応じなければデータを公開する」と脅迫する手法です。また、暗号資産による支払い要求も目立ちます。
このような攻撃手法の拡大や巧妙化によってランサムウェアの脅威は近年増加していることがうかがえます。
復旧に要する期間が2ヶ月以上となったケースや、復旧に1000万円以上の費用を要したケースもあることから、どの企業にとっても対策は急務です。
直近では、大手製粉会社がサイバー攻撃を受け、バックアップを含むデータが同時多発的に暗号化され、復旧が不可能となったケースがあります。このケースでは、グループ26社の財務管理や11社の販売管理などに用いる基幹システムとファイルサーバが暗号化され、企業情報や個人情報の一部が流出した可能性が示唆されています。復旧がいまだに困難な状況であることから、同社は2022年3月期第2四半期報告書の提出期限について約2ヶ月半の延長申請を提出しています。
このように、企業がサイバー攻撃を受けると、情報漏えいや金銭的被害、業務への悪影響など、さまざまな不利益が発生します。
注目を集める2種のランサムウェアの特徴
2021年上半期では、以下2種類のランサムウェアによる被害が多かったと言われています。
ランサムウェア「STOP」の特徴
2021年上半期に注目されたランサムウェアは、「STOP(亜種名Djvu)」です。STOPはターゲットとするユーザーファイルのはじめの5MBのみを暗号化し、復号ツールの利用を阻んでしまうのが特徴です。暗号化されるファイルは、Microsoft OfficeドキュメントやPDF、写真や動画、音楽など多岐にわたります。
ランサムウェア「Sodinokibi」の特徴
STOPに次いで被害が多かったとされているのが、二重恐喝に利用されることが多い「Sodinokibi」です。
Sodinokibiはアンチウイルスソフトに検知されにくいため、駆除できないまま放置され、いつの間にか感染していたというケースも珍しくありません。
このように攻撃手法が巧妙化しているランサムウェアへの対策をとるためには、まずはどのような経路で感染するのかを知っておくことが重要です。そこで次章では、ランサムウェアの感染経路についてご紹介します。
ランサムウェアの主な感染経路
ランサムウェアはさまざまな経路からの感染が確認されていますが、特に主要な感染経路は以下の6つです。なお、前述の「STOP」や「Sodinokibi」も以下の経路で感染することが多く、特にSodinokibiはフィッシングメール・セキュリティの脆弱性を狙って攻撃してきます。
メール経由
メール経由は、代表的な感染経路の1つです。特によくあるのは、一見安全そうな体裁で送られてくるフィッシングメールによる感染です。
受信者に合わせて実在の企業を名乗るなど、自然なメールを装っているため、メールの開封や添付ファイルのダウンロードなどを思わずしてしまい、攻撃を受けるリスクが高まります。
Webサイト経由
Webサイト経由も主要な感染経路です。ドライブバイダウンロードというサイバー攻撃の手法により、サイトにアクセスするだけでランサムウェアに感染してしまうことがよくあります。ドライブバイダウンロード攻撃が行われるのは怪しいサイトに限ったことではなく、本来は正常な企業のサイトが改ざんされて感染経路となっているケースもあります。
アプリ経由
スマホの場合、アプリ経由の感染も少なくありません。たとえば、アプリストアでゲームをダウンロードしようとしてマルウェアに感染してしまうケースが確認されています。特にAndroidでの感染リスクが高いですが、手法が巧妙化している以上、セキュリティの強固なiOSでも安心はできません。
USBメモリ経由
USBメモリから感染することもよくあります。USBメモリは多くのPCと接触する可能性があるため、ランサムウェアに侵されたPCに接続することでUSBにも感染するリスクがあります。
ネットワーク経由
企業などの組織内で利用しているネットワーク経由で感染することもあります。たとえば、LANによって複数の端末が結ばれている場合、どれか1つの端末が感染するとネットワークを介して拡散してしまう可能性があります。
ファイルのダウンロード誘導
ユーザーの興味を引くソフトウェアを装って、ダウンロードを促す手口もあります。起動するまでランサムウェアと気づかないため、STOPの感染経路としても多く挙げられています。
感染経路については以下の記事でも紹介していますので、ご関心の方はあわせてご覧ください。
以上のように、ランサムウェアはさまざまな経路から進入してきます。次章ではこれらへの有効な対策についてご紹介します。
ランサムウェアへ感染しないために必要とされる対策
ランサムウェアへの感染防止策としては、以下の2つが重要です。
従業員への周知・教育
まず大切なのは従業員への周知・教育です。前述した感染経路について各従業員が理解し、対策を徹底する必要があります。
たとえば、不審なメールを開封しない、怪しいサイトにアクセスしない、ソフトウェアを勝手にダウンロードしない、個人のUSBメモリでデータ共有をしない、といった点を周知することで感染リスクを軽減できます。
セキュリティソフトの導入
セキュリティソフトの導入も重要な対策であり、特にランサムウェアの感染防止には、エンドポイントセキュリティの導入が必要となります。
エンドポイントとは「終点」という意味で、スマホやPCなどのネットワークに接続された端末のことを指します。エンドポイントセキュリティを導入することにより、ネットワークのセキュリティを突破してきたランサムウェアなどの脅威から、端末そのものを保護することが可能となります。
次章では、ランサムウェア対策としておすすめのエンドポイントセキュリティについてご紹介します。
続々登場する未知のランサムウェアへの対策として有効な「エンドポイントセキュリティ」
ランサムウェア対策に有効なエンドポイントセキュリティとしてご紹介するのが「AppGuard(アップガード)」です。AppGuardなら、「ランサムウェアの侵入を防ぐ」という従来型の対策ではなく、「マルウェアに侵入されても発症しないための対策」をとれるため、より強固なセキュリティを実現できます。
これまでの主流である検知型のエンドポイントセキュリティは、過去の情報からマルウェアなどのパターンを学習し、それに基づいて脅威を検知します。しかし、これでは過去のものとパターンの異なる新種のマルウェアによる攻撃は防ぎきれません。言い換えれば、完全に未知の脅威に対しては脆弱だということです。
一方、AppGuardはOSの正常な動作を守ることによって感染を防ぐため、未知のマルウェアがエンドポイントに侵入してきても攻撃をさせない仕組みとなっています。
開発以来、20年以上一度も突破されていない「AppGuard」なら、新たな脅威にも対応可能です。ご関心の方は、下記よりぜひ導入をご検討ください。
ランサムウェア対策に有効な「AppGuard」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。