ランサムウェアは悪意のあるソフトウェア(マルウェア)の一種です。2017年にもランサムウェアが原因で病院の機能が停止するなど、世界的な問題としても取り上げられました。
ランサムウェアに感染すると、業務が滞るだけにとどまらず、金銭的被害や企業としての信用低下にも繫がります。自社の利益を守るためにも、ランサムウェアによる被害やPCへの侵入経路を理解して、有効的な対策を検討しましょう。
ページコンテンツ
ランサムウェアとは
ランサムウェアとはマルウェアの一種で、身代金(Ransom)とソフトウェア(Software)を組み合わせた造語です。ランサムウェアは「身代金要求型不正プログラム」と呼ばれることもあります。ランサムウェアに感染したPCに対して一定の制限をかけて、その制限解除と引き換えに金銭を要求することから名づけられました。このマルウェアが登場した当初は、一般ユーザーがターゲットにされていました。ですが、多額の身代金を期待できる大企業をターゲットにした事例も増えたほか、民間企業や公共機関のPCにも感染するなど深刻な脅威と呼べるケースも現れています。
2種類のランサムウェア
ランサムウェアには、「ロックスクリーン型」と「暗号化型」の二つの形式が確認されています。ロックスクリーンランサムウェアはスクリーン全体に画像かWebページを表示してPC操作を妨害します。警告文に有名な企業のロゴを表示させて合法的な雰囲気を出すことで、ユーザーを混乱させてきました。
一方で、暗号型ランサムウェアは広く普及しているわけではありませんが、ファイルを開けないよう暗号化することで金銭の支払いを要求します。被害者はランサムウェアによって悪意のあるWebサイトへ誘導され、ランサムウェアをインストールするよう促されるケースも確認されました。当然ランサムウェアとわからないように、フォントのダウンロードやセキュリティソフトのフリをしてPCに入り込むのです。
ランサムウェアとマルウェアの違い
マルウェアとは(malicious software)の略語であり、PCやスマートフォンに不具合を起こす目的で作成されたソフトウェアのことを指します。
ランサムウェアはマルウェアの一種
ランサムウェアは、複数存在するマルウェアのうちのひとつです。ランサムウェアに感染したPCでは、利用者のシステムアクセスが制限されてしまいます。
ランサムウェアには、OSの脆弱性を悪用した脆弱性型やアップデートを繰り返すような進化型など、感染の拡大パターンが数種類あります。
マルウェアの種類
ウイルス
ウイルスは、コンピュータウイルスとも呼ばれる、プログラムの一部を書き換えて自己増殖するマルウェアです。メールの添付ファイルなどから侵入しますが、自己増殖することができないため既に存在するプログラムの一部を改ざんして入り込むことで増殖していきます。
かつてはウイルスに感染した際、PCの画面上になんらかの異常が表示されたためすぐに感染に気づくことが可能でした。しかし近年では、すぐには見えないところでファイルの改ざんが行われたり、意図せずとも他人にウイルスがついたファイルを送ってしまうことでほかのPCに感染させてしまったりするケースが増えてきています。
ワーム
ワームは自己増殖をするマルウェアの一種で、一度感染してしまうとネットワークを介して不特定多数のIPアドレスにアクセスするなどして、他のPCに次々と感染していきます。ウイルスと異なり他のプログラムに寄生せずとも単独で存在可能であることから、ワーム(脚がなく細長い虫の意味)と呼ばれています。
ワームの感染経路として多いのが、メールの添付ファイルを介したものです。ネットワークに接続しただけで感染してしまうワームもあり、対策が困難なマルウェアです。
トロイの木馬
トロイの木馬とは、無害な画像ファイルや文章、スマートフォンのアプリケーションになりすまし、悪質でないプログラムに見せかけてコンピュータの内部に侵入するマルウェアです。害があるとは思わずに開いたファイルや、有益なアプリケーションだと思ってダウンロードすることで感染します。
ウイルスは既存のファイルやプログラムがなければ活動することができませんが、単体のソフトウェアとして活動可能なトロイの木馬はファイルやプログラムを必要としないマルウェアです。自己で増殖するような機能がない点も、ウイルスと異なるポイントです。
スパイウェア
ウイルスやワームのように自己で増殖する機能を持っておらず、主に情報収集を目的としたマルウェアがスパイウェアです。気がつかないうちにPCにインストールしてしまっていることが多くあり、被害にあってもすぐに対処しづらいことが特徴です。
このことから、感染に気づかないうちに企業の情報漏洩が広まり、被害が大きくなりやすいのもスパイウェアの特徴です。顧客情報や機密情報を多く取り扱う企業では、特に危機意識をもってスパイウェアの対策を行う必要があります。
ランサムウェアでどんな被害がある?
ランサムウェアに感染すると、PC内の保存しているファイルが暗号化されたり、パスワードが変更されたりなど、正常な操作ができなくなります。データにアクセスしようとすると警告画面が表示され、データの復元と引き換えに金銭を支払うよう要求されるのが特徴です。支払い要求に従わない場合、一定時間ごとにデータを徐々に削除していくなど悪質な脅迫も報告されてきました。
さらに、感染したPC内のファイルが暗号化されるだけでなく、PCと接続された別のストレージのデータも暗号化される危険性があります。また、ランサムウェアは何度か対象や規模、システムの形を変えて被害を引き起こして来ました。今後もランサムウェアの脅威が考えられることから、情報は常に集めておく必要があります。
ランサムウェアによる被害事例
Reveton
2012年頃に広がったランサムウェアです。トロイの木馬としてPCに入り込み、感染したPCで海賊版ソフトや違法ポルノをダウンロードしたと架空の理由でシステムをロックします。通知は警察から送られたように偽装しており、画面に利用者のIPアドレスを表示するといった工夫がされています。
被害者は警察にPCを監視されていると誤認し、システムロックを解除するためにはプリペイドキャッシュを使い罰則を支払うよう促され、金銭をだまし取られていました。また、2014年にはRevetonの亜種とも言われる「TROJ_REVETON」が広がり話題になりました。こうした被害は実際の警察からの周知やセキュリティソフトの強化によって対処されています。
VVVウイルス
2015年に話題となったランサムウェアです。感染したPCのファイルの拡張子を「.vvv」に自動的に変換して使えなくするといった被害が確認されました。「拡張子をもとに戻してほしければ金銭を・・・」といった警告が表示される仕組みです。日本国内でも限定的ですが被害が報告されており、メール添付ファイルや改ざんされたサイトから感染したと分析されています。攻撃は海外を中心に広まり、英語で書かれた脅迫文には英語がわからない場合にはGoogle翻訳を使うよう勧める文言が冒頭に書かれていました。現在は各社のセキュリティソフトがVVVウイルスに対応し、感染のリスクは低くなっています。
WannaCry
史上最大の攻撃と言われ、2017年に世界150ヵ国20万件以上の大規模感染が確認されていたランサムウェアです。日本企業からの被害報告も確認されています。WannaCryはマイクロソフトが対応できなかったセキュリティ上の欠陥、「脆弱性」を利用することで感染を広げました。感染は個人や企業にとどまらず政府機関や病院にまで広がり、欧州では被害を受けたことが原因で病院が閉鎖するといった混乱を招いています。
WannaCryの被害は、とあるセキュリティ企業が無効化措置を発見したことで収まりました。マイクロソフトは定期的に脆弱性に対応するためのアップデートを発表しており、現在では修正プログラムによってWannaCryに感染するリスクは軽減されています。
感染経路
ランサムウェアの感染経路は大きく分けて「Webサイト」と「メール」の二つあると言われています。感染防止のため、それぞれの特徴を理解しておきましょう。
Webサイト
WannaCryのようにセキュリティの脆弱性を攻撃する手法も、Webサイトを利用したケースです。攻撃側がウイルスを仕掛けたWebサイトを作り、ユーザーが閲覧するとランサムウェアに感染してしまいます。正規のWebサイトであっても攻撃側が侵入し、いつの間にかプログラムを書き換えたケースも発見されました。最近では感染端末を通して企業内のネットワークで増殖することもあり、管理が行き届かずセキュリティ更新を頻繁に行えていない企業が狙われる傾向が強いです。
ほかにも、ユーザー自身にランサムウェアをインストールさせる手口も報告されています。例えば、特定のサイトにアクセスした時に、文字化けした状態でサイトが表示されフォントをインストールするように促す表示が現れます。インストールボタンをクリックすると、フォントではなくランサムウェアをインストールさせる手口です。
メール
メールの場合は本文内のリンクや添付ファイルを開くことでランサムウェアに感染させる、トロイの木馬のような手口が定番です。請求書や不在通知といった重要な内容のメールだと誤認させ、文書ファイルを開くと端末がランサムウェアに感染します。メールの内容はスパムメールと標的型メールの場合があります。
スパムメールの場合は迷惑メールフィルタを利用することである程度は自動的に排除可能です。一方で標的型メールの場合、あたかも関係者のような内容でメールが送られてくるため自身で判断する必要があります。ランサムウェアという危険性を知らなければ、誤って開く可能性があるのでセキュリティソフトの強化や定期的にPCが最新の状態であるかを確認するなどの対策をしておきましょう。
ランサムウェアの対策は?
企業でのランサムウェアの対策はシステム担当の管理者の対策はもちろん、社員一人ひとりの理解も重要です。個人と管理者に分けてそれぞれができる対策を考えてみましょう。
個人の対策
メールのリンクや添付ファイルは安易に開かない
メールによるウイルス攻撃は、不特定多数の相手に送信して感染させようとします。実在する企業や公共機関を名乗るメールなど、うっかり開いてしまいそうな情報を掲載しています。疑わしいメールが届いたら、一度該当する企業のホームページを参照してみましょう。ウイルスによる被害報告がある場合、該当する企業がホームページにて注意喚起の情報を周知していることもあります。信頼できるメールでなければ、安易に開かないようにしてください。
OSのアップデート
マイクロソフトは脆弱性の対策として、定期的にOSのアップデートをリリースしています。脆弱性を残していると攻撃を受けてランサムウェアに感染するリスクが高くなるので注意が必要です。自動更新を有効にしたり、定期的にWindows Updateの情報を確認したりして脆弱性を修正するようにしましょう。
管理者
不正サイトへのアクセスをブロック
Webレピュテーション機能を搭載したシステムなら、Webサイトにアクセスする前にセキュリティソフトが安全性を確認してくれます。不正なWebサイトへのアクセスを防止することで、信頼性の低いランサムウェアが仕組まれたサイトへアクセスするリスクを軽減可能です。
エンドポイントへのウイルス対策
エンドポイントとは、終点や末端という意味を持つ英単語で、IT用語としてはネットワークに接続された端末を指します。エンドポイント対策を実施しているセキュリティソフトは、アプリケーション起動後にもPCを保護する起動後制御技術を採用しています。PC内に入り込んだアプリケーションが起動される際に、一時的にプロセスを隔離することでエンドポイントへの侵入をブロックします。
製品によってはアプリケーション起動前に起動場所と発信元の確認を、起動後にはレジストリキーの変更やメモリ保護を行います。起動前制御をユーザーの許可によってクリアした場合でも起動後に継続監視してくれるため、ランサムウェアからの攻撃を高い確率で防いでくれるでしょう。
バックアップをこまめに取る
対策ソフトや脆弱性の対策をすり抜けたランサムウェアに感染する可能性を考え、ファイルサーバーのバックアップはこまめに取りましょう。万が一感染した場合でも、バックアップからデータを復元することで被害を最小限に軽減することができます。また、ランサムウェアに感染したPCだけでなく、アクセス可能な共有ファイルやドライブ内のデータが暗号化される被害も報告されています。部分的なバックアップではなく、管理しているすべてのサーバーをバックアップするように心がけましょう。
システムのバックアップも取る
重要なファイルのバックアップを取っておいたとしても、ランサムウェアに感染することでそのPCが使えなくなる可能性があります。システムのバックアップを取っておくことで、万が一ランサムウェアに感染した場合でも感染していない状態にまで戻すことが可能です。ただし、システムのバックアップは100%成功するものではありません。
システムのバックアップ方法については、Windowsであれば「システムの復元」や「システムイメージのバックアップ」などの機能が備わっています。システムの復元では、自動で復元ポイントを作成し、PCに何か不具合があった場合にそのポイントまで戻すことが可能です。この機能で復元した場合、システムの状態はその時点まで戻りますが、画像ファイルや文書ファイルなどは基本的にそのまま維持されます。
システムイメージのバックアップでは、画像ファイルや文書ファイルなどもまとめてPCのその時点の状態をそのままコピーします。一部コピーされないファイルはありますが、システムがそのままコピーされているため、PCに何かあった時 のバックアップとして有効です。ただし、システムイメージを作成した後に保存したファイルは失われてしまうため、ファイルのバックアップは別で行うことをおすすめします。
復号ツールを使用する
セキュリティ対策ソフトを提供している各セキュリティベンダーは、ランサムウェアによって暗号化されたファイルを復号するためのツールを無償で提供しています。
ランサムウェアによる被害が確認されるとセキュリティベンダーは対策を行うため、復号ツールにてランサムウェアを駆除し、データを取り戻せる可能性があります。
セキュリティ対策ソフトのサポートを利用する
自社内でランサムウェアにどう対処すればいいかわからない場合などは、導入しているセキュリティ対策ソフトのサポートを利用できます。できるだけ早く適切なサポートを受けることで、ランサムウェアによる被害を最小限に抑えることができます。
万が一セキュリティ対策ソフトを導入していなかった場合は、契約中のインターネットプロバイダーやPCの購入店に相談することも可能です。
もしも感染してしまったら
対策を施していても、新しく開発されたウイルスには対抗できない可能性も考えられます。事前の対策はもちろん必須ですが、感染してしまった場合の対処法についても把握しておきましょう。
事前の対策方法と感染した時の対処方法
ネットワークから感染端末を遮断する
ネットワークでほかの端末とファイルを共有している場合、ほかの端末へ被害が拡大する可能性があります。感染に気づいた時は「LANケーブルを外す」「無線をオフにする」などして、ネットワークから遮断し被害を抑えましょう。
復元ツールを試す
Windowsで使用できる『システムの復元』によって、データを戻せる可能性があります。ただし、この方法は確実とは言えず、システムの復元を使ってもランサムウェアが残ってしまうかもしれません。
バックアップやクラウドからデータを戻す
バックアップが残っていればそこからデータを戻せます。クラウドストレージを使用している場合でも、ファイル変更履歴から復元したり、削除したファイルを戻せたりする場合があるので確認してみましょう。
相手の要求には応えない
「攻撃側の要求をのむ」、この選択は最終手段ですが、決して推奨されてはいません。事業に致命的な影響を及ぼすデータであれば、要求に応えることを検討しなければいけないのでは?と考えてしまうかもしれませんが、仮に応じたとしても、ランサムウェアが解除されるという保証はありません。それが、金銭の要求であったとすれば、データが戻る保証はないので、費用もデータも失う最悪のケースも考えられます。
利益を守るための事前対策が重要
身代金要求ウイルスも呼ばれるランサムウェアは規模、形を変え今まで何度か報告されています。信頼できないソフトウェアを実行しない、安易にメールの添付ファイルを開かないといった対策は社員の共通認識として持っておくべきでしょう。ソフトウェアの実行前に確認を取るセキュリティソフトもありますが、意図しない時にPCにランサムウェアが入り込むかもしれません。そのため、ソフトウェア実行後に不正な動きを阻止するエンドポイントセキュリティも効果的です。
![検出型セキュリティの限界とマルウェアを発症させないことの重要性](https://www.daikodenshi.jp/daiko-plus/wp-content/uploads/2023/09/13【セキュリティ】検出型セキュリティの限界とマルウェアを発症させないことの重要性.png")
