この記事では企業・組織が取り組むべき、9つのランサムウェア対策と、2024年現在におけるランサムウェア事情などについてご紹介します。

「ランサムウェアの対策から知りたい」という方は、ランサムウェアに感染しないための対策
からお読みください。

IPAが毎年発表している「情報セキュリティ 10大脅威」によれば、組織向けの脅威として「ランサムウェアによる被害」が4年連続で1位（2021年から2024年）を獲得するなど、ランサムウェアへの注目度の高さがうかがえます。

また、ランサムウェアの対象は業界や企業規模を問わず、国内でも様々な組織で、データの暗号化や情報漏洩、身代金の要求といった被害が報告されています。

ランサムウェアに感染すれば、業務の継続が困難になるだけでなく、社会的な信用の低下や金銭的な損失など深刻な影響を及ぼしかねません。企業・組織は徹底したランサムウェア対策が必須です。

ランサムウェアとは？

ランサムウェアとは、マルウェア（悪意のあるソフトウェアやコードの総称）の一種です。

攻撃者はターゲットとなる組織のコンピューターシステムに、ランサムウェアを感染させ、機密情報などが含まれるファイルを暗号化し、その解除を条件に身代金を要求します。

ランサムウェア攻撃を受けると、システムダウンによる業務停止や重要データの損失、さらにはデータ復旧のための身代金の支払いなど、企業・組織にとって深刻な被害が、数多く発生する可能性があります。

ランサムウェアの主な感染経路

ランサムウェアの主な感染経路に、以下のような物があげられます。

以前まではメールや不正なWebサイトを使って、ランサムウェアに感染させる手口が主流でした。

しかし、近年ではVPN機器やリモートデスクトップの脆弱性を悪用し、ランサムウェアに感染させる手口が増加しています。

▼警察庁「ランサムウェア感染経路の内訳」

出典:警察庁- 令和４年におけるサイバー空間をめぐる脅威の情勢等について

※VPN接続…インターネット上に自社専用の仮想回線を構築し、通信を行う接続手法。
※リモートデスクトップ…離れた場所にあるPCのデスクトップを、手元の端末からインターネット経由で「遠隔操作」できる仕組み。

VPN機器やリモートデスクトップは、ともにテレワークの普及によって、活用する企業が増加しました。ターゲットの環境や働き方の変化にあわせて、攻撃者も巧妙に手口を変えていることがうかがえます。

ランサムウェアに感染しないための5つの対策

「ランサムウェアに感染しない」ため、企業・組織に取り組んでほしい対策は以下の通りです。

1．従業員にセキュリティ教育を行う

組織のセキュリティ対策において、従業員のセキュリティリテラシー（情報セキュリティに関する知識・技術を身につけて実践できる能力）を向上させることは、必要不可欠です。

そのためには、従業員に対して定期的にセキュリティ教育を行う必要があります。

ランサムウェア対策をはじめ、多くのサイバー攻撃に有効な対策として

といったことを、セキュリティ教育にて周知する必要があります。必要に応じて、不審なメールやWebサイトを見極めるためのトレーニング等を実施するのも有効です。

ランサムウェアは、メールの添付ファイルやURLを介して感染することがあるため、従業員には不審なメールの添付ファイルやURLを開かないように指導しましょう。さらに、不正なWebサイトを閲覧するだけで感染するケース、フリーソフトにマルウェアが含まれているケースもあるため、業務に関係のないWebサイトやフリーソフトの利用は避けるよう呼び掛けてください。

また、私物のデバイスを会社のネットワークに接続しないように指導することも大切です。自身のPCがランサムウェアに感染していた場合、社内ネットワークを通じて他の端末に感染が広がる可能性があります。

ただし近年のランサムウェアは非常に巧妙で見破りにくいため、万全なセキュリティ教育を行っていても、被害が発生する恐れがあります。そのため、以降で紹介する対策もあわせて行うことが重要です。

2．信頼できるアンチウイルスソフトを導入する

アンチウイルスソフトを導入することで、ランサムウェアの侵入を防ぐことができます。基礎的なサイバー攻撃対策として、アンチウイルスの導入は欠かせません。

特に、従来のパターンマッチング方式では防御できない未知の脅威にも対応できる、定義ファイルに依存しないアンチウイルスソフトを選ぶのがおすすめです。

パターンマッチング方式とは、過去に検知したマルウェアのデータファイルをもとに、性質が類似しているかを比較し、マルウェアや脅威を見分けるといった方法です。過去のマルウェア（ランサムウェア）の使いまわしであれば検知できる一方、現在では攻撃者の大半が新たに生み出した未知のマルウェアを攻撃に使用するため、十分な検知が困難とされています。

LANSCOPE サイバープロテクションでは、パターンファイルに頼らず未知・亜種のマルウェアやランサムウェアを検知する、AIアンチウイルスを提供しています。

3．OSやソフトウェア、VPNを常に最新の状態しておく

OSやソフトウェア、VPNを最新の状態にアップデートしなければ、セキュリティプログラムが更新されず、脆弱性（セキュリティ上の欠陥）が残った状態となります。脆弱性の放置は、ランサムウェアをはじめ様々なサイバー攻撃に狙われる原因となります。

特に、先述の通りランサムウェアの感染経路で最も多いのが「VPN機器」を狙ったものであり、VPNの脆弱性を放置していたことに起因するケースが少なくありません。また、VPNの認証情報自体が漏洩していることも原因の一つなので、テストアカウントや退職者のアカウントなどは、都度削除することを心がけましょう。

OSソフトウェア・VPN機器などは、定期的にアップデートを行い、最新のセキュリティパッチ適用を心がけましょう。

4．認証方法の強化

ターゲットの所持するVPNなどのネットワーク機器、あるいはシステムアカウントやクラウドサービス等に攻撃者が不正にログインし、侵入や不正な操作をおこなうといった被害が多発しています。

脆弱な認証方法やパスワードを採用している場合、ランサムウェア被害に遭う（ネットワークに侵入され、ファイルが暗号化される）リスク、また感染時の被害が拡大するリスクを助長するため、認証方法の強化も積極的に行っておきたい対策です。

認証に「推測されにくいパスワードを設定すること」も必要ですが、根本的に不正ログインを解決するのであれば、多要素認証やIPアドレスによるアクセス制限などの導入が有効といえます。

多要素認証とは、知識情報（パスワードなど）、所持情報（スマートフォンなど）、生体情報（指紋など）の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。

▼多要素認証のイメージ

多要素認証であれば、仮にパスワードを攻撃者に不正利用された場合も、認証を突破されるリスクを最小限に抑えられるでしょう。

また、IPアドレスによるアクセス制限は、特定の場所からのアクセスのみを許可することで、不正なアクセスを防ぐことができます。

5．ネットワーク監視のセキュリティを導入する

企業・組織の監視領域をネットワークに広げることで、より早期にランサムウェアを検出し手を打つことができます。

ネットワークを監視・検知するソリューションの例としては、以下のようなものがあります。

IPSとIDSはネットワークへの通信を監視し、悪意のあるパターンや挙動があれば、侵入を阻止する役割を果たします。

またNDRはネットワーク全体の通信パターン・トラフィックを広く監視し、分析することで異常な活動を検出し、駆除や隔離といった対応を行います。SIEMはセキュリティイベントの収集、分析、報告を行い、セキュリティインシデントに対する即時の対応を支援するソリューションです。

アンチウイルスなどのエンドポイントセキュリティとあわせて、上記のようなネットワークを監視するソリューションを導入することで、防御層を複数設置する「多層防御」を実現することは、ランサムウェア対策として非常に有効です。

MOTEXでは、ネットワーク全体の通信状況を可視化し、ランサムウェア攻撃などの異常な挙動を検知・素早く侵入へ対処できる、NDR「Darktrace（ダークトレース）」を提供しています。

ランサムウェア被害を最小限にするための4つの対策

前章では「ランサムウェアに感染しないためには、どうすればよいか」に焦点をあてて対策を紹介しました。

以降では、ランサムウェアに感染してしまった場合を想定し、「被害を最小限に抑えるため」に日頃から実施すべき対策について、ご紹介します。

1．バックアップを取得し、適切に管理する

ランサムウェアに感染すると、組織の所有する重要なデータや機密ファイルが、攻撃者によって暗号化されてしまいます。最悪の場合、暗号化を解除できず重要なデータを失う可能性もあるため、組織は日頃からこまめにバックアップを取得しておくことが欠かせません。

バックアップの保管・管理は、「3-2-1ルール」に従って行うことが推奨されています。

注意点として、バックアップに使用する装置や媒体は、バックアップ時のみパソコンと接続するようにしましょう。バックアップに使用する外付けHDDやUSBメモリの接続を常習化すると、ランサムウェア感染時、バックアップしたファイルまで暗号化されてしまう危険性があるためです。

また、企業の中には「バックアップを取っていたのに、いざ復旧しようとすると、データを復元できなかった」という声も少なくありません。万一の感染時に備えて、定期的に「バックアップから復元できるか」を確認しておくことも、忘れないようにしてください。

2．アクセス権限を最小化する

攻撃者は、組織の保有する「より重要なデータ」に近づくため、セキュリティの手薄なシステムから侵入し、侵入後に活動範囲を広げる「ラテラルムーブメント」を行います。

※ラテラルムーブメント…ネットワークに侵入した後、ネットワーク内を水平方向に移動しながら、侵害範囲を徐々に拡大していく攻撃手法。

攻撃者は必要な特権昇格を行い、複数のシステムやアカウントを侵害していくため、対策として「アクセス権限の最小化」が効果的です。

例えば、組織の重要データへアクセスできる人材を幹部に限定する、システムへのログインは担当部署のみに権限を渡す、などが有効です。アクセス権限は定期的に見直し、必要のない権限は小まめに削除することを心がけましょう。

3．EDRを導入する

EDRとは、エンドポイントにおけるランサムウェア感染を早期に検知し、サイバー攻撃の被害を最小化するためのセキュリティソリューションです。アンチウイルスと併用することで、真価を発揮します。

EDRではPCなどエンドポイントを広く監視することで、万一ランサムウェアがアンチウイルスをすり抜けて侵入した場合も、侵入後の脅威を素早く検知できます。さらに、ランサムウェア感染が疑われる端末を隔離、駆除する機能も備えているため、ほかの端末に感染が拡大するリスクも防ぐことが可能です。

ただし、EDR単体ではランサムウェアの侵入をブロックすることはできないため、アンチウイルスソフトとEDRを併用することで、エンドポイントセキュリティのさらなる強化が期待できます。

LANSCOPEサイバープロテクションでは、アンチウイルスとセットで導入できるEDR「CylanceOPTICS」を提供しています。

4．インシデント対応計画を策定しておく

インシデント対応計画とは、組織がセキュリティインシデントに対処するための、手順やプロセスを文書化したものです。

などの具体的なアクションを明確化しておきます。

他にも、どういった事象がセキュリティインシデントとみなされるのか、セキュリティインシデントが発生した場合、誰を責任者にするのかなども、明文化しておく必要があります。

インシデント対応計画をあらかじめ策定しておくことで、有事の際も迅速な対応が実現できます。

近年のランサムウェアの傾向

近年のランサムウェアの傾向について、お話しします。

「主な感染経路」の章でも説明した通り、以前はランサムウェアを仕込んだファイルをメールに添付し、それを不特定多数のユーザーに送るといった手口が一般的でした。しかし、最近のランサムウェアは特定の組織・企業を狙った「標的型攻撃」が主流化し、VPN機器やリモートデスクトップの脆弱性を悪用した感染が増加しています。

また、暗号化されたデータの解除に加え、窃取したデータの非公開を条件に、追加で金銭を要求する「ダブルエクストーション（二重恐喝）」が行われるケースが常習化しています。令和5年の警察庁の報告でも、手口を確認できたランサムウェア被害83件のうち、 二重恐喝の手口によるものが全体の78％（65件）を占めていると報告されています。

出典：警察庁│令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について

さらに、DDoS攻撃であったり、被害組織の顧客や利害関係者を執拗に攻撃する多重脅迫の手法が使われるケースも増えています。

暗号化しない新たな手口「ノーウェアランサム」も

2023年、国内で初めて報告された脅威として注目されているのが、「ノーウェアランサム」です。

従来のランサムウェアはシステムへの侵入後、データを暗号化して利用不能にし、その解除と引き換えに高額な身代金を要求します。

しかし、ノーウェアランサムはデータを暗号化せず、最初からターゲットのデータ公開・ばらまき等と引き換えに、身代金を要求するという特徴があります。

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和５年９月21日）

暗号化の手順を飛ばすことで、攻撃者はより少ない工数で攻撃を仕掛けることが可能になり、ノーウェアランサムによる被害件数は、今後ますます増加する可能性が示唆されています。

ランサムウェアに感染した場合の対処法

万一、ランサムウェアへ感染してしまった場合（感染が疑われる場合）は、以下の対処法を実施しましょう。

1　感染した端末をネットワークから隔離する

最初に行うことは、感染端末をネットワークから隔離することです。

感染端末をネットワークに接続したまま放置すると、ネットワークを介して組織内の別の端末に、感染が拡大するリスクがあるためです。

・有線接続の場合は、端末に接続されているLANケーブルを抜くなどして、接続を切断します。
・無線接続（Wi-Fi）の場合は、端末のWi-Fi設定をオフにすることで、ネットワークから切り離します。

またバックアップしたデータが感染した端末と同じネットワーク上にある場合は、データの保護のためにも早急に隔離する必要があります（万一に備え、バックアップは同一ネットワーク上以外の場所にも、保存するようにしましょう）。

2　ランサムウェアに感染したことを報告する

万が一ランサムウェアに感染した場合は、情報システム部門や関連部門へ速やかに報告しましょう。

報告をする際は、感染の疑いがあるネットワークは利用せず、事前に定めたコミュニケーション手段を利用するようにしてください。

また、各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報し、公的機関も交えて調査や対応を進めるようにしましょう。

3　初動調査を行う

感染の状況と被害範囲を評価するために、導入済みのアンチウイルスや監査ログなどを用いて、初動調査を実施します。

他のウイルス感染やサイバー攻撃を受けている可能性もあるため「そもそも本当にランサムウェア攻撃による被害なのか」を、端末に起きている不具合や症状から判定する必要があります。

また感染状況の調査と並行して、感染していると考えられる端末台数や感染範囲、ランサムウェア種類の把握も進めましょう。ランサムウェアの種類によっては復号ツールが公開されている場合もありますので、種類の特定は重要なステップです。

組織内での調査が困難である場合は、外部へフォレンジック調査や復旧対応を依頼するのも1つの手段です。

組織のランサムウェア対策なら、LANSCOPEサイバープロテクションにお任せ

最後にランサムウェアをはじめとする、各種マルウェア検知に優れた、弊社のAIアンチウイルス「LANSCOPE サイバープロテクション」について、ご紹介させてください。

「LANSCOPE サイバープロテクション」では、高度なランサムウェア攻撃も検知・ブロックする、2種類のAIアンチウイルスを提供しています。  

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「Cylanceシリーズ」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。アンチウイルスとEDRを併用することで、ランサムウェアを侵入前・侵入後の両方で、早期に検知・対応することが可能となります。

しかし、実際は「EDRによるセキュリティ監視に手が回らない」というお客様の声も多く、アンチウイルスとEDRの併用が、機能していないケースが少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct（ディープインスティンクト）」

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

ランサムウェアをはじめ、2020年以降に国内でも猛威を振るった「Emotet（エモテット）」などの脅威も、 Deep Instinctであれば検知することが可能です。

手ごろな価格帯で導入できるのも魅力です。ぜひ以下の製品ページよりご覧ください。

万一、ランサムウェアに感染したら？インシデント対応サービスにお任せください

「ランサムウェアに感染してしまったかも」  
「システムへ不正アクセスされた痕跡がある」  

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。  

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。  
「自社で復旧作業を行うのが難しい」「ランサムウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。  

まとめ

本記事では「ランサムウェア対策」をテーマに、企業・組織が最低限取り組みたい、基本の対策方法について解説しました。

ランサムウェアに感染すれば、最悪の場合、事業そのものの継続が困難になることも考えられます。本記事も参考に、企業・組織は改めて現状のランサムウェア対策を棚卸し、会社全体で、自社に必要な施策に取り組んでいきましょう。

またMOTEXでは、ランサムウェア対策に役立つホワイトペーパーもご用意しました、ぜひご活用ください。