Written by Fumi
Webコンテンツディレクター
プロフィール:Webライター・編集者を経て現在はディレクターに携わる。扱っているコンテンツは主にSEO記事、ホワイトペーパー、自社メディア。マーケティング・DX系を中心に執筆中。
目 次
ランサムウェアとは
ランサムウェアの特徴
・ランサムウェアの代表的な「感染経路」
・ランサムウェアの典型的な動作
・「仮想通貨」による支払い要求
ランサムウェアの影響範囲と被害リスク
なぜランサムウェアは脅威だと言われているのか?
企業を対象にした「標的型ランサムウェア」が増えている
・標的型ランサムウェアは、従来の「ばらまき型」と何が違うのか
・日本の大手ゲーム会社の標的型ランサムウェア感染事例
代表的なランサムウェアの種類
・WannaCry
・Cryptowall
・PETYA/GoldenEye
・LockBit
ランサムウェアの被害に遭わないための対策
ランサムウェアに感染してしまったら?
まとめ
ランサムウェアとは、企業・組織の重要なファイルを暗号化し、その復旧と引き換えに身代金の支払いを要求する、悪質なサイバー攻撃の1つです。
「① 暗号化復旧に対する身代金の要求」に加え、「② 盗んだファイルのばらまき・拡散を取りやめるのと引き換えに、身代金を追加で要求する」という、二重恐喝(ダブルエクストーション)の手口も、近年では頻繁に見られるようになりました。
ランサムウェアは、コンピュータに悪事を働くソフトウェア「マルウェア」の一種であり、2023年現在、世界的に最も注目されるサイバー脅威といっても過言ではありません。
実際に日本国内でも、2022年(令和4年)のランサムウェア被害の件数は、過去最多となる230件を記録するなど、猛威をふるい続けています。
この記事では、2023年度も被害が後を絶たない「ランサムウェア」について、概要や特徴を、実際に感染した企業の事例を交えてわかりやすく解説します。ランサムウェア攻撃への対策を知りたい方は、「ランサムウェア被害にあわないための対策」より、ぜひご覧ください。
ランサムウェアとは
ランサムウェア攻撃とは、組織の内部ネットワークへ不正にアクセスすることで、社内機密や顧客情報などの重要データを盗み出し、それらを暗号化することで、解除(復旧)と引き換えに身代金を要求する、サイバー攻撃手法の1つです。
ランサムウェア攻撃に用いられる「ランサムウェア」とは、多くのサイバー攻撃で用いられる「マルウェア」の一種に該当します。
マルウェア(Malware)はコンピュータに悪事を働くソフトやコードの総称で、PC等のデバイスへ不正にアクセスし何かしらの害を及ぼします。よく知られる「コンピューターウイルス」も、このマルウェアのうちのひとつです。
ランサムウェアは、「ランサム(Ransom=身代金)」と「ウェア(Software)」を繋げた造語であり、ソフトウェアを悪用し、身代金を要求するマルウェアという特徴から名づけられました。
IPA「情報セキュリティ10大脅威」で、ランサムウェアは3年連続で1位に
国内のランサムウェア攻撃における注目度を示す指標として、独立行政法人情報処理推進機構「IPA」が毎年公開する「情報セキュリティ10大脅威(組織編)」があげられるでしょう。
前年度、国内で最も社会的に影響を与えたサイバー脅威を選出する本件で、「ランサムウェアによる被害」は2021年以降、2023年現在まで3年連続で1位を獲得しています。
| 順位 | 組織 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
出典:IPA|情報セキュリティ10大脅威 2023(2023年1月25日)
2020年以降、国内ランサムウェア被害件数は右肩上がりで上昇
ランサムウェア攻撃による実被害も、国内で急激に増加しています。令和5年、警察庁が発表した「企業・団体等におけるランサムウェア被害の報告件数」における推移は、2020年から2022年の下期にかけて、右肩上がりで上昇していることが伺えます。
出典:警察庁|令和4年におけるサイバー空間をめぐる脅威の情勢等について(令和5年3月16日)
ランサムウェア攻撃は年々攻撃が巧妙化し、対策が難しくなってきているのが現状です。特に新型コロナウイルス感染拡大による「緊急事態宣言」以降は、在宅勤務・テレワークの普及に起因する、VPN経由の不正アクセスなど「セキュリティの脆弱性」を狙った攻撃が増加しています。
参考:内閣サイバーセキュリティセンター|ランサムウェアによるサイバー攻撃について【注意喚起】(2020年11月26日)
ランサムウェアの特徴
では、ランサムウェアの具体的な特徴にはどのようなものがあるのでしょうか。
●代表的な「感染経路」
●典型的な「動作」
●「支払い要求」の内容
という3つの観点から解説します。
ランサムウェアの代表的な「感染経路」
ランサムウェアの代表的な「感染経路」として、以下のような例が挙げられます。
●VPN機器
●リモートデスクトップ
●Webサイト
●メール・添付ファイル
●ファイルダウンロード
●USBメモリなど外付けHDD
・VPN機器・リモートデスクトップを狙う手口が増えている
以前までは「メール」「Webサイト」を狙う犯行が一般的でしたが、最近では「リモートワーク」の普及に伴い、「VPN機器」「や「リモートデスクトップ」の脆弱性をついた悪質な攻撃被害が増加しています。
実際、警察庁が2022年9月に公表した「令和4年上半期のランサムウェア被害の実態」でも、感染経路として最も多かったのが「VPN機器からの侵入(68%)」、次点で「リモートデスクトップからの侵入(15%)」であったことが報告されています。
[出典]警察庁 – 令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について(1.66MB)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
VPNは社外から「社内ネットワーク」へアクセスするための接続機器です。攻撃者は脆弱性のあるVPN機器を経由して、社内ネットワークへ不正にアクセスし、ランサムウェアを送り込むといった手口を用います。
・Webサイト
WordPressを始めとしたCMS(コンテンツ・マネジメント・システム)の改ざんによって、脆弱性を攻撃する不正サイトへの誘導を促します。サイトに表示されているインターネット広告にランサムウェアが紛れ込んでいる場合があります。
・メール・添付ファイル
いわゆるフィッシング詐欺のように、リンクや添付ファイルを送付したスパムメールやなりすましメールを送り、アクセスしたPCをランサムウェアに感染させる手口です。
ランサムウェアの典型的な動作
ランサムウェアの感染時に見られる「動作」として、典型的なものをご紹介します。
・PPCを感染前の状態に戻すことと引き換えに「金銭の支払いを要求する画面」が表示される
例:「このデータを返してほしければ○日以内に△△円を支払え」という脅迫文
・ランサムウェアが活動開始すると「感染PCの特定機能を無効化し操作不能にする」もしくは「データファイルを暗号化し利用不能にする」などの悪質な操作が行われる
「仮想通貨」による支払い要求
ランサムウェアのもうひとつの特徴として、身代金に使用する貨幣として、より身元を隠しやすい「仮想通貨」が頻繁に用いられることが挙げられます。そのため、支払ってしまった後に警察へ通報しても、犯人は既に雲隠れして、身代金は戻ってこず(最悪の場合、暗号化されたデータも復旧せず)泣き寝入りに……というパターンも少なくありません。
とりわけ比較的入手しやすく信頼度の高い「ビットコイン」は、ランサムウェアの身代金要求時の標準通貨となっていました。しかし、2023年現在では価格変動や手数料の高騰といった要因から、その他の暗号通貨が積極的に利用される様子も見受けられます。
ランサムウェアが影響する範囲
ランサムウェアが影響する範囲は、システム、業務、金銭的被害、そして情報流出による社会的信用の失墜にまで及びます。具体的な被害内容について例をご紹介します。
システム上の被害
感染PC上で有効な操作ができなくなり、さらに感染PC内のファイルやネットワーク上の共有ファイルが暗号化されランサムウェアの駆除を行っても暗号化されたまま利用できなくなる、といったハードウェアやOSの被害。
業務上の被害
ランサムウェア被害によりシステムがダウンし、業務が停止する被害。(例)大手自動車メーカーの工場稼働停止、医療機関の診療・手術停止など
金銭的被害
要求された「身代金」を支払うことによる金銭的な被害。
ちなみに、2021年の世界全体のランサムウェア事件の身代金の平均支払額は「約54万ドル(約7317万円)」に及んだとのことです。
参考:パロアルトネットワークス株式会社│2022年度版:Unit 42 ランサムウェア脅威レポート
https://www.paloaltonetworks.jp/company/press/2022/ransomware-threat-report-2022
情報漏洩害
顧客の個人情報や会社の機密データが窃取され、インターネット上で公開される情報流出と、それに起因する社会的信用の失墜。ランサムウェア攻撃を受ける業種によっては、ときにその被害が人命に影響を及ぼす可能性もあります。
こちらについては次項にてお話しします。
なぜランサムウェアは脅威だと言われているのか?
数あるサイバー攻撃の中でも、なぜ「ランサムウェアによる被害」が、とりわけ大きく注目されるのでしょうか。主な理由をまとめました。
・情報社会の現在において金銭以上の資源とも言えるデータが凍結されてしまうため
・「金銭」の要求をするうえ犯人が「身元不明」であるため
・仮に高額な身代金を支払っても、データが返ってくる保証はないため
・金融機関や医療機関などの大きな組織をターゲットにすることも多く、生活インフラ凍結の引き金になるため
・支払った金銭は裏組織・闇社会の手にわたる可能性が高いため
最近では高額な身代金目的で、あらかじめ特定の企業をターゲットにし組織の脆弱性を狙う「標的型ランサムウェア攻撃」が増えています。なかには人命に関わる医療機関や私たちの生活に欠かせない銀行といった機関が攻撃されるケースもあり、想定される被害の深刻さから問題視されています。
実際、2020年には、ドイツのデュッセルドルフ大学病院で過去初めてとされる「ランサムウェア攻撃が原因の死亡事例(独サイト)」が報道されました。
病院のコンピュータがランサムウェア攻撃によって麻痺し、緊急治療室が使用できなくなったことで「重傷を負った女性が治療を受けられなかった」というものです。
企業を対象にした「標的型ランサムウェア」が増えている
近年、特定の組織や企業をターゲットとする「標的型ランサムウェア」が世界中で増加しています。従来の犯行内容に比べ、被害規模がより深刻なことから、国内でも標的型ランサムウェアへの警戒が強まっています。
標的型ランサムウェアは、従来の「ばらまき型」と何が違うのか
従来、主流であった「ばらまき型」のランサムウェア攻撃では、不特定多数の組織・企業にフィッシングメールを送り、偶然感染した企業に対して「身代金」を要求、というのが主な犯行内容でした。
一方、近年主流の「標的型ランサムウェア」では、あらかじめ支払い能力の高い特定の組織・企業に標的を定め、攻撃者がVPN機器の脆弱性を付いて内部ネットワークへの侵入・情報搾取を行います。また「搾取したデータの暗号化」だけでなく、組織のデータ流出や売買など「ビジネスそのもの」を人質に取る点も、近年のランサムウェア攻撃特有の犯行です。
▼標的型・ばらまき型ランサムウェアの違い
| ばらまき型ランサムウェア | 標的型ランサムウェア | |
|---|---|---|
| 身代金額 | 標準的な価格(数万~数十万円) | 高額(数千万~数十億円) |
| 人質対象 | ファイルやデータの暗号化 | データの暗号化・流出・売買 |
| ターゲット | 不特定多数 | 特定の企業・組織 |
「あらかじめ綿密な計画を立て戦略的に行う」「要求する身代金が高額」などの点で、標的型ランサムウェア攻撃は「ばらまき型」に比べ悪質であることがわかります。
日本の大手ゲーム会社の標的型ランサムウェア感染事例
国内の大手ゲーム会社が、実際に「標的型ランサムウェア攻撃」の被害にあった事例を紹介します。人気の大手ゲーム会社では、その企業をターゲットした「オーダーメイド型」のランサムウェアによる被害が出ています。
・どのような被害に遭ったか
サイバー犯罪集団の攻撃により、売上情報や営業資料だけでなく、取引先・従業員(退職者含む)・関係者の個人情報が流出しました。
確認できているだけで、少なくとも1万6000人以上の個人情報が漏洩しており、その他にも5万8000人に被害が及んでいる可能性があります。個人情報の内容は、電話番号、メールアドレス、氏名、住所のうちの1つ以上だと見られています。(クレジットカード等の決済情報は外部委託管理のため被害なし)
・なぜ被害にあったか
攻撃者は、北米現地法人が保有していた「予備の旧型VPN装置」にサイバー攻撃をしかけ、社内ネットワークへ不正侵入。
その後、該当装置を経由して国内拠点も含めた一部機器が乗っ取られれ、情報を搾取されました。その攻撃後、一部の機器がランサムウェアに感染させられ、各機器内のファイルが暗号化されたとのことです。
この事例からもわかるように、個人ユーザーに数万円程度の身代金を請求する手口が一般的だった従来のから、特定の企業をがターゲットに数千万円~数億円単位の身代金を要求する、より高度で犯罪度の高いものに変化しています。
今後、企業はセキュリティ対策を仕組みから見直すと同時に、従業員のリテラシーを上げていく双方の取り組みが必要になるでしょう。
代表的なランサムウェアの種類
ランサムウェアにも様々な種類があり、時代の流れと共に、より強力な新しいランサムウェアが誕生しています。以下では世間を騒がせた、代表的なランサムウェア攻撃を4つご紹介します。
WannaCry
2017年5月から爆発的に広がった『WannaCry』は、史上最大と言われるほどの被害をもたらしたランサムウェアで、多い時には数日で30万台以上に感染しています。
数年が経過した現在も未だ強い感染力で被害をもたらしており、2023年には「次なるWannaCry」の発生が危険視されています。
WannaCry は「Windows OSの脆弱性」を狙ったウイルスとして知られ、適切にアップデートをしていないPCに感染します。感染するとファイルが全て暗号化され脅迫画面が表示、「ファイルを復元する秘密の鍵」と引き換えに身代金支払いを要求してきます。
参考:“Ransomware Report: Avaddon and New Techniques Emerge, Industrial Sector Targeted”https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-report-avaddon-and-new-techniques-emerge-industrial-sector-targeted
PR TIMES│<Kaspersky Security Bulletin:2023年APT攻撃の動向予測>新たなWannaCryやドローンを使用した近接ハッキングが起こる可能性を予測
https://prtimes.jp/main/html/rd/p/000000329.000011471.html
Cryptowall
『Cryptowall』は、WannaCryと同様にファイルが全て暗号化され、身代金支払いを要求するランサムウェア攻撃です。信頼できるソフトウェアを装うためデジタル署名が使われ、ファイルだけでなく「ファイル名」まで暗号化を行います。
2013年頃から被害が確認されている、ランサムウェアの中では初期にあたる犯行です。
PETYA/GoldenEye
『PETYA/GoldenEye』の特徴は、ファイルが一瞬で暗号化されることと、ファイルだけでなくハードディスクMBRも暗号化されることです。
感染すると1時間も経たないうちに強制的にPCが再起動し「システムチェックを行っている」旨の偽メッセージが表示されたあと、脅迫画面に切り替わります。こちらもWannaCry同様、Windowsの脆弱性を狙ったランサムウェアと言われています。
LockBit
LockBitは、2019年に初めて確認されたランサムウェアであり、感染するとPCのファイルを暗号化し、復号のための身代金が要求されます。Splunk社の調査によれば、主要10種類のランサムウェアの中で暗号化速度が最速であることも報告されています。
2022年7月頃にはLockBit 3.0へアップデートされ、今後さらなる被害拡大が予想されるランサムウェアです。
出典:Splunk?ランサムウェアは45分未満で約10万ファイルを暗号化する
https://www.splunk.com/ja_jp/blog/security/ransomware-encrypts-nearly-100-000-files-in-under-45-minutes.html
身代金を要求しない新種「ノーウェアランサム」も登場
2023年、日本国内でははじめて被害が報告された、新種のランサムウェア手口として「ノーウェアランサム」があります。
ノーウェアランサムとは、従来の「データを暗号化し、復旧を対価に身代金を要求する」という工程を省き、最初から盗んだデータのばらまきを引き換えに、金銭を要求する手法です。
暗号化しない特徴から、警察庁より「ノーウェア(非暗号化型)ランサム」と名づけられました。
出典:警察庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和5年9月21日)
通常のランサムウェア攻撃と比べデータを暗号化する手順がなく、より「簡易的」かつ「効率的」に攻撃を仕掛けられる特徴から、今後国内でも普及することが懸念されます。
海外では以前から被害が報告されていましたが、日本では2023年にはじめて発生した脅威であり、2023年1月~6月で6件の被害が報告されています。
ランサムウェアの被害に遭わないための対策
?金銭的にも、情報紛失/流出といった社会的信頼の側面でも被害が恐ろしいランサムウェアですが、被害に遭わないためにはどのような対策を取れば良いのでしょうか。
「ランサムウェア被害に遭わないための対策」としては、以下のような例があげられます。
●従業員への教育(不審なリンク・メールへアクセスしない等)
●ユーザー権限の厳密化・設定
●セキュリティパッチの適応
●OSやウェブブラウザを最新のバージョンに保つ
●メールスキャンによるウイルス検知
●フリーWiFi時のVPN使用
●強力なアンチウイルスソフトの導入
基礎的なことですが「怪しいメールで添付ファイルを開かない」「不審なリンクをクリックしない」「信頼度の低いウェブサイトからファイルをダウンロードしない」といった、感染の原因となるアクションを防ぐための、従業員教育や社内ルールの策定はとても重要です。
また先述したように「Windows OSの脆弱性」を狙ったWannaCry のような犯行を防ぐためにも、OS等の脆弱性パッチは常に最新のものを適応する必要があります。
加えて、万一の場合に備え重要なデータは定期的なバックアップを行いましょう。リスクの高いデータは、単にバックアップを取得するだけでなく、オフラインでも保管するのがおすすめです。クラウドストレージを用いる場合も、事前に「データをもとに戻す手順の確立とテスト」をしておきましょう。
ランサムウェアに感染してしまったら?
万一、ランサムウェアに感染した場合、まずは感染が疑われる端末を速やかにネットワークから隔離し、他の端末やネットワークへ被害が拡大しないよう対策しましょう。
加えて、ランサムウェア被害を最小限に食い止めるため、以下の流れに沿って対応を進めます。
●初動対応(感染内容の確認)
●ランサムウェアの報告とインシデント対応策の決定・実施
●ネットワークの遮断
●感染範囲の確認と情報の記録
●被害の最小化と原状回復
また、感染時は自社判断で身代金を支払う前に、警察署やセキュリティの専門サービスへ相談し、適切な対処を確認することを推奨します。
LANSCOPEサイバープロテクションでは、ランサムウェア感染時に、いち早い原因特定とサービス復旧に向けサポートする「インシデント対応サービス」を提供しています。専門家が細やかに支援するため、ランサムウェアの知識がない担当者様も安心です。
さらに、より詳しい「ランサムウェア感染後の対処方法」については、下記の記事にまとめています。
まとめ
「ランサムウェアとは」をテーマに、初心者でも被害内容や対策を理解できるよう内容をまとめました。
ランサムウェアは今後もさらに悪質なものへアップデートされることが予想されます。 自社の大事な情報と金銭だけでなく社会的信用まで奪われてしまわないよう、知識と対策をとり備えておきましょう。
また、ランサムウェア感染に対策する上で、最新のランサムウェアに対応できる「高性能なアンチウイルスソフト」の導入は欠かせません。LANSCOPEサイバープロテクションでは、お客様のご利用環境に応じて選べる「 Cylance PROTECT 」「Deep Instinct」2種類のAIアンチウイルスソフトを提供しています。
未知のマルウェア(ランサムウェア)を99%検知し、エンドポイントの侵入前に防御するため、今後さらに高度化するランサムウェアにも安心して対応できます。
※2018 NSS Labs Advanced Endpoint Protection Test結果より
また個人や企業単位で、より体系的な「ランサムウェア対策」を行いたい方は、以下の無料ダウンロード資料もご活用ください。
・そもそも、ランサムウェアってなに?
・ランサムウェア攻撃が流行している理由とは
・ランサムウェアを用いた攻撃の流れとは?
・ランサムウェア攻撃をどうやって防ぐか
・ランサムウェア攻撃被害に合ってしまったら
・企業をランサムウェア攻撃から守る!
エムオーテックスが提供する高度AIアンチウイルスCPMS
・Cyber Protection Managed Service powered by Deep Instinctとは
・ランサムウェア攻撃が流行している理由とは
・ランサムウェアを用いた攻撃の流れとは?
・ランサムウェア攻撃をどうやって防ぐか
・ランサムウェア攻撃被害に合ってしまったら
・企業をランサムウェア攻撃から守る!
エムオーテックスが提供する高度AIアンチウイルスCPMS
・Cyber Protection Managed Service powered by Deep Instinctとは
関連する記事
