国内はもちろん世界的に、凶悪なランサムウェア攻撃による被害が後を絶ちません。

ランサムウェアとは、重要なデータを暗号化したり、パソコンをロックしたりして使用不能にし、解除の条件として身代金を要求するマルウェア（悪意のあるソフトウェアやコードの総称）です。

昨今では暗号化による身代金要求に加え、盗んだデータの公開を脅しに追加で金銭を要求する「二重恐喝（Doubule Extortion）」の手口が常態化しています。また昨年は国内で新たなランサムウェアの手口とされる「ノーウェアランサム（暗号化を行わないランサムウェア攻撃）」の手法も報告されました。

本記事では「ランサムウェア攻撃の被害事例」を業種別に8つ紹介するとともに、感染が発覚した際の対処法、予防策などもあわせて解説します。

ランサムウェア攻撃に対する知識を高め、それに対する備えを築いていきましょう。

事例から知りたい方は、「業種別にみる、国内のランサムウェア被害事例」よりお読みください。

 

ランサムウェアの手口とは？（確認）

ランサムウェアとは、マルウェア（悪意のあるソフトウェアやコードの総称）の一種です。

「ランサム（Ransom＝身代金）」と「ソフトウェア（Software）」を組み合わせた造語で、ユーザーの所持するデータを暗号化し、元に戻すことを条件に身代金を要求するという手口が一般的です。

従来は不特定多数に向けて攻撃をしかけファイルを暗号化し、復旧を引き換えに身代金を要求する「ばらまき型」の手口が一般的でした。

また近年は、特定の企業・組織をターゲットとする「二重恐喝型」のランサムウェアが主流となっており、攻撃者はデータの暗号化に加え、盗んだ情報を公開する代わりに、さらなる身代金の支払いを要求します。
 

ランサムウェアに感染すると、以下のような被害が発生するリスクがあります。

​​ランサムウェア被害は右肩上がりで増加​

警察庁が令和5年9月に公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、企業・団体等におけるランサムウェア被害として、令和5年上半期に都道府県警察から警察庁に報告のあった件数は103件であり、令和4年上半期以降、高い水準で推移しています。

▼ランサムウェア被害報告件数の推移

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和5年9月21日）

また「大企業が被害に遭いやすい」イメージのあるランサムウェア攻撃ですが、被害を受けた企業・団体の内訳をみると、中小企業が58％と全体の約6割を占める結果となりました。

企業規模を問わず、ランサムウェア攻撃のターゲットとなりうることがわかります。

▼ランサムウェア攻撃を受けた企業の規模別報告件数

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和5年9月21日）

​​情報セキュリティ10大脅威でも「ランサムウェア被害」が3年連続1位に​

毎年IPA（情報処理推進機構）が発表している「情報セキュリティ10大脅威」の組織向けの脅威においても、ランサムウェア攻撃による被害が3年連続で1位に選ばれています。

▼情報セキュリティ10大脅威の推移

これらの数字からも、ランサムウェアが企業にとって昨今どれほど深刻な脅威であり、規模・業種を問わず、あらゆる組織が主体性をもってランサムウェア対策に取り組むことの重要性がうかがえるでしょう。

以降では医療、メーカー、教育機関など業界別に、ランサムウェア攻撃の被害事例についてご紹介します。

業種別にみる、国内のランサムウェア被害事例6選

そういった方に読んでいただきたい、実際に日本国内に発生した「ランサムウェア攻撃の事例」6つをご紹介します。

​​1． 大学機関にてアカウント管理サーバーが被害、4万件以上の個人情報が流出した事例​

業界・業種	教育機関
時期	2022年10月
被害の概要	学生・職員のアカウント情報を管理するサーバーがランサムウェア攻撃を受け、4万815件の個人情報が流出。

2022年10月、とある国立大学機構が第三者による不正アクセスを受け、ランサムウェアに感染しデータの一部が改変されるという事例が発生しました。

攻撃対象は学生や職員の「Microsoft 365」アカウントを管理する認証システムのサーバーで、不正アクセスにより、氏名や生年月日・メールアドレスなど、4万815件の個人情報が流出した可能性が明らかにされました。

利用者より「パスワードを変更できない」と連絡があり、調査を行ったところデータが暗号化されていることを確認。「復元したければ連絡するように」と、攻撃者からのメッセージが残されていたとのことです。

不正アクセスの原因は、2022年8月に行ったファイアウォールの設定変更時のミスがあり、外部より問題のシステムにアクセスできる状態となっていたことがあげられます。

暗号化されたデータについては復元が可能であり、大学の業務において直接的な影響はなかったとのことです。今後の対策として大学機構側は、サーバーの設計・構築段階におけるセキュリティ評価を行い、安全確認について手順を確立するとしています。

​​2.　大手ゲームソフトウェアメーカーが不正アクセスされ、最大39万件の個人情報が流出した事例

業界・業種	大手ゲームメーカー
時期	2020年11月
被害の概要	不正アクセスの被害により最大39万件の個人情報が流出

2020年11月、大手ゲームソフトウェアメーカーにて、ランサムウェア攻撃を目的とした不正アクセスにより、最大39万件の個人情報漏洩が懸念される事件が発生しました。

同社ではメールやファイルサーバーの利用ができなくなり、一時的に業務停止に追い込まれる事態に。さらに、社内のシステムで保管していた顧客や取引先の個人情報の流出も判明し、流出した可能性のある個人情報は、推定で最大約39万人に及ぶと報告されています。

不正アクセスされた原因は、テレワークの緊急対応のため、予備用の旧式VPN装置を利用したことでした。攻撃者はVPN装置の脆弱性を悪用し、社内ネットワークに不正侵入したことが明らかになっています。

また、攻撃者は社内データの窃取および社内システムのデータを暗号化した後、盗んだデータの公表の取りやめ・暗号化解除を条件に、ビットコイン1100万ドル（約11億5000万円）の身代金を要求したとのことです。

被害にあった企業は身代金の支払いには応じず、再発防止策の強化と不正アクセス対策の厳正な対処を表明しました。

​​3． VPNの脆弱性により徳島の病院が感染、ベンダー側が300万円の身代金を支払った事例

業界・業種	医療機関
時期	2021年10月
被害の概要	院内のシステムがランサムウェアに感染し、電子カルテが閲覧不可に

2021年10月、ある病院がランサムウェア攻撃によって電子カルテシステムを暗号化され、診療業務を妨害される事件が発生しました。

調査報告書によると、病院側が下記のような、危険なセキュリティ運用を行っていたことが指摘されています。

また、病院側は暗号化解除のための身代金の支払いを拒否しましたが、データの復旧を依頼したベンダー側が、独断で身代金を支払っていたことが後に明らかとなりました。

ランサムウェアへの対策として病院側は、院内ネットワークへのリモートアクセスにおけるセキュリティ強化を目指し、端末認証サービスを採用したと発表しています。

​​4． 製粉大手がランサムウェア感染、バックアップが暗号化された事例

業界・業種	食品メーカー
時期	2021年7月
被害の概要	システム障害が発生し、財務管理や販売管理を行う基幹システムだけでなく、バックアップサーバーも暗号化された

2021年7月、大手製粉企業にて、同社が運用するネットワーク上の一部のサーバー・端末のデータが、同時に暗号化される事件が発生しました。基幹システムだけでなくバックアップも暗号化されたことから、データの復旧は困難とされています。

またサーバーに保存していた企業情報や個人情報の一部が、流出した可能性があるとの旨も発表されました。

同社では不正侵入検知システムやウイルスソフトによる対策を行っていたものの、サイバー攻撃の巧妙な手口により、侵入されてしまったとのことです。

企業は今後、対策本部の設置、外部のセキュリティ専門家を交えた対策チームの導入によりセキュリティ体制を強化することを報告しています。

​​5． サービス事業者にて求人応募者15,421名・従業員9,375名のデータが暗号化された事例

業界・業種	アウトソーシング事業
時期	2021年5月
被害の概要	ランサムウェア攻撃により、求人応募者15,421名・従業員9,375名のデータが暗号化

2021年5月、コールセンター運営などを行うサービス企業にて、ランサムウェア攻撃により過去のアルバイト求人応募者15,421人と、同社従業員9,375人の個人情報が暗号化される事件が発生しました。

社内ネットワーク内で「アクセスがしづらい」という不調が報告されたため同社が調査したところ、ランサムウェア攻撃の痕跡が見られたとのことです。

またランサムウェア攻撃特有の「脅迫文ファイル」も発見されましたが、攻撃者からの金銭要求や社外への情報漏洩などの被害は確認されませんでした。

企業はセキュリティの向上・不正アクセス発見力向上のために、認証および権限まわりの設定変更、一部のVPN機能停止、ログ監視範囲の拡張などを対策として実施しました。

​​6． 自動車メーカーにてシステム障害、国内外で工場9つが停止した事例

業界・業種	大手自動車メーカー
時期	2020年6月
被害の概要	ランサムウェアの感染により、国内外の9工場で操業停止となる大規模なシステム障害が発生

2020年6月、大手自動車メーカーがランサムウェア攻撃の被害にあい、国内外で9つの工場が停止する事態となりました。工場の生産や出荷が一時止まったほか、本社などで働く従業員のパソコンが使えなくなるなど、ネットワークシステムにも障害が発生しました。

事件当日の午前9時ごろ、社内ネットワークを通じたメールのやり取りなどができなくなり、ウイルスに感染したとみられるパソコンの画面が真っ暗になるといった異常が発生。多くの社員が在宅勤務をする中、パソコンが利用できなくなったことから、従業員に有給休暇の取得を呼びかけるといった異例の対応を取ったそうです。

本件では従来のランサムウェアと異なり、社内ネットワークを管理する「中枢のサーバー」にてセキュリティ設定を変更し、外部との通信を遮断することで、一気にデータを暗号化する手口が使用されました。

事件から数日後、同社はサイバー攻撃で停止していた国内外の工場全てが復旧したこと、また顧客情報や開発情報などの漏洩は見られていないことが発表されました。

海外の大規模なランサムウェアの被害事例

世界的に猛威を振るうランサムウェア攻撃。

以下では海外における、過去注目を浴びた「ランサムウェアの被害事例」を2つ紹介します。

​​1． 米国の石油パイプラインが操業停止、約4.8億円の身代金を支払った事例

業界・業種	石油パイプライン
時期	2021年5月
被害の概要	ランサムウェア攻撃により5日間にわたり操業停止し、攻撃グループに対して440万ドル（約4億8000万円）の身代金を支払った

2021年5月、アメリカで運営されている主要な石油パイプラインが、サイバー攻撃によって5日間にわたり操業停止に追い込まれるといった事件がありました。同パイプラインはデータの暗号化に加え、身代金の要求を受けたことで攻撃を把握。システムへの影響を防ぐために、パイプライン全体を停止させました。

米国東海岸の燃料供給の約45％を担うパイプラインが停止したことで、多数のガソリンスタンドでパニック買いが発生し、各地で在庫不足が発生するなど混乱が広がりました。

事件の原因はVPN機器の設定であり、攻撃グループはVPNの脆弱性を踏み台に、攻撃対象となる企業システムへと侵入したそうです。また攻撃者からは身代金を支払わなかった場合、搾取した約100GBのデータを漏洩すると、二重恐喝があったことも明らかになっています。

いつまで操業停止が続くのかという不透明さから、企業は攻撃グループに対して440万ドル（約4億8000万円）の身代金を支払いましたが、最終的にFBIによって、身代金の大部分は押収されたと発表しています。

同社では事件から数日後、バックアップなどからシステムを復旧し、サービスを再開しました。

​​2． ドイツ病院がランサムウェアでシステムダウン、女性患者が死亡した事例

業界・業種	医療機関
時期	2020年9月
被害の概要	ランサムウェアの攻撃により30台のサーバーが暗号化され、システムのダウンにより救急患者の受け入れができず、女性患者が別の病院への搬送中に治療が遅れて死亡。

2020年9月10日、ドイツのある大学病院がランサムウェア攻撃を受け、システムダウンするという事件がありました。攻撃者は広く使われている商用アドオンソフトウェアの脆弱性を悪用して、攻撃を仕掛けたとのことです。

同院ではシステムダウンにより救急患者の受け入れができず、別の病院へと搬送された女性患者が、治療が間に合わず死亡したことが明らかになっています。この事件は病院へのランサムウェア攻撃に影響を受け、人が亡くなった世界初の事例と見られています。

さらに、攻撃によって30台のサーバーが暗号化され、その中の1台に脅迫状があったとのこと。脅迫状では犯行グループより、ランサムウェアの解除コードと引き換えにビットコインによる身代金の支払いを要求されたそうです。

しかし実際は攻撃者が攻撃対象を誤っていたことから、ドイツ警察との連絡を通じ、結果的に病院は暗号解除のデジタルキーを受け取り、システムは復旧することができました。

ランサムウェアの種類

新たなランサムウェアが次々に生み出されていることから、その種類は年々増加しています。

以下は代表的なランサムウェアの種類を表にまとめたものです。

名称	特徴
CryptoWall	2013年頃に登場した暗号化型ランサムウェア。 データが暗号化されると修復が困難。 バックアップを検索して暗号化するという厄介な特徴を持っている。
TeslaCrypt	2015年頃に登場した暗号化型ランサムウェア。 感染すると、端末に保存されているファイルの拡張子を「vvv」に変更してしまい、開けなくなる。後にランサムウェアの開発者によって暗号化解除キーが公開されたので、被害リスクは少ない。
Oni	2016年頃に登場した暗号化型ランサムウェア。 脅迫文や暗号化された文書に日本語が使用されていることから、日本企業を標的にしている可能性が高い。ログ記録を消去して攻撃の痕跡を消し、大量のファイルを暗号化するという特徴を持っている。
Locky	2016年頃に登場した暗号化型ランサムウェア。 日本での被害が多いランサムウェアで、主な感染経路はメールの添付ファイル。
Bad Rabbit	2017年頃に登場した暗号化型ランサムウェア。 主な感染経路は不正なWebサイトの閲覧。 サイトの閲覧者にドライブバイダウンロード攻撃（Webサイトを閲覧した際に、勝手にマルウェアをインストールさせる攻撃手法）を仕掛ける。
WannaCry	2017年に大規模な被害をもたらした暗号化型のランサムウェア。 ワームの機能（自動的に感染を広げていく機能）とランサムウェアの機能を併せ持っている。
Ryuk	2018年頃に登場した暗号化型ランサムウェア。 最大の特徴は、感染するとリモートから暗号化が可能になる点。 身代金の支払いに応じやすい機関（医療機関や金融機関など）をターゲットにしており、高額な身代金を要求する。
Maze	2019年頃に登場した暗号化型ランサムウェア。 データを暗号化する前に情報を窃取し、身代金の支払いを拒否するとデータを漏洩させるという二重恐喝を行う。
SNAKE	2019年頃に登場した暗号化型ランサムウェア。 特定の企業や組織を狙った標的型攻撃で使用される。
LockBit	2019年頃に登場した暗号化型ランサムウェア。 データを暗号化する速度が他のランサムウェアよりも速いという特徴がある。
Conti	2020年頃に登場した暗号化型ランサムウェア。 ソフトウェアやサービスをターゲットにした標的型ランサムウェアでもあり、高度な暗号化と攻撃手法が特徴。

特に代表的なランサムウェアについては、以下の記事でも取り上げています。

ランサムウェアに感染した場合の対処法

もしランサムウェアに感染してしまった場合は、以下のような手順で対処しましょう。

ランサムウェアに感染した際、最初に行うことは「ネットワークからの隔離」です。ネットワークに接続したままだと、同一ネットワーク内の他端末に感染が拡大する危険があるためです。

並行して、上長や自社の情報システム部門に感染したことを報告し、対応判断を仰ぐようにしましょう。

また初期対応が完了したら、ランサムウェアの感染範囲・原因の調査などを進める必要があります。自社で対応できれば問題ありませんが、難しい場合は専門の業者へ「フォレンジック調査」や「復旧対応」を依頼するのがおすすめです。

LANSCOPEサイバープロテクションでも、インシデントの原因特定や封じ込め、影響範囲の調査などをプロが代理で行う「インシデント対応サービス」を提供しています。感染後被害を最小限に抑え、いち早く復旧を進めたい企業様におすすめです。

ランサムウェア感染に有効な5つの対策

ランサムウェアの被害を完全に防止するには、エンドポイントをはじめネットワーク・クラウド・メールシステム等、各種レイヤーに適切なセキュリティ対策を導入することが欠かせません。

中でもランサムウェア攻撃の起点となる「エンドポイント」を保護する、アンチウイルスやEDR製品の導入は、基本的な対策として必要不可欠です。

以下では組織が実施したい、基礎的なランサムウェア予防策を5つご紹介します。

​​1． アンチウイルスソフトを導入する

ランサムウェア対策として、アンチウイルスソフトの導入は欠かせません。

アンチウイルスを導入することで、PCやサーバーに対するランサムウェアの侵入をブロックすることが可能です。から防ぐアンチウイルスを利用すれば、ランサムウェアが端末に侵入するのを未然に防ぐことができます。

アンチウイルスがマルウェアを検知する方法・精度は製品によって異なるため、未知や亜種のマルウェア攻撃を少ない誤検知で捉えられる、高精度な製品を選定することが理想です。近年ではAIやクラウドを活用した新たなアンチウイルス「NGAV」「NGEPP」なども登場しています。

またLANSCOPE サイバープロテクションの提供するアンチウイルスは、AIを駆使することで、少ない工数で未知のマルウェア・最新のランサムウェアも検知が可能です。

2． OSやアプリケーションは常に最新の状態へアップデートする

OSやアプリケーションに残る脆弱性（セキュリティ上の欠陥）は、しばしばランサムウェア攻撃のつけいる隙となります。

アップデートを行うことでパッチが適用され、脆弱性を無くすことが可能です。小まめに最新のバージョンへアップデートを行うようにしましょう。

3． ネットワーク監視の製品を導入する

ランサムウェアの感染経路のうち、今最も主流なのが「VPN機器の脆弱性」を狙った犯行です。

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、企業・組織のランサムウェア感染経路として「VPN機器からの侵入（71％）」が7割以上を占めることが報告されています。

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和5年9月21日）

VPNやリモートデスクトップ経由のランサムウェア攻撃は、ネットワーク全体のトラフィックを常時監視することで、早期に異常に気付くことが可能です。前述したアンチウイルスに加え、ネットワーク監視を行うセキュリティ製品を導入することで、さらなる効果を期待できるでしょう。

エムオーテックスでは、8,800社以上の導入実績をもつネットワーク監視ソリューション、NDR「Darktrace（ダークトレース）」を提供しています。

「Darktrace」では、各企業個別のネットワーク環境やシステム利用状況に応じて、AIが機械学習を行い、最新の脅威への理解・対策を自動で進めます。メール以外の侵入経路であっても、ランサムウェア攻撃を速やかに検知することが可能です。

4. 不審なメール、Webサイト、ファイルに注意する

以前に比べ減少したものの、今なおランサムウェアの感染経路として、メールや添付ファイルは少なくありません。
宛先や本文に不審な内容がある場合、安易にクリックせず速やかに社内のセキュリティ担当者へ相談することが望ましいでしょう。

仮にメールの送信元が信頼できる相手であっても、なりすましの可能性があるため、添付ファイルはクリックしないよう心がけましょう。

5. EDRを導入する

EDRとは、エンドポイントにおける不正なマルウェア攻撃・侵入を早期に検知し、サイバー攻撃の被害を最小限にとどめるためのセキュリティソリューションです。

万一、アンチウイルスをすり抜け、ランサムウェアがエンドポイント（PCやスマートフォンなど）に侵入してしまった場合も、侵入後の脅威を検知・隔離・駆除できるといった機能を備えています。

近年の高度化したマルウェアを完全に防御するには、アンチウイルスソフトとEDRを併用することで、エンドポイントのセキュリティをより強固なものにすることが有効です。

LANSCOPEサイバープロテクションでは、アンチウイルスとセットで導入できるEDR「CylanceOPTICS」を提供しています。

ランサムウェア対策ならLANSCOPEサイバープロテクションにお任せ

「LANSCOPE サイバープロテクション」では、ランサムウェアをはじめとした凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。

▼2種類のアンチウイルスソリューション

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。 EDRとは、PCやスマートフォンに侵入した後のマルウェアに対し、事後検知や駆除を行えるセキュリティソリューションです。

しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

の３つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct（ディープインスティンクト）」

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

ランサムウェアをはじめ、2020年以降に国内でも猛威を振るった「Emotet（エモテット）」などの攻撃も、 Deep Instinctで検知することが可能です。

また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。

ランサムウェア攻撃を受けたかも……事後対応なら「インシデント対応サービス」にお任せ

「PCがランサムウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

本記事では「ランサムウェアの被害事例」をテーマに、有名な事例の紹介やランサムウェア対策について解説しました。

ランサムウェアは2010年代以降急速に増加・進化を続け、2024年現在も猛威をふるい続けています。

企業・組織は大切な情報資産を守るため、ランサムウェアに関する最新の情報収集と十分な対策、予防を心がけていきましょう。