ランサムウェアの脅威｜企業が知るべき感染経路と対策方法

ランサムウェアとは

ランサムウェアは、企業や個人を標的にするマルウェアの一種です。ここでは、ランサムウェアの基本的な理解を深めるために、その定義や感染経路、そして最近の被害事例について説明します。

ランサムウェアの語源と概要

ランサムウェアとは、身代金を意味する「Ransom」（ランサム）と「Software」（ソフトウェア）を組み合わせた造語で、攻撃者がファイルを暗号化し、その復号化と引き換えに被害者に対して金銭（身代金）を要求するマルウェアです。

独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」において、ランサムウェアは「社会的に影響が大きかったと考えられる情報セキュリティにおける事案」として10年連続でランクインしています。

ランサムウェアの主な感染経路

ランサムウェアの感染経路は多岐にわたります。
主な感染経路は、ソフトウェアやIT機器の脆弱性を狙った攻撃や、ランサムウェアが添付されたメールの開封、トロイの木馬のようなファイルのダウンロードなどです。

ランサムウェアに感染しないようにするためには、さまざまな対策を講じる必要があります。

最近の被害事例

国内でも多くの被害事例が確認されています。ここでは、最近確認されたランサムウェアによる被害の一例を紹介します。

事例1

2021年10月、ある病院のシステムがランサムウェアに感染。保管していた患者カルテなどが暗号化され、閲覧が不可能となり、診療ができなくなる事件が発生しました。原因は、OSアップデートを無効化していたことによってIT機器の脆弱性が放置され、十分なセキュリティ対策が取られていなかったことによるものでした。

事例2

2022年3月、ある自動車メーカーの一次取引先にてランサムウェア感染が確認されました。
感染したのは、自動車製造に欠かせない多種多様な部品を扱う「受発注システム」。感染によりネットワークを遮断したことで部品取引が困難となり、国内外の複数の工場で稼働を停止せざるを得ませんでした。

企業の安全を守るためのランサムウェア対策一覧

企業が使用しているパソコンやサーバがランサムウェアに感染しないようにするには、どのような対策が必要なのでしょうか。ここでは、ランサムウェア対策におすすめの方法を5つ紹介します。

1.セキュリティ対策ソフトの導入

セキュリティ対策ソフトとは、ウイルスやマルウェアからシステムを保護するためのソフトウェアです。

従来のセキュリティ対策ソフトは、「パターンマッチング」と呼ばれる方式で既知のウイルスを検知しますが、最近ではゼロデイ攻撃や既知のウイルスの亜種など、パターンマッチング方式では検知できないケースも増えています。そのため、次世代アンチウイルス（NGAV）やエンドポイントセキュリティ（EDR）など、パターンマッチング方式を用いないセキュリティ対策と組み合わせて多層防御を行うとよいでしょう。

2.OSやアプリケーションを最新のバージョンにする

OSやアプリケーションなどの製品には必ず「脆弱性」が存在します。

脆弱性を放置すると、その部分がセキュリティホールとなり狙われる可能性があるため、メーカーは「セキュリティパッチ」と呼ばれる脆弱性を修正するためのプログラムを定期的に配布しています。

このセキュリティパッチの適用を放置すると、攻撃者にランサムウェアなどをはじめとする脆弱性を悪用したサイバー攻撃を受ける可能性が高まります。OSやアプリケーションのセキュリティパッチが配布されたら速やかに適用するようにしましょう。

3.パスワード管理や多要素認証の導入

最近では、情報漏えいしたIDやパスワードを利用して、攻撃者が不正アクセスを試みる「リスト型攻撃」が増加しています。この攻撃が増えている一因は、多くのユーザーが「IDとパスワードの使い回し」をしているためです。パスワード管理や多要素認証の導入は、情報漏えいが発生しても被害を拡大させないことから、おすすめの方法です。

パスワード管理には、以下のポイントを踏まえて設定することをおすすめします。

• 最低でも10文字以上で構成し、数字や記号（例：「@」「%」）、アルファベットの大文字と小文字を混ぜることで強固なものにする
• サービスごとに異なるパスワードを設定し、使い回しを避ける

4.機密情報などのバックアップ

ランサムウェア対策の一環として、機密情報や重要データのバックアップは極めて重要です。ランサムウェアは、バックアップデータやログも暗号化することがありますが、攻撃者が被害者からの依頼を受けて復号化するとは限りません。

したがって、不測の事態に備えて、定期的なバックアップをおすすめします。特に、バックアップデータはネットワークから切り離し、オフラインで保存することで、ランサムウェアによる暗号化から守ることができます。

また、複数のバックアップを異なる場所に保管することで、より安全性を高めることが可能です。これにより、ランサムウェアによるデータ喪失のリスクの大幅な軽減が可能になります。

5.従業員への教育やトレーニング

ランサムウェアは、メールの添付ファイルやURLを介して感染することが多いため、従業員への教育やトレーニングが重要です。特に、不審なメールやWebサイトを見極めるスキルを身につけるためには、定期的なトレーニングの実施が有効です。ここでは、そのなかでも企業が従業員に周知すべきポイントについて紹介します。

安易に個人情報の提供はしない

個人情報を外部へ安易に提供することは、ランサムウェア攻撃の入り口になる可能性があります。攻撃者は取得した情報を利用して、フィッシングメールを正規の連絡に見せかけることがあります。そのため、不審な相手から電話やメール、SMSで個人情報などを尋ねられた場合は、決して回答しないようにしましょう。

また、不審な要求を受けた場合は、社内で情報を共有し、速やかにセキュリティ担当部署に報告することで、被害の抑制につなげることができます。従業員全体で注意を払い、個人情報を慎重に扱う意識を持つことで、リスクを未然に防ぎましょう。

ウイルススキャンやフィルタリング機能を有効にする

メールサービスのウイルススキャン機能やフィルタリング機能を活用することで、ランサムウェアの感染リスクを大幅に削減できます。これらの機能は、不審な添付ファイルやリンクを含むスパムメールを自動的にブロックしたり、迷惑メールフォルダに振り分ける役割を果たします。

そのため、迷惑メールフォルダのメールには細心の注意を払う、設定の有効性を定期的に確認するなどを日頃から意識することが重要です。

疑わしいリンクを開かない

受信した不審メールや信頼できないWebサイトのリンクをクリックしないよう注意しましょう。リンクを開くだけで、マルウェアが自動的にダウンロードされる可能性があり、特に送信元やWebサイトの信頼性が確認できない場合は、リンクを絶対に開かないことが重要です。

不審なリンクを見つけた場合は、クリックせずにメールを削除したり、ブラウザを閉じたりして対処しましょう。場合によっては、セキュリティ担当部署に相談することもおすすめです。

送信元が信頼できない添付ファイルは開かない

不審メールの添付ファイルを開くことは、ランサムウェア感染の主な原因のひとつです。普段やりとりのない送信者や、信頼できない送信元からの添付ファイルは、決して開かないようにしましょう。特に最近では、ExcelやWordなどのオフィスファイルに悪意のあるプログラム（マクロ）が埋め込まれたファイルを受信するケースが増えています。

添付ファイルを開く前に、業務上のファイルか判断がつかない場合は、送信元の信頼性を慎重に確認しましょう。普段やりとりのある相手でも、不審な点があれば、メール以外の方法（チャットや電話など）で意図を確認し、安全性を確かめることが重要です。

信頼できないWebサイトからファイルのダウンロードを避ける

ランサムウェア感染を防ぐには、信頼性の確認できないWebサイトからファイルをダウンロードしないことも重要なポイントです。疑わしいWebサイトからのダウンロードは避け、公式Webサイトや認証済みのプラットフォームを利用しましょう。

信頼できるWebサイトを見極める具体的な例としては、以下のようなポイントがあります。

• WebサイトのURLが「http」でなく「https」で始まっている
• Webサイトが安全であることを示す盾や鍵のマークがアドレスバーなどに記載されている

入手経路が不明なUSBメモリは使用しない

出所の不明なUSBメモリや外付けデバイスをパソコンに接続しないようにしましょう。犯罪者はUSBメモリにマルウェアを仕込み、意図的に目立つ場所に置いたり、郵送して利用させようとしたりすることがあります。過去には、ファームウェアを書き換えたUSBメモリをランサムウェアに感染させる目的で標的となる組織に郵送した事例が確認され、米連邦捜査局（FBI）が注意喚起を行ったこともあります。

不明なデバイスを見つけた場合は、決してパソコンに接続せず、速やかにセキュリティ担当部署に報告しましょう。

公衆Wi-Fiを使う際はVPNで通信を暗号化する

公衆Wi-Fiはセキュリティが不十分な場合が多く、通信内容を盗み見される可能性があります。このような状況下では、ランサムウェア感染やその他のサイバー攻撃を受ける恐れがあります。

そのため、基本的には公衆Wi-Fiの利用は避けることをおすすめします。ただし、どうしても利用が必要な場合は、VPNを利用して通信を暗号化するなど、外部から通信が傍受されないよう適切な対策を講じましょう。

もしランサムウェアに感染してしまったら

ここまでランサムウェアに関する対策について紹介しましたが、対策を講じていても感染を完全に防ぐことは非常に難しいです。
では、ランサムウェアに感染してしまったらどのような対応を行うとよいのでしょうか。

ここでは、もしランサムウェアに感染してしまったときに行うべき4つのポイントについて紹介します。

感染したパソコンやサーバをすぐネットワークから切り離す

ランサムウェアに感染したパソコンやサーバが確認されたら、まずインターネットから切り離しましょう。感染したパソコンやサーバをインターネットに接続したまま放置すると、同じ社内ネットワーク内のパソコンやサーバにも感染が広がり、被害がさらに拡大する恐れがあります。

また、同じ社内ネットワーク内で使用している他のパソコンやサーバもネットワークから切り離すことをおすすめします。これにより被害の拡大を防ぎ、迅速な復旧作業が可能になります。

電源を落とさない、再起動を行わない

ランサムウェアに感染した場合、パソコンの電源を落とす、再起動を行うなどといった行動はしないでください。

ランサムウェアの特徴として、再起動すると一時停止したデータの暗号化が再開し、端末内のファイルがさらにアクセス不能になるリスクがあります。

驚いたり不安になったりすることもあるかもしれませんが、電源を落としたり、再起動を行ったりはしないように気をつけましょう。

社内のセキュリティ担当者や警察に連絡する

ランサムウェアに感染した場合、迅速に社内のITセキュリティ担当者に連絡しましょう。報告を受けたITセキュリティ担当者は、影響範囲の特定やフォレンジック調査を行え、被害の拡大を防ぐために必要な対応をとることができます。

もし社内に専門担当者がいない場合は、サイバーセキュリティに関する独立機関である「JPCERT/CC」や最寄りの警察に相談するとよいでしょう。その際、保存した通信ログなどの証拠を持参できると、迅速な対応を受けられます。

金銭要求に従わない

ランサムウェアに感染すると、攻撃者から身代金を要求されることが多いですが、金銭要求には従わないようにしましょう。

金銭を支払ってもデータが復元される保証はなく、むしろ「この企業は脅迫に応じる」と攻撃者に認識され、さらなる攻撃の標的となる可能性が高まります。こうしたリスクを避けるためにも、初動対応と事前の対策が非常に重要です。

まとめ

本記事では、企業が行うべきおすすめのランサムウェア対策と感染したときの対応について紹介しました。

ランサムウェアの被害は急増しており、感染すると事業停止や情報漏えいなど重大なリスクが伴い、企業の信頼を大きく損なう恐れがあります。効果的なランサムウェア対策には、総合的なアプローチが必要であり、セキュリティ対策を実施するだけでなく、運用の見直しも重要です。

オプテージでは、社外へのアクセスを安全に行うためのクラウド型セキュリティサービス「SWG （Secure Web Gateway）」や、端末内の不審な挙動を検知し迅速な対応を支援するシステム「EDR （Endpoint Detection and Response）」などのサイバーセキュリティに関するソリューションを多く提供しています。

ランサムウェア対策についてお悩みのことがありましたら、ぜひオプテージまでお気軽にご相談ください。

◎製品名、会社名等は、各社の商標または登録商標です。