ランサムウェアとは、マルウェアがコンピュータシステムに侵入してデータを暗号化したり、コンピュータを乗っ取ったりするサイバー攻撃の一種です。ハッカーは、環境を元に戻す見返りとして被害者に身代金を要求します。PC も企業のコンピュータシステムも同じくらいくランサムウェアには脆弱です。
しかし、この数年間、ランサムウェアの主な標的は企業です。その理由は、ネットワークで相互につながる企業のシステムには、まだ発見されていないセキュリティの脆弱性が多いためです。また企業は、過度なダウンタイムを回避すべく身代金の支払いをいとわず、さらに多額の身代金を支払う可能性が高いからです。
ランサムウェアのしくみ
ランサムウェアで攻撃を仕掛けるには、ハッカーはまず、標的のシステムにアクセスする必要があります。そのための手口は著しく巧妙さを増しており、ゼロデイ脆弱性やパッチ未適用の脆弱性、未知の脆弱性を悪用する手法が用いられています。
多くの場合、まずは、フィッシング攻撃や詐欺メール、ウイルスが仕込まれたメールの添付ファイル、攻撃力の高いコンピュータワーム、脆弱性の悪用、標的型攻撃、クリックジャッキング(クリック可能な正規のコンテンツに別のハイパーリンクを挿入する手口)などがアクセスに使用されます。
ウイルス対策ソフトをシステムにインストールしていても、ウイルス対策ソフトのファイルにマルウェアのシグネチャが存在しない、ソフトがリアルタイムでスキャンを実行しなかった、などの理由で、ランサムウェアが検知されずに侵入し、ファイルレベルでダメージを引き起こす可能性があります。また、ネットワークに接続されているコンピュータにランサムウェアが侵入した場合は、ネットワーク上にある別のマシンやストレージデバイスにもアクセスされてしまいます。
ランサムウェアには、画面ロック型と暗号化型の主に 2 つの種類があります。暗号化型のランサムウェアはシステムのデータを暗号化します。データを元に戻すには、復号化キーが必要です。一方、画面ロック型のランサムウェアは、画面をロックしてコンピュータシステムへのアクセスをブロックします。
どちらのランサムウェアでも、システムの乗っ取りをユーザーに通知するのに、ロック画面を使うのが一般的です。画面には、身代金の金額が提示されるほか、データへのアクセスやシステムの制御を回復させる方法が示されます。通常は、復号化キーなどのコードを使用する方法です。メッセージには、多くの場合、身代金の支払いに応じないときにはデータを削除または公開すると脅す警告が含まれています。
これまで攻撃者は、ギフトカードや金融機関への振込、プリペイドキャッシュサービスによる身代金の支払いを要求してきましたが、最近ではビットコインなどの暗号通貨による支払いを要求するケースが大半を占めています。しかし厄介なことに、身代金を支払ったとしても、ユーザーや企業がデータを支障なく利用できる環境を取り戻せる保証はありません。
現在では、ほとんどのランサムウェアが暗号化のプロセスを実行する前にデータを盗み出しています。これは、データのガバナンスの喪失につながり、HIPAA や PCI などのポリシーに違反する状態を招きます。データが攻撃者から完全に自由になる保証はありません。攻撃者が身代金を受け取った後に、システムにさらに多くのマルウェアをインストールし、データを組織に戻す可能性もあります。
ランサムウェアの標的
残念ながら、家庭用 PC からネットワークで接続されたグローバル企業の大規模なコンピュータシステムまで、あらゆるシステム環境がランサムウェアの標的になる可能性があります。基本的には、インターネットに接続されているデバイスはどれもリスクにさらされています。
業界、地域を問わず、ランサムウェアはあらゆる規模のビジネスに影響を及ぼしていますが、専門家は、ランサムウェアの標的となる一定のパターンに気づきました。一部の業界では、秘密性の高いデータを膨大に保持していることや、攻撃による影響が広範囲に及ぶといった理由により、ランサムウェア攻撃のリスクが高くなっています。最も狙われやすい業界は、銀行・金融サービス、医療、製造、エネルギー・公共事業、政府機関、教育機関です。
ランサムウェア攻撃の頻度
攻撃の手口が進化し、相手の防御をすり抜ける方法を次々とハッカーが見つけ出すため、ランサムウェアを使った攻撃の件数は増えるばかりです。事実、2021 年の第 2 四半期には、3 億 470 万件( 1 日あたり 300 万件以上)のランサムウェア攻撃が発生しており、FBI は、全世界に新たに 100 のランサムウェアの亜種が出回っているという警告を発表しました。2020 年には通年で 3 億 460 万件のランサムウェア攻撃を記録したのに対し、2021 年は 3 か月だけで前年度の攻撃件数を超えています。
他の専門家も下記のように述べています。
- 2021 年に IDC が実施したランサムウェアに関する調査によれば、グローバル企業の約 37% が、同年に何らかのランサムウェアの攻撃に遭ったと回答している。
- FBI のインターネット犯罪苦情センターは、2021 年上半期に 2,000 件を超えるランサムウェア攻撃に関する苦情を受け付けたと報告している。この数字は対前年比で 62% の増加を意味する。
- 極めて重要性の高いシステムが標的になることもある。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、米国の 16 ある重要なインフラセクターのうち 14 セクターが最近、ランサムウェア攻撃を受けている。
ランサムウェアの亜種の例
- WannaCry:現在知られているなかでも特に知名度の高いランサムウェアです。2017 年 5 月にリリースされた暗号化型のコンピュータワームです。WannaCrypt や WCry などの類似の名称で呼ばれることもあり、旧バージョンの Microsoft Windows がインストールされたシステムが標的になっています。150 か国で約 20万台のコンピュータがこのワームに感染しており、推定被害額は数十億ドルに上ります。
- CryptoLocker:2013 年から 2014 年に活動が確認された暗号化型のトロイの木馬です。不正なボットネットや、配送の追跡通知を装ったウイルスを仕込んだメールの添付ファイルが拡散に使われました。身代金をビットコインで要求する最初のランサムウェアの 1 つです。
- Petya:2016 年以降に活動が確認されているランサムウェアの亜種の 1 つです。標的のコンピュータのマスターブートレコードを破壊し、Windows のブートローダーを削除してシステムを強制的に再起動します。再起動が完了してシステムが立ち上がると、重要度の高いデータを暗号化し、ビットコインによる身代金の支払いを要求します。
- NotPetya:Petya と同様の手口を使うこのランサムウェアは、極めて破壊力の高いランサムウェアの 1つと見なされており、コンピュータのマスターブートレコードに感染して暗号化します。拡散には、WannaCry に類似したワームが使われます。このランサムウェアがシステムに加えた変更は元に戻せず、攻撃は事実上システムを回復不能な状態に陥れるため、Petya をワイパーと呼ぶ専門家もいます。
- Bad Rabbit:2017 年後半に発見されたこのランサムウェアは、Adobe Flash の偽の更新プログラムを通じて拡散し、システムのファイルテーブルを暗号化します。ウクライナやロシアで重要度の高いいくつかのシステムを標的に攻撃しており、オデッサ国際空港やウクライナのインフラ省などが被害を受けました。
- Locky:2016 年に登場したこのランサムウェアは、未払いの請求書があると偽ったメールが拡散に使われました。ユーザーがメールの添付ファイルを開くと、解読不能な文字が全体に羅列されたページが表示されます。ページの上部には、「データのエンコーディングが誤っている場合はマクロを有効化してください」と書かれたリンクの記載があります。リンクをクリックすると、特定の拡張子を持つ全てのファイルが、暗号化型のトロイの木馬に暗号化されてしまいます。
- REvil:このランサムウェアはデータを暗号化する前にデータを盗み取ります。データの暗号化だけでは身代金の支払いに応じない相手に対し、秘密性の高いデータを公開すると脅して、身代金を支払わせるようにするためです。
ランサムウェアが企業に与える影響
ランサムウェアは、さまざまなかたちで企業に深刻な影響を与えるおそれがあります。まず最も明白なのは財務上の影響です。米国財務省の金融犯罪取締ネットワーク(FinCEN)によれば、2021 年上期に企業がランサムウェア関連に支払った金額は 5 億 9,000 万ドルに達しています。一方、その前年は年間で、4 億 1,600 万ドル程度であったと同省は報告しています。たとえ身代金を支払わなかったとしても、ランサムウェアが原因で生産性の低下やデータの損失は、財務上の大幅な損失を被る可能性があります。
影響は財務面だけにとどまりません。攻撃を受けたことが世間に知れ渡たり、保有している秘密情報が攻撃者の手によって外部に漏洩してしまうと、企業の評判が低下し、損害を被ることになります。ランサムウェア攻撃を受けた結果、訴えを起こされた場合、高額な費用と多くの時間がかかるおそれがあり、従業員は日々の業務に専念できなくなってしまいます。英国の National Health Service(NHS)のケースが、わかりやすい事例の 1 つです。予約の取り消しやシステムの停止に起因して 1 億ドルを超える損失が発生しています。
さらに、業界固有の制裁金を科されることもあります。身代金と復旧にかかる費用に制裁金の負担が加わると、損害は爆発的に膨らみ、壊滅的な状態を招きかねません。
ランサムウェア攻撃を防ぐには
あらゆるタイプのランサムウェア攻撃を 100% 阻止・防御できる方法は存在しません。しかし、ランサムウェアからシステムを守り、攻撃者が狙う脆弱性をなくすために企業ができることは数多くあります。以下に対策をいくつか紹介します。
- 多層防御セキュリティを導入する:ランサムウェア攻撃などのサイバー攻撃のリスクを軽減するには、複数の階層でシステムを包括的に保護することが効果的である。
- ランサムウェアと拡散のしくみを従業員に教育する:ソーシャルエンジニアリングの手法や、ユーザーのクリック操作を誘う偽のドキュメントや添付ファイルの手口など、攻撃者がシステムに侵入するさまざまな手口を従業員に認識させる。
- システムの監視と頻繁なデータバックアップを実行する:監視ツールを活用し、異常なデータアクセスの挙動やトラフィックの発生を IT 部門に通知する。また、現場とは別の場所に最低 1 つはデータのバックアップコピーを保存しておくようにすれば、データを失うリスクを最小限に抑えることができる。
- 更新プログラムを最新の状態に保つ:既存の脆弱性を介してシステムに侵入するのがランサムウェアの典型的な手口であるため、更新プログラムを常に最新の状態に維持しておけば、ランサムウェアの侵入経路を塞ぐうえで効果がある。
- 対応戦略の策定と訓練を実施する:必要になる前に計画を策定することで、迅速かつ効率的にランサムウェア攻撃に対処できる。また、机上訓練を通じて備えをしておけば、組織内の誰もが攻撃の発生時に取るべき行動を知っておくことができる。
- メール利用と Web 閲覧の安全を確保する:ランサムウェアがシステムに侵入する手口としては、メールが一般的である。メールゲートウェイを導入すれば、危険な可能性のあるメールを特定してブロックでき、不審な添付ファイルや URL からユーザーを守ることができる。同様に Web ゲートウェイでは、オンライントラフィックを監視して、疑わしい広告やリンクを検知できる。
- モバイルデバイスを保護する:モバイルデバイスの管理ソリューションのなかには、悪意をはらんだアプリケーションやメッセージをモバイルデバイスが取得したときにユーザーに通知するものもある。
- 管理者権限を制御する:管理者のアクセス権限を保有している従業員を把握し、従業員が退職したときには、確実に権限を無効にする。
- アプリケーションホワイトリストを作成する:デバイスやコンピュータでの実行を許可するアプリケーションをあらかじめ決めておき、許可を与えていないアプリケーションをブロックすることで、リスクを軽減できる。この方法は、IT 部門が権限のないユーザーのインストール操作を無効にすることや、マルウェアのコードを実行しようとする企てを阻止するのに役立つ。
- ゼロトラスト戦略とゼロトラストアーキテクチャを導入する:ゼロトラストとは、「決して信用せず常に検証を実施すべし」との考え基づく管理のフレームワークである。防御ラインを排除したこの概念は、デバイスが社内 LAN などの許可を受けたネットワークに接続され、事前に検証済みだったとしても、デバイスを信用しないことをデフォルトにすることである。
- マイクロセグメンテーションによるマネージド型アプリケーションネットワークの分離を活用する:マイクロセグメンテーションは、アプリケーション、仮想マシン、データのレベルでセキュリティポリシーモデルを活用し、ワークロード間のネットワークトラフィックを制御する。マネージドソフトウェアファイアウォールと呼ばれる機能を利用すれば、マイクロセグメンテーションソリューションでポリシーを実装できる。これにより、無用なリスクをネットワーク上で増やすことなく、目的のトラフィックだけを特定のアプリケーションに渡すことが可能になる。
ランサムウェア対策の必要性
データのセキュリティは、規模の大小を問わず、あらゆる組織において最重要事項であるべきです。ランサムウェア対策のセキュリティと保護では、階層型のアプローチを採用し、ビジネスの環境で重要となる攻撃ベクトルに注目します。コンピュータのオペレーティングシステムには、マルウェアに対応した高度なエンドポイント保護機能など、ランサムウェア攻撃のリスクを軽減するセキュリティ機能があらかじめ組み込まれていることがあります。
それでも、インフラ、ネットワーク、データのそれぞれのレベルにおいて、強固で包括的な保護機能をさらに導入する必要があります。これは多層防御と呼ばれる対策です。ランサムウェアにシステムへの侵入を許してしまった場合でも、対策を講じていない場合に比べて被害の影響や範囲をずっと小さくできます。
ゼロトラストは、現在主流なランサムウェア対策です。ゼロトラストネットワークアクセス(Zero Trust Network Access: ZTNA)をゼロトラストの戦略と組み合わせれば、パスワードや VPN で信頼できるネットワークへの入口を守ってきた防御ラインにおいてだけでなく、テクノロジースタックのどの階層にも、アクセスに必須なチェックポイントを作成できます。
単一の認証ポイントはセキュリティ対策として現在でも欠かせませんが、この認証ポイントは通常、一度に広範なリソースへのアクセスを許可します。一方、ゼロトラストでは、複数の認証ポイントを構成し、アクセス対象のシステムではなくユーザーのニーズに応じて認証ポイントを設けます。
ランサムウェア攻撃の被害に遭ってしまったら
ランサムウェア攻撃を事前に防御するのが最善ですが、万が一攻撃を受けた場合に備えて、対処方法を事前に準備しておくことが大切です。攻撃の被害に遭ってしまったときの対処法のベストプラクティスを以下にいくつか紹介します。
- 事業継続計画に従って冷静に対応する:重要な業務ファイルにアクセスできなかったり、データ削除の脅威に対処するのは容易ではないが、冷静になって状況を十分に把握することが重要である。ビジネスクリティカルな業務に合わせた対応計画を事前に策定しておけば、優先順位付けが容易になり、攻撃への対応に何をすべきかを、全従業員が把握できる。
- 社内のインシデント対応部門に連絡する:一般的には、社内にインシデント対応チームを設置するか、サイバー保険などと連携して、対応項目の整理や優先順位付けを行う必要がある。
- 被害の発生を政府に報告する:米国の場合、ランサムウェアの情報を報告し、連邦当局から支援を得るための窓口として「StopRansomware.gov」の Web サイトが公開されている。ランサムウェア攻撃について報告を行うための手続きに関しては、こちらに詳しく記載されている。
- ランサムノートを証拠として記録に残す:ランサムノート(身代金要求のドキュメントなど)の写真を撮影しておく。これは、警察に被害届を出す際に役立つ。
- 侵害を受けたシステムを特定し、隔離する:ネットワークに接続されている別のコンピュータやデバイスにランサムウェアが感染するおそれがあるため、できるだけ早くできるだけ完全に、影響を受けたシステムを隔離する。これは、マシンをネットワークから切り離すことを意味する場合もある。
- 自動化しているメンテナンスタスクを速やかに停止する:ログのローテーションや一時ファイルの削除などのタスクを、侵害を受けたシステムで停止し、デバイスの電源もオフにする。この措置により、後で調査や分析に必要なデータファイルにこれらのタスクが変更を加えることを回避できる。
- 全てのデータのバックアップをネットワークから切り離す:最新のランサムウェアは、復旧を妨害する目的でバックアップの所在を突き止めようとするので、バックアップをネットワークから切り離す。ランサムウェアの駆除が完了するまでは、バックアップに誰もアクセスできないようにするのが賢明である。
- データのバックアップの整合性をチェックする:信頼できるバックアップをネットワークから切り離したら、侵害を受けていない既知のエンドポイントで、バックアップの状態と整合性をチェックする。新しいランサムウェア攻撃ほど、身代金を支払わせようと、バックアップを標的する傾向が強い。
- システムに感染したランサムウェアの亜種を特定する:ランサムウェアの亜種を特定できれば、対処が容易になる可能性が高い。ID Ransomware や Emsisoft のオンラインのランサムウェア識別ツールなどの無料のオンラインサービスでは、ランサムノートの画像や暗号化されたデータのサンプルをアップロードし、ランサムウェアの亜種の特定を試みる。
- 復号化ツールを導入し、ハッカーの以後のアクションを阻止できないかを判断する:No More Ransom のような、暗号化されたデータを元に戻すツールがインターネット上には数多く存在する。ランサムウェアの名前がわかれば、対応に役立つ。No More Ransom のページの下部にあるリストで、最新の復号化ツールを検索できる。
- パスワードをリセットする:侵害を受けたシステムをネットワークから切り離したら、オンラインで使用するアカウントのパスワードとアプリケーションのパスワードを新たに作成する。ランサムウェアを完全に駆除した後に再度、全てのパスワードを変更する。
- 身代金の支払いに応じるか否かを判断する:判断は容易ではなく、支払いに応じる場合も、そうでない場合もともに、メリットとデメリットがある。しかし、1 つ心得ておくべきことは、できることを全て実施したうえで、身代金の支払いよりもデータの損失のほうが深刻であると判断した場合のみ、身代金の支払いに応じるべきである。
- 専門家のちからを借りて、脅威を完全に駆除する:サイバーインシデント対応部門のサポートが何度も必要になるケースでは、実績と信頼のある専門家に依頼し、根本原因の分析を行い、システムの脆弱性や侵害を受けたシステムを特定すべきである。クリーンナップと最終調査も専門家が行う必要がある。攻撃者は、あらゆる種類のバックドアや、システムへの未知の侵入経路を悪用するおそれがある。
- システム復旧作業の優先順位を付ける:これは既に事業継続計画に明確に定義されているはずであるが、そうでない場合は、業務上重要度の高いシステムとデータを特定し、最優先での復旧を試みる。重要度が高いのは、収益や生産性に影響を与えるシステムである。
- 事後検証を実施する:ランサムウェアの攻撃がどのように発生したか技術面から詳細に把握することが、今後の攻撃を防ぐうえで重要である。検証は、新たなセキュリティの取り組みにつながり、注意を向けるべきポイントの把握に役立つ。
- 専門家に相談してセキュリティを強化する:ランサムウェア攻撃は繰り返される傾向があり、事実、2 回目の攻撃を経験している企業は数多く存在する。1 回目の攻撃でシステムへの侵入に使われた脆弱性を把握しないと、同じ脆弱性を再度突かれるおそれがある。信頼できるパートナーや、インシデント対応部門のアドバイスを活かして、環境全体でセキュリティ対策を強化すべきである。
まとめ
統計上では、誰もがランサムウェア攻撃を受ける可能性があります。リスクを完全に排除することは現実として不可能です。ランサムウェア攻撃の内容は絶えず進化しており、防御を突破する能力も高くなっています。それゆえ、事業継続計画を策定し、ランサムウェアに攻撃された場合に取るべき対策についての詳細な戦略を準備しておくことが重要です。
攻撃を受けた直後の対処法を決めておくこと、セキュリティに対して常に高い意識を持っておくことが重要です。データを保護し、システムを最新の状態に保つ対策を講じておくことで、潜在的な脆弱性を軽減できます。
システムへの侵入経路になる脆弱性を排除し、詳細かつ適切な対策を準備することで、ランサムウェア攻撃による被害が長期化するリスクを大幅に抑えることができます。
