ランサムウェア(Ransomware)とは

ランサムウェア(Ransomware)の概要や攻撃手法、感染の対応策などをわかりやすく解説します。

ランサムウェア(Ransomware)とは

世の中にはシステムの正常な動作を阻害したり、情報や金銭の窃取したりすることを目的とした、悪意のあるソフトウェアが存在します。こうしたソフトウェアは、Malicious(悪意のある)とSoftware(ソフトウェア)を組み合わせて、「マルウェア(malware)」と呼ばれています。そして、マルウェアの中でも特にデータを暗号化するなどの方法で使用不能にし、その制限を解除するために身代金(Ransom)を要求するものを「ランサムウェア(Ransomware)」と呼んでいます。ランサムウェアは日本語では、「身代金要求型不正プログラム」などと表記されることもあります。

ランサムウェアは金銭の搾取を目的としたマルウェアの一種ですが、その被害は単に身代金を請求するだけに留まりません。よくある例が、被害者が身代金の支払いを拒否した場合に、データを公開すると脅迫する「二重脅迫(ダブルエクストーション)」 です。基本的にランサムウェアのターゲットには、「人質」としての価値があるデータが選ばれます。これは具体的には、機密情報や個人情報など、企業にとって重要な情報資産に当たります。そのため、こうしたデータを公開されてしまった場合の、企業側のダメージは計り知れません。
情報資産以外でも、事業継続性に大きく影響を与える業務システムもまた、狙われています。業務システムそのものが暗号化されることにより、事業が停止させられてしまい、被害の影響範囲が多岐に渡るケースも発生しています。

また、それ以外にもDDoS攻撃を仕掛けてWebサイトやネットワークに妨害を行い利用不可能にし、身代金の支払いに応じなければ攻撃を続行すると脅迫したり、攻撃対象組織の顧客やビジネスパートナーに対しても通知したりといった「多重脅迫」を行う手口が確認されています。

ランサムウェアの被害状況と感染経路

令和5年3月に警察庁が公表した「令和4年におけるサイバー空間をめぐる脅威の情勢等についてPDF」によると、令和4年に報告された企業・団体等におけるランサムウェアの被害件数は230件にのぼっています。これは、前年度比で言えば57.5%も増加している数値であり、令和2年の下半期には21件でしかなかった被害件数は、右肩上がりで増加し続けている状況です。

こうした被害の急増の裏には、RaaS(Ransomware as a Service)の普及が原因の1つであると考えられています。RaaSとは、一言で言えばランサムウェアのSaaSです。利用する期間に応じて、料金を支払うだけでランサムウェアを利用できるというもので、言うまでもなく犯罪組織向けのサービスになります。このRaaSの登場により、攻撃者自身に技術的な知識がなくとも、容易にランサムウェアを利用できてしまう環境が整ってきているのです。

被害の内容について見てみると、令和4年に警察で手口を確認できたものの中では、「二重脅迫(ダブルエクストーション)」が最も多くなっています。その件数は119件にのぼり、全体の65%を占めています。被害を受けた企業・団体等に共通の傾向はなく、製造業から医療、教育まで業種を問わず被害が生じています。また、その規模も中小企業から大企業まで幅広く、ランサムウェアの被害に遭うかどうかと、業種や企業規模には関係がないことがわかります。

令和4年にランサムウェアの被害を受けた230件のうち、警察庁のアンケートに回答があった102件の回答を基に感染経路を見てみると、ランサムウェアの感染経路として一番多いのは「VPN機器からの侵入(62%)」、そして次点が「リモートデスクトップからの侵入(19%)」となっています。

ランサムウェアの攻撃手法

前述の通りランサムウェアとは、主にVPN機器やリモートデスクトップなどから端末に侵入し、データを暗号化することで使用不能にするなどの制限をかけるマルウェアの一種です。ですが、データを使用不能にするのは目的ではなく、手段に過ぎません。マルウェアの本来の目的は、データにかけた制限の解除を条件に身代金(Ransom)を要求し、金銭を得ることです。さらに、最近では「多重脅迫」の手法で身代金と引き換えに、データを公開すると脅迫する手口も増加の傾向にあります。

こうした一連の攻撃手法について独立行政法人 情報処理推進機構(IPA)では、「事業継続を脅かす新たなランサムウェア攻撃についてPDF」において、攻撃者の活動は

  1. ネットワークへの侵入 
  2. ネットワーク内の侵害範囲拡大 
  3. データの窃取 (※二重の脅迫の場合)
  4. データの暗号化・システム停止
  5. 窃取したデータの公開 (※二重の脅迫の場合)

の5つのステップに分けられると述べています。本記事でもこの分類を用いて、各ステップでどのような活動が行われるかについて解説していきます。

1.ネットワークへの侵入

攻撃者はまず攻撃対象となる企業・組織のネットワークへ侵入します。この際の侵入経路としては、前述のようにVPN機器やリモートデスクトップが多く利用される傾向にあります。またそれ以外では、メールの添付ファイルを開かせたり、攻撃用のWebサイトにアクセスさせたりすることで、遠隔操作ウイルスなどに感染させるといったケースも存在します。

2.ネットワーク内の侵害範囲拡大

攻撃者は身代金を支払わせるため、被害者の持つ価値のあるデータ(機微情報など)の窃取を狙っています。そこで、ネットワークへの侵入に成功した攻撃者は、攻撃の足がかりとなるよう、ネットワーク内の侵害範囲の拡大を行います。その中で得られたネットワーク構成などの情報により、攻撃者は機微な情報が保存されている端末等に狙いを定めます。
なお、この段階の活動では、悪意のあるソフトウェアではなく、(PowerShellやWMIといった)OSに標準で搭載されているツールが悪用されることがあります。OSの正規プログラムを利用してメモリ常駐型のマルウェアを実行する「ファイルレス攻撃」という手法であり、従来型の対策では不審ファイルの検知が非常に困難なため攻撃の発見が遅くなる原因の1つとなっています。

3.データの窃取(※二重の脅迫の場合)

データを人質に取るだけでなく、データ公開といった「二重の脅迫」まで行う場合は、この段階で攻撃者はデータの窃取を行います。

4.データの暗号化・システム停止

最後に攻撃者はランサムウェアを使って、データの暗号化といった、実際の攻撃を行います。そして、ランサムウェアの実行後、攻撃対象の端末に身代金要求画面を表示させるなど、具体的な脅迫を行います。

5.窃取したデータの公開(※二重の脅迫の場合)

攻撃者が指定した期日までに身代金が支払われなかった場合、攻撃者は報復として、窃取したデータを公開することがあります。データの公開は、攻撃者が用意したWebサイトである「リークサイト」などを利用して行われます。
また、持ち出したデータの一部を公開し、本物のデータを所持していることを確認させてから、「身代金の支払いがなければデータを更に公開する」と脅す手口も確認されています。ですが、仮に身代金を支払ったとしても、今後一切のリークが発生しないことが保証されるわけではありません。そのため、一度データを窃取されてしまうと、そのデータの機密を守ることは困難であると考えた方がよいでしょう。

ランサムウェア感染の対応策

ランサムウェアの被害はどのような業種であっても遭う可能性があり、また「有名企業でないから狙われない」といったこともありません。そのため、業種や企業規模にかかわらず、ランサムウェアへの対策は必須と言えるでしょう。ランサムウェア被害は、決して対岸の火事ではないのです。

侵入経路の大多数を占めるのが「VPN機器」や「リモートデスクトップ」からの侵入です。まずはこれらに対して、しっかりとした不正アクセス対策を行いましょう。新たに発見された脆弱性への対応は怠らずに行い、また必要に応じてより強固な認証を導入することも検討してください。

大切なのは、万が一ランサムウェアに感染した場合は、その被害を最小限に食い止めることです。しかし、一度ネットワーク内に侵入されてしまうと、攻撃者は検出が困難な方法で横展開を行うため、防御が非常に困難になります。エンドポイントやネットワークなどの監視を常時行うのは当然として、問題のある挙動や攻撃が確認できた場合に必要となる対応やそれを迅速に展開できる体制を、普段から構築しておくことが求められています。

エンドポイントやネットワークなどの感染経路への対策

ウイルス対策ソフトによる防御は、マルウェアの感染対策として効果的です。ですが、攻撃の種類によっては、パターンマッチング方式のウイルス対策ソフトでは防げないこともあるため、そうした攻撃に対しての備えも必要になります。例えば、対象を常時監視して動作ログを取得し、怪しい挙動や攻撃を検知した際には、ほかのエンドポイントやネットワーク機器のログなどとの相関分析を行い、必要な対応を特定し被害の拡大を防ぐなどです。

具体的な対象のソリューションとしては、端末上でランサムウェア感染を防止する「Endpoint Protection Platform(EPP)」、感染後の対策を支援する「Endpoint Detection and Response(EDR)」、ネットワーク上で感染後の対策を支援する 「Network Detection and Response (NDR)」、またそれらを組み合わせた「Extended Detection and Response(XDR)」などがあります。
なお、ウイルス対策ソフトは、これらのうちEPPに分類されます。

感染経路の監視・インシデント初動体制

感染経路は非常に多岐にわたるため、それを統合的に監視する体制、組織づくりが必要となります。

例えば、EDR、NDRやXDRから出力されてくるアラートは、24時間365日体制で監視しなければなりません。そして、アラートを検知したら、直ちにログの調査や分析を行い、必要に応じて即座にインシデントの初動対応を開始できる必要があります。こうした対応を行う専門のサービスを「Managed Security Service(MSS)」と呼びます。

インシデントの発生時に迅速な対策を行う組織体制

前述のMSSは、あくまでインシデントの検知に重点を置いたサービスです。そのため、MSSから受けた情報を基に社内で取り決めたルールに従って、実際に対応を行う必要があります。このインシデントに対応するチームや組織を「Computer Security Incident Response Team(CSIRT)」と呼びます。

データのバックアップも必要

ランサムウェアはデータを暗号化するといった方法で、利用不可能な状態にするマルウェアです。そのため、万が一ランサムウェアに感染した場合は、一刻も早く業務を再開できるようにバックアップから正常なデータを復旧する必要があります。具体的なバックアップの対応としては、以下に記すような方法が考えられます。

まず、絶対行わなければならないのが、定期的なバックアップの実施です。また、バックアップが1つだけだと、バックアップ自体が攻撃を受けたり、システムのトラブルによってバックアップの取得に失敗していたりしたような場合に、復旧が不可能になってしまいます。そのため、バックアップは複数取得し、また複数世代の過去のバックアップを保持できているのが望ましいでしょう。そして、バックアップの取得は、自動的に行われるのが理想的です。

しかし、バックアップの取得や保存にもコストがかかります。そのため、システムやデータの重要度とバックアップにかけられるコストを考慮し、最適な落とし所を探る必要があるでしょう。ポイントは、なるべくデータ容量を抑えてバックアップの保存コストを下げること、そして、なによりも有事の際にはスムーズに復旧できることです。

バックアップの保管先も重要です。ネットワーク的に疎通可能な場所にバックアップを保管していると、バックアップ自体も攻撃の対象となる可能性があるため、可能であればオフラインで保管するのが望ましいでしょう。

富士通がご提供するサービスのご紹介

富士通では、ランサムウェア感染対策ソリューションについて、下記のラインナップをご提供しております。貴社のランサムウェア対策の一助として、是非お役立てください。

EDR

XDR

MSS

CSIRT

お問い合わせ・ご相談

お電話でのお問い合わせ

0120-933-200

受付時間 : 9:00~12:00および13:00~17:30(土・日・祝日・当社指定の休業日を除く)

Webでのお問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

ページの先頭へ