経営にまつわる課題、先駆者の事例などを定期的に配信しております。
ぜひ、お気軽にご登録ください。
ランサムウェアは、感染すると企業に甚大な被害をもたらすコンピュータウイルスです。企業を狙ったサイバー攻撃の中でも、近年、ランサムウェアによる被害が増加しています。
ここでは、ランサムウェアの概要とその被害状況、ランサムウェアに感染したと思われるときの対処法や、被害を防ぐための対策について解説します。
ランサムウェアとは?
ランサムウェアという名称は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンのファイルを暗号化したり、ロックをかけたりして使用できない状態にした後、元に戻すことと引き換えに金銭を要求するコンピュータウイルスのことで、身代金要求型ウイルスとも呼ばれます。
ランサムウェアの変遷
日本でランサムウェアが情報セキュリティ上の脅威と認識され始めたのは、2016年頃からです。当初は、不特定多数の利用者に向けてコンピュータウイルスをメールで送信する方法で感染させ、データの復旧と引き換えに身代金を要求するのが一般的でした。
しかし、その手口は年々変化しており、テレワークが普及した2020年頃からは、VPN機器をはじめとするネットワーク機器のインフラの脆弱性を狙い、企業のネットワークに侵入する手口が増加しています。また、不特定多数の相手へのメール送信から、標的型攻撃メールも登場しています。標的型攻撃メールとは、対象の組織を狙って、担当者が業務関係のメールだと思い込むように作り込まれたメールのことです。
要求の内容も変化が見られ、近年ではネットワーク内のデータを盗み取り、企業に対して「対価を支払わなければデータを公開する」と要求する二重恐喝(ダブルエクストーション)と呼ばれるものが確認されています。
出典:「情報セキュリティ10大脅威」(IPA 独立行政法人情報処理推進機構)
■ランサムウェアの攻撃プロセスの変遷
「事業継続を脅かす新たなランサムウェア攻撃について」(IPA 独立行政法人情報処理推進機構)より作成
なお、従来のランサムウェアと、新たな脅威となっているランサムウェアの違いは下記のとおりです。従来のランサムウェアがなくなったわけではなく、攻撃手段や攻撃対象の増加により、ランサムウェアに対しさらなる警戒が必要になったということになります。
■新旧ランサムウェアの違い
|
従来のランサムウェア |
新たなランサムウェア |
攻撃手段 |
・不特定多数の相手へのメール送信 ・悪意のあるウェブページの作成 |
・標的型攻撃メール送信 ・VPN機器などのインフラの脆弱性を狙う ・公開サーバーへの不正アクセス |
攻撃対象 |
・個別のパソコン |
・個別のパソコン ・サーバー ・制御系システム |
感染時に起こること |
・ファイルの暗号化 ・パソコンのロック など |
・パソコンやサーバー内データの暗号化や窃取 ・管理者権限を奪った上でシステム全体の乗っ取り など |
要求内容 |
・データの復旧と引き換えに対価を要求 など |
・データの復旧と引き換えに対価を要求 ・窃取したデータを公開しないことと引き換えに対価を要求 ・窃取データの闇サイトでの販売 など |
ランサムウェアによる被害
警察庁によると、企業・団体などにおけるランサムウェア被害の件数は、統計を取り始めた2020年下半期以降、右肩上がりで増加し、2020年下半期は21件だったのが、2023年上半期では103件に増えています。
ランサムウェアの被害に遭った企業・団体へのアンケートでは、有効回答数60件のうち17%が復旧までに1ヵ月以上を要したと回答しており、また復旧費用についても、有効回答数53件のうち半数以上は、500万円以上が必要だったと回答しています。
ランサムウェアによる引き起こされる被害は、要求に従うことによる金銭的損失にとどまりません。ファイルの暗号化や端末のロックによる業務・サービスの停止、窃取された重要な情報の漏洩、そして情報漏洩の結果として、顧客や取引先からの信用が失墜するなど被害は広範囲に及びます。
出典:「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
ランサムウェアの攻撃手順
ランサムウェアの攻撃には4段階あります。侵入、端末内部での活動、データ持ち出しやロック、そしてランサムウェア実行の4つです。それぞれの段階について解説します。
1 企業内ネットワークへの侵入
まず攻撃者は、VPN機器などの脆弱性を利用して企業内のネットワークに侵入します。このほか、標的型攻撃メールによるリンクや添付ファイル、外部メモリーなども侵入経路となります。
2 端末内部での探索活動
攻撃者が企業内のネットワークに侵入したら、端末内部での探索活動が始まります。攻撃者は、遠隔操作ツールを使って侵入した端末やネットワークの内部をスキャン。侵入可能なサーバーやアクセス可能な機密情報、管理者のアカウント情報といった、身代金要求に使えそうな情報の探索を行います。
3 データの窃取やロック
攻撃者が管理者の権限を獲得したら、機密情報や個人情報といった重要情報の窃取を開始。
獲得した権限を使って脅迫のための機密情報を窃取、クラウド上か攻撃者のサーバーにアップすることで持ち出します。このほか、データをロックしてサーバーや機密情報にアクセスできないようにします。
4 ランサム(身代金)の要求
最後に、企業のネットワーク内に導入されているセキュリティを停止して不正プログラムを実行し、身代金の要求を行います。この段階までに攻撃者による攻撃に気づけなかった場合、ここで初めてランサムウェアによる被害に気づきます。
ランサムウェアに感染したと思われるときの対処法
ここからは、ランサムウェアに感染したと思われるときの対処法について紹介します。
ランサムウェアの感染で恐ろしいのは、攻撃者の要求に応じて対価を支払っても、「データを復旧する」「窃取されたデータは公開しない」といった約束について、守られる保証がない点です。そのため、攻撃者の要求には応じず、被害の最小化を図り、データのバックアップから復旧するのが対処の基本となります。
対処の方法は次の3つです。できる限り迅速に、人手を分けて同時に行うようにしましょう。
警察などへ通報・相談する
ランサムウェアに感染したと思われる状況になったら、自社を管轄する警察のサイバー犯罪窓口に相談・通報します。警察から助言を得ることもできますし、サイバー犯罪の実態を明らかにし、被害の拡大を防止するのにも役立ちます。
都道府県警察本部のサイバー犯罪相談窓口等一覧は下記のとおりです。
IPAやJPCERT/CC(ジェーピーサートコーディネーションセンター)にも連絡すると、事後対応のサポートを受けることもできます。
感染した端末をネットワークから隔離する
ランサムウェアに感染した場合、感染した端末やシステムをネットワークから隔離します。
端末内に復元に必要な情報が残っていることがあるので、切り離した端末の電源は切らないように注意しましょう。
組織全体で対応する
ランサムウェアはネットワーク上に接続されているほかの端末にも感染を広げるため、組織全体で状況を把握し、対応することが大切です。
できるだけ早めに、「被害を受けたデータ」「不審な通信を行っている端末」「窃取された情報」の特定を行います。ネットワークからの隔離などの処置により、被害の拡大を防ぎ、迅速な復旧につなげることが可能です。
ランサムウェアへの対策
ランサムウェアに感染すると、甚大な被害に遭う可能性があります。ランサムウェアの被害を未然に防ぎ、万が一感染したとしても被害を最小限にするために、普段から行っておくべき対策は、主に次の6つです。
セキュリティを最新にする
ランサムウェアの対策として、セキュリティ対策ソフトを常に最新の状態にしておくことが大切です。OSやソフトウェアは常に更新ファイルやパッチを適用し、常に最新の状態を保つようにします。
標的型攻撃メールの検知・ブロック機能を強化する
標的型攻撃メールの検知・ブロック機能を強化することも、ランサムウェア対策のひとつです。メール受信システムのフィルタリング機能や警告機能を利用することで、業務に関するメールを装って届く標的型攻撃メールを検知・ブロックできる可能性が高まります。
遠隔操作機能を適切に管理する
ランサムウェア対策として、遠隔操作機能を適切に管理しましょう。例えば、攻撃者に利用されないよう、遠隔操作機能を利用するサーバーを必要最小限にするといった方法があります。また、厳重なセキュリティチェックを行うようにすることも大切です。
内部ネットワークや端末の挙動を監視する
内部ネットワークや端末の挙動の監視を自動化することも、ランサムウェア対策のひとつです。組織内の複数の端末を横断するスキャンや不正ログイン、データ移動などを素早く検知することで、感染の拡大や侵入範囲の拡大を抑えられます。
データのバックアップをとる
被害を受けたときに復旧できるよう、データは定期的にバックアップをとっておきましょう。ランサムウェア対策として、外付けの記録媒体にも保存し、ネットワークと切り離して保管しておく方法もあります。
社員のリテラシーを高める
どれだけセキュリティを強化しても、すべてのリスクに対応することは不可能です。システムをすり抜けた標的型攻撃メールへの対処など、人の行動に委ねられる部分も大きいため、研修などを通して社員のセキュリティリテラシーを高めておくことも大切です。
ランサムウェア対策にサイバーリスクの補償を利用しよう
ランサムウェアによる被害は、金銭損失、業務・サービスの停止、情報漏洩、信用失墜と広範囲に及び、企業に深刻なダメージをもたらします。被害は企業の規模を問わず発生しているため、中小企業も決して他人事ではありません。被害に遭わないために、また万が一感染したとしても被害を最小限に防ぐために、しっかりした対策が必要です。
AIG損保では、サイバーリスク補償をご用意しています。サイバー攻撃と個人情報への備えとして、加入をご検討ください。
MKT-2024-505
「ここから変える。」メールマガジン
関連記事
パンフレットのご請求はこちら
保険商品についてのご相談はこちらから。
地域別に最寄りの担当をご紹介いたします。
- おすすめ記事
- 新着記事