近年、企業にとって大きな脅威となっているのがランサムウェアによる攻撃です。ランサムウェアとはどのようなマルウェアでどんな特徴を持ち、どのような被害をもたらすものなのでしょうか。有効な対策とともに詳しく解説します。

ランサムウェアとは

ランサムウェアとは、PCやサーバに感染してコンピュータをロックする、あるいは内部のファイルを暗号化して使用不能にし、メッセージを表示してもとに戻すことと引き換えに「身代金(ランサム)」を支払うよう要求するマルウェアの一種です。企業に対するランサムウェアを使った攻撃は2015年頃から世界的に増大し、現在も多くの企業がランサムウェアによる多大な被害を受けています。

ランサムウェアの特徴

ランサムウェアはスパムメールや標的型攻撃メールの添付ファイル、改ざんされたWebサイト、USBデバイスなどから感染します。多くの場合、無害なプログラムであるかのように偽装して侵入し、頃合いを見て攻撃を開始するトロイの木馬として感染・活動します。

コンピュータがランサムウェアに感染してメッセージが表示されると、ロックや暗号化を解いて復旧するのは困難です。とくにファイルが暗号化されると内容を見たり編集したりすることが不可能になります。暗号化されたファイルをもとに戻すには「鍵」が必要で、その鍵を持たないままでファイルを復号するのはほぼ不可能だとされています。

さらに、よく知られているランサムウェア「WannaCry」などはワーム機能を有しています。そのため1台が感染するとネットワークでつながっている他の端末も感染して次々に攻撃される可能性が高く、被害が広がりやすいのも厄介です。

近年ではファイルではなくデータベースやメールサーバを暗号化するランサムウェア、ランサムウェアとしてだけではなく情報窃取やセキュリティ対策ソフトのアンインストールなどもあわせて行うようなマルウェアも増えています。

ランサムウェアに感染した場合の被害

上述したように、ランサムウェアに感染するとまず企業内のコンピュータやコンピュータ内のファイルが使えなくなります。複数台のコンピュータが同じ状態に陥れば、業務に支障が出ることは避けられません。

次にロック解除やファイルの復号のために身代金が要求されます。支払いには暗号資産(仮想通貨)を用いるよう指示されるケースも見られます。身代金の金額は非常に高額で、たとえいわれるままに支払ったとしてもコンピュータを復旧できる可能性は低いでしょう。

さらに、最近では「二重恐喝型」のランサムウェアが増えています。二重恐喝は身代金だけではなく、支払いに応じない場合、感染したコンピュータ内の重要情報を公開すると脅迫して金銭を要求するものです。

このタイプのランサムウェアは、ファイルを暗号化する前にそのファイルをインターネット経由で外部に送信しています。また、二重恐喝型ランサムウェアに狙われやすいのは情報の漏えいや流出で大きなダメージを受けるようなタイプの企業です。

その場合はランダムな攻撃を受けてたまたまランサムウェアに感染するのではなく、最初から標的を定めた計画的な攻撃を受けている可能性が高いといえます。そのため要求される金額も、その企業が情報漏えいを起こした場合の被害額を考慮して支払うと想定されるような金額が提示される傾向があります。

なお、身代金や恐喝による支払いを拒否したとしても、ランサムウェアに感染したコンピュータの調査・復旧には費用がかかります。

警察庁が発表した「令和3年(2021年)上半期におけるサイバー空間をめぐる脅威の情勢等について」という広報資料によると、企業・団体がランサムウェアの被害を受けたとして警察庁に報告された件数は61件で、前年下半期の21件から大幅に増加しています。金銭の要求が確認されたのはそのうちの35件で、さらに二重恐喝がなされたのは27件でした。また、「調査・復旧費用の総額」が1,000万円以上だった事例が全体の約4割にものぼっています。

ランサムウェアによる被害を防ぐための対策

では、ランサムウェアによる被害を防ぐにはどのような対策が考えられるのでしょうか。

まず基本的な対策としては、メールの添付ファイルを不用意に開かない、URLリンクをクリックしない、OSやアプリケーション、ファームウェアは常に最新の状態にアップデートしておく、などが挙げられます。

PCやサーバのシステムバックアップや、重要なファイル(データ)のバックアップを定期的に行っておくことも重要です。データのバックアップはデータ窃取による二重恐喝に対してはあまり意味がありませんが、データの暗号化などに対しては有用です。

また、コンピュータの管理者権限を見直し、ユーザから管理者権限を削除して運用することで被害を低減させられる可能性があります。

コンピュータの感染が疑われたときには、すぐにネットワークから切り離して感染を広げないようにしましょう。メッセージが表示されるなどして感染が確定した場合、たとえ身代金を支払ったとしてもロック解除やファイルの復号化、流出データ公開を防ぐことができる保証はまったくありません。そればかりか、サイバー犯罪者の活動を助長する結果にもつながってしまいます。一刻も早くセキュリティ会社や警察などに相談するようにしましょう。

ランサムウェアによる攻撃は、昨今ではVPN機器やリモートデスクトップツールなどのセキュリティ製品の脆弱性を突いたものも増えつつあります。セキュリティ製品を選ぶときは導入前にその信頼性についても十分に精査すること、また複合的・多層的な対策を講じることも重要です。

また、以下のセキュリティ対策ソリューションもご活用ください。

Application Controlは、動的なホワイトリスティングと権限管理を組み合わせて不正なコード実行を防止し、ランサムウェアからの即時保護を可能にします。

Patch Managerは、エンドポイントに対する修正パッチ適用を包括的に管理し自動化します。

Security Controlは、パッチ管理、権限管理、ホワイトリスティング機能を単一のソリューションに集約した総合的なセキュリティ対策を提供します。