1.ランサムウェアの被害の流れと影響範囲

まず、ランサムウェアに感染するとどのような被害が起きるのかについて解説します。被害の内容および発生までの流れ、さらに組織や企業で感染が起きた場合の影響範囲について確認しておきましょう。

1-1.被害の流れ

ランサムウェアは感染したPC内のファイルを暗号化して使用不能にし、データなどを元に戻すことと引き換えに「身代金」を要求します。ただし、金銭を支払ったとしてもデータが復旧する保証はありません。ランサムウェアによる被害は次のような流れで発生します。

1.PCへの侵入
メールの添付ファイルなどを経由して、ランサムウェアがPCに侵入します。ランサムウェアの実行可能ファイルがユーザーまたは別の悪意のあるファイルによって実行されると、攻撃者のコマンド＆コントロール (C&C) サーバーへの接続が行われ、ホストマシンの情報を送信されます。

2.ホストマシンの情報を送信
このとき送信される情報は、実際にランサムウェアを動かしたアカウントのアクセス権限情報、地理的な所在地、IPアドレス、OSの詳細情報などです。悪意のある攻撃者は、ここで得た情報をもとに、さらに攻撃を行います。

3.ファイルの暗号化
暗号化鍵を使ってPC内のファイルを暗号化し、使用不可能にします。ホストマシンの情報を受け取るC&C サーバーは、マシン上のファイルを暗号化するために必要な暗号鍵を送ってきますが、この鍵は秘密鍵になっています。したがって、暗号鍵がない場合、ファイルを復号化するのは難しいでしょう。ファイルの暗号化とともに、暗号化したフォルダごとに身代金の支払いを要求するメッセージが作られます。身代金に関するメッセージはホストマシンのデスクトップ背景に表示されるようになります。

4.ランサムウェアの削除
セキュリティベンダーによる追跡や解析を防ぐために、ランサムウェア自体の削除が行われます。

1-2.影響範囲

ランサムウェアの感染が組織内で起きた場合、組織全体の機能不全が起きるレベルまで被害が広がる可能性があります。これは1台が感染すると、社内ネットワークを通じてネットワーク全体に広がっていってしまうためです。ほかのPCやサーバーのデータも暗号化され、被害が拡大していきます。ある被害事例では、社内ネットワークに接続されている機器である業務システムサーバーOS（Office Automation）用PCなどの情報システム部門が管理しているもの、工場にある製造・生産システム、制御や倉庫システム、ファシリティの入退室管理システムなど広い範囲に影響が出ました。

2.ランサムウェア感染経路

ランサムウェアには複数の感染経路が考えられています。具体的な対策について考えるためにも、代表的な感染経路について確認しておきましょう。ここでは、フィッシングメール、web閲覧という2つの感染経路を紹介します。

2-1.メールファイルを開く

感染経路としてまず気をつけたいのがメール、特に有名企業や友人・知人になりすまして送信されるフィッシングメールです。メールに添付されるファイルやリンクはデータのやりとりには便利なものですが、なかには不正なリンクや添付ファイルを含むメールもあります。ランサムウェアに感染するように細工された添付ファイルを開いたり、不正なリンク先でソフトをダウンロードしたりすることで、感染が起きるのです。

添付ファイルのなかでも、特に危険性が高いのは、実行形式などといわれるタイプのファイルです。Windows でプログラムを実行できる拡張子の「.exe」のほか、JavaScriptファイルの「.js」にも注意が必要です。

2-2.webサイトの閲覧

webサイトを経由して感染が起きるケースもあります。サイバー攻撃で改ざんされたwebサイト、マルウェア感染などの危険性のあるオンライン広告は、webブラウザを通してユーザーのパソコンに被害をもたらします。主な手口として2つのダウンロードが挙げられます。1つは、不正なソフトウェアのダウンロードです。信頼できないダウンロードサイトに誘導し、ランサムウェアを含むフリーソフトウェアをダウンロードさせる手口です。もう1つは、ドライブバイダウンロードと呼ばれている手口で、改ざんされたwebサイトの閲覧だけで感染するものです。正当なwebサイトだとしても、マルバタイジングや改ざんによって感染源になることもあるので、注意が必要です。特にOSやソフトの更新プログラムが適用されていないなど脆弱性のあるパソコンは危険と言えます。

3.ランサムウェアの種類と事例

一口にランサムウェアと言っても、実際にはさまざまなタイプのものが発見されています。また、日々新種のウィルスが生み出されているというのが現状です。ここでは、参考までにこれまでに被害が報告された主なランサムウェア、および被害事例を3つ紹介します。

3-1.PETYA

PETYA（ペトヤ／ペチャ）は、2016年頃から活動が活性化したランサムウェアで、 OSを読み込むための領域を破壊し、PCそのものを起動ができなくしてしまいます。亜種によるものも含め、欧州を中心に何度か大規模な被害が発生しています。PETYAによる被害内容および推奨される対策については次の通りです。

3-1-1.被害内容

PETYAに感染した場合、コンピューターのファイルが暗号化されるだけでなく、OSにも悪影響が及びます。2017年6月27日（現地時間）、欧州各国を中心にPETYAの亜種と思われるランサムウェアの感染被害が確認され、多くの公共機関や企業において業務に支障が出るなどの深刻な影響が発生しました。PETYAはMicrosoft社 の一部の製品の脆弱性を悪用されていると報告されており、たった1台だけでも感染すると複数のコンピューターが次々に感染が拡大するおそれがあります。2017年の攻撃については、マルウェアにファイルを復元するのに必要な情報が含まれていないことから、身代金を要求するというよりは、ファイルを消去して混乱を引き起こすこと自体が目的という指摘もあります。

3-1-2.対策

PETYAの侵入を防ぐためには、不審なメールに添付されたファイルを開封しない、リンクへのアクセスをしないといった対策が有効といわれています。これは、PETYAの感染が主にメールの添付ファイルなどによって起きている傾向があるという報告があるためです。同時に、メールの確認作業をする前には、必ず以下の対策を実施しましょう。

1.脆弱性の解消・修正プログラムの適用
OSの脆弱性を利用した攻撃であるため、Microsoft 社から提供されている修正プログラムを適用することである程度対策が可能です。

2.各ウィルス対策ソフトのアップデートを行う
もしも怪しい添付ファイルを開いてしまったとしても、マルウェアを検知できる可能性があります。

3.データのバックアップをとる
特に重要度の高いデータは定期的なバックアップが大切です。バックアップを行い、コンピューターと接続しない環境で保管しておくとランサムウェアの被害を小さく抑えられます。

3-2.Bad Rabbit

Bad Rabbitは、ロシアやウクライナなどの地域で確認されたランサムウェアです。感染するとPCを使用不能になるほか、ファイルを復号するためにビットコインを身代金として要求します。この身代金は時間が経つにつれて、増えていきます。ここでは、2017年に猛威を振るったBad Rabbitの感染ルートや対策について紹介します。

3-2-1.被害内容

Bad Rabbitは、ロシアやウクライナなどの地域を中心に、2017年10月24日に発覚したランサムウェアです。その後、東欧諸国やドイツ、米国、日本などでも被害が報告されています。特に、ロシアやウクライナでは、多くの公共機関で業務を円滑にできなくなるなどの影響が発生しました。Bad Rabbitの感染経路としては、webサイト経由、メールに添付されたファイルやリンクだと報道されています。webサイト経由では、ランサムウェアが仕込まれたソフトウェアをダウンロードしたことによる感染、メール関連では不正なファイルの開封やリンクのクリックによる感染などのケースが報告されています。

3-2-2.対策

Bad Rabbitの被害に遭わない、もし遭ったとしても影響を最小限に悔いとめる対策としては、主に4つの対策が考えられます。1つ目は、不審なプログラムには近づかないことです。ランサムウェアは不正なインストーラに組み込まれているケースがあり、ユーザーがダウンロードして感染してしまいます。インストーラをダウンロードする際は、公式サイトを利用することで誤ってランサムウェアをダウンロードする危険性を避けられます。2つ目は、安易にメールに添付されたファイルやリンクに触れないことです。メールの開封時やリンクへのアクセス時に感染するおそれがあるため、開封する前に発信元を確認しましょう。

3つ目は、最新のウィルス対策ソフトの活用です。事前に危険を察知し、対策するためにも、ウィルス対策ソフトは必須です。日々新しいマルウェアが生み出されている状況なので、定義ファイルは最新のものに更新しましょう。4つ目は、定期的なバックアップを行うことです。被害に遭ったときに備えて、データのバックアップをとっておきましょう。マルウェアの感染を防ぐため、データを保存した外部記憶媒体などは、コンピューターやネットワークから切り離して保管します。

3-3.WannaCry

WannaCryは感染力が強く、世界中で大きな被害を出したランサムウェアです。有名なのは2017年に発生した世界的な大流行ですが、それ以降も被害の拡大は続いています。WannaCryの被害は日本でも確認されており、過去には日立製作所やホンダといった大企業でも被害が出ています。ここでは、WannaCryの特徴や対策について紹介します。

3-3-1.被害内容

WannaCryは、2017年に世界的な猛威を振るったランサムウェアです。一般的にランサムウェアは1回の攻撃で1台のPCを攻撃するものです。しかし、WannaCryはワームの特徴を併せ持ち、自分自身を自動的に複製して他のPCに侵入・感染拡大できるという性質がありました。その結果、社内ネットワークなどを通じて他のPCにも被害が拡大していくことになったのです。WannaCryの被害が拡大することになったのには、ユーザー側の問題も大きいといわれています。Windows Updateが長期間未実施であったなどのOSの脆弱性、ファイアウォールの不適切な設定といった隙をついて、攻撃が行われたといわれているのです。また、ルーターを経由せず、パソコンが直接インターネットに接続されていたことも原因のひとつとして考えられています。

3-3-2.対策

WannaCry の対策としてはOSの脆弱性対策やセキュリティ対策の見直しが有効です。まず、Windows アップデートは定期的に確認しましょう。OSの脆弱性は、更新プログラムの適用によってある程度対策できます。ただし、自動的に更新されるのが一般的ですが、何らかの理由によりアップデートが失敗していることもあるため「更新はしている」という人も注意が必要です。Windows アップデートが最新の状態になっているのかを確認するために、コントロールパネルを確認するスケジュールを作成しましょう。

また、Windows ファイアウォール機能の活用も欠かせません。ファイアウォールを無効にしているとランサムウェアの感染を拡大してしまうおそれがあります。インストールしているソフトの動作を妨げるなどの理由で無効にしている場合もあるようですが、感染リスクを低減するためにも、ファイアウォール機能は有効にしておくのがおすすめです。

4.ランサムウェア対策のバックアップについての注意点

ランサムウェアの被害で最も困るのは、データを破壊されることではないでしょうか。したがって、被害を最低限に抑えるためにはデータのバックアップが不可欠と言えます。ここでは、データをバックアップする際のポイントおよび注意点について紹介します。

4-1.バックアップ時のみパソコンと接続する

バックアップをとる際は、バックアップしたデータにランサムウェアの被害を及ぼさないように工夫しておかなければなりません。外部記憶媒体をパソコンにつなげているとランサムウェアの影響を受けるおそれがあります。そのため、バックアップ時のみ接続し、それ以外の時には本体やネットワークから外しておくことが望ましいと言えます。一方、光学メディアのように、複数回の書き込みができない記憶媒体ならパソコンにつなげたままの状態でも感染はしません。

4-2.装置・媒体は複数用意してバックアップする

一方、外部記憶媒体をパソコンのバックアップ時だけつなげていたとしても油断はできません。ランサムウェアに感染するおそれは、バックアップ中にもあるからです。そのため、バックアップは複数の記憶媒体で行う、バックアップ中に不要な操作を行わないといった対策をとることが望まれます。バックアップに複数の装置や媒体を使うことは、リスクを分散するという意味でもおすすめです。バックアップ装置や媒体には故障や破損のおそれもあるからです。複数の媒体や装置にデータをバックアップしておけば、装置や媒体に故障や不具合などが発生した場合でも大切なデータを守りきることができます。

4-3.バックアップ方式の妥当性を定期的に確認する

もしファイルのバックアップを取得したとしても、必要な際にそのバックアップからリストアができなければ意味がないと言えます。ここで注意したいのが、定期的にバックアップ方式を見直すということです。ランサムウェアは日々進化を続けているため、今後ランサムウェア側のファイル暗号化の機能、仕様などが変化するおそれは否定できません。それに応じて、適切なバックアップのやり方も変わってくる可能性があります。問題なくリストアができるか、現状のバックアップ方式でリスクに耐えることができるかといった点を定期的に検証、検討しましょう。

5.ランサムウェアの対策は特別ではない！セキュリティと確認が重要

ランサムウェアの被害を防ぐために必要な対策は、決して特別なものではありません。ウィルス対策やwebフィルタリング、OSの更新、バックアップなど、一般のユーザー側でできることが多いものです。もっとも、ランサムウェアにはさまざまなタイプが報告されており、侵入経路も多岐にわたります。被害の防止のためにも、それぞれの特徴を掴み、普段から対策を講じておくことが大切です。

ランサムウェアも標的型攻撃も、基本的なセキュリティ対策ができていれば被害を防げるケースも多いといわれています。セキュリティの基本を確認する機会と位置づけ、考えられる対策をひとつずつ着実に実行していきましょう。