「Ransomware / 読み方：ランサムウェア」とは

ランサムウェアの概要

「Ransomware（ランサムウェア）」は、動作の特徴から「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせたコンピューターウイルスの名称です。

感染したコンピューターへのログインを不可能にしたり、内部にあるファイルを暗号化したりといった手段で自由に利用できないようにした後、復旧と引き換えに身代金を要求する不正プログラムを用います。この手口から「身代金要求型不正プログラム」と呼ばれることもあり、PCだけでなくスマートフォンやタブレットPCなども攻撃対象としています。

ランサムウェアの感染経路は、メールの添付ファイルやドキュメント中のリンクをクリックさせる手法がメインです。このほか正規Webサイトの改ざんにより、ランサムウェアを埋め込むほか、不正ウェブサイトへ誘導する方法も報告されています。

これまでランサムウェアは200種類以上が確認されています。代表的なランサムウェアをいくつか紹介しておきましょう。

CryptoLocker

2013年に世界で流行したランサムウェア。多くの身代金を稼いだことから、亜種も多く作られました。感染したPCのファイルだけでなく、ネットワーク上のドライブにも影響を及ぼす可能性があることから脅威となっています。

Cryptwall

2014年に活動が確認され、多くの身代金を稼いだといわれているランサムウェアとしては最も有名なタイプのひとつです。作成者はこの成功を受け、次々と新しいタイプのCryptwallを作り続け、手段を変えて企業の端末への侵入を試みています。

TeslaCrypt

2015年に出現し、猛威を振るったランサムウェアです。暗号化する際の拡張子が「.vvv」となることから「vvvウイルス」とも呼ばれました。2016年にTeslaCryptの作成者が復号するためのマスターキーを公開して話題となりました。

Locky

2016年に出現したランサムウェアで、大量のスパムメールを送信することから話題となりました。日本を狙ったことでも知られており、感染後に生成される脅迫文の中に日本語テキストが存在していたことで注目されました。

WannaCry

2017年に世界的に被害が拡大したランサムウェア。自己増殖することで周囲に感染させ、勢力を広げていきました。被害を受けた国も多く、大規模な組織への感染例もあったことなどから一般の人々にもランサムウェアの名前を知らしめるきっかけになったと言われています。

なぜランサムウェアが注目されているのか？

2021年、情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2021」における組織への脅威で1位になったのはランサムウェアによる被害でした。昨年の5位からトップになってしまうほど、日本においても脅威の度合いは増しているのが実際です。

添付ファイルやURLをクリックさせる手法が年々巧妙化しており、一見して取引先からの指示かのごとくふるまう例も報告されています。近年ではコロナ禍による在宅ワークの増加に合わせて、自宅のインターネット回線の脆弱性を突いた攻撃も増えており、その脅威の範囲も広がっています。

冒頭でも触れた通り、暗号化されてしまうデータは組織にとって生命線ともいえる情報そのものです。それらが凍結されてしまうのですから、業務の継続ができなくなるばかりでなく、漏えいまで発展すれば社会的信用の失墜にも繋がります。

ランサムウェアは身代金を要求するケースが多いですが、企業や組織を狙ったものは巨額になることがほとんどです。つまり、情報そのもの、社会的信用、さらには資金まで奪われ企業としての存続さえ危うくなるのが、ランサムウェアが脅威といわれる所以です。

例えば2014年に登場したランサムウェア「Cryptwall」では、最大で3億2,000万ドルの利益を生み出したと推定されています※。その後も多種多様なランサムウェアが企業を襲っていますが、このことは収益性を見込んだサイバー犯罪であることを示しているといえます。一方で、さらに組織的な不正オンライン市場のような犯罪と比較すると、ランサムウェアの収益はさほど大きくないため、収益目的のランサムウェアと破壊を目的としたランサムウェアの2種類が存在している可能性もあります。
※HPセキュリティブログ「Into-the-Web-of-Profit_Bromium_Jpn」より

ランサムウェアは身代金を支払ったからといってデータを基に戻す保証がなく、支払い後も犯人の身元が分からないことも多いため、結局は資金もデータもなくすケースも多いといわれています。さらに、一度身代金を支払った企業が再度狙われる確率が高く、最終的に廃業にまで追い込まれる例も出ています。

いずれにしてもランサムウェアを使って攻撃を仕掛けてくるのはアンダーグラウンドの犯罪組織やテログループなど反社会勢力である可能性も高いといわれています。集まった身代金が彼らの資金源になっているという事実を含めて、企業としての事前策を講じていく必要があるといえます。

ランサムウェアが与える影響

ランサムウェアに感染した後、どのような影響が出てしまうのか考えていきましょう。次項でも触れますが、実際に起こった事例を見れば明らかですが、その影響する範囲の大きさは企業にとっては致命的なダメージを負わせるに十分な破壊力があります。

最初に影響を受けるのはシステムそのものです。感染したパソコンに関してはあらゆるデータが暗号化され、何の操作も受け付けなくなることがほとんどで、その端末を使った業務の続行は不可能となります。さらにネットワーク内へ感染を広げようとするタイプのランサムウェアの場合、ファイルサーバやほかのパソコン内のデータファイルも暗号化されていきます。

感染が拡大して起こるのは社内システムのダウンです。ここまで来てしまうと事業の継続ができなくなる上に、取引先へも事態が起こっていることが伝わります。また、感染したパソコンからランサムウェアを運ぶためのメールなどを送信し続けている可能性もあるため、積極的な二次感染の予防も必要になります。

事態が悪くなってくると決断を迫られるのが身代金を支払うか、支払わないかの選択です。ランサムウェアの種類によってはファイルの暗号化と共に、データの抜き取りも行われている可能性が高く、犯行グループがそれを逆手にさらに強い脅迫に出てくる例も報告されています。

ただし、だからといって身代金を支払ってしまうと、再度狙われる確率も高くなるという傾向があるといわれています。また、身代金を支払っても暗号化の解除が行われないケースもあります。つまり、いずれの場合においてもランサムウェアによる身代金の支払いには大きなリスクがつきまとうため、犯行グループのいいなりになることは推奨されません。

事態が悪化すれば、情報漏えいによる賠償金の発生や身代金による金銭的な損失、社会的信頼の喪失はもちろん、重要データが失われたことで事業継続性も失われてしまいます。ランサムウェアへの対応はその被害の範囲をよく考慮し、事前策を講じておくことはもちろん、万が一の事態が発生した際のマニュアルの作成など、あらゆる手段を考えておく必要があります。

ランサムウェアの事例

国内の事例

国内の事例 大手製造会社

2017年、この企業を震撼させたのは「WannaCry」です。感染を検知する前のわずか3時間で社内ネットワーク全体に被害が拡大。対策チームが結成され、事態の収拾に追われました。

メールの送受信などに影響が出たとされていますが、ランサムウェア特有の身代金の要求は確認されておらず、情報漏えいもなかったとされています。しかし、正常運用開始までの機関や、関連組織への信頼回復には多大な時間が掛かったようです。

国内事例 自動車製造業者

2020年、この企業がサイバー攻撃を受け、出荷停止や在宅勤務者が社内システムへ接続できず、業務が停止するなどの被害が出ました。その範囲はグローバルベンダーでもある同社の約30％にまで及んだといわれています。

セキュリティ上の観点から詳細は発表できないとされ、犯人や使われた手法や身代金の有無については外部には知らされていません。また同様に感染経路なども公開されていませんが、その振る舞いからランサムウェアだった可能性が高いといわれています。実際の被害は未知数ですが、規模的に相当の対策が必要だったことが推測されます。

国内事例　ソフトウェア開発会社

2020年、この企業を襲ったランサムウェアは実際に犯行グループから身代金を迫られた事案として特に注目を浴びました。

当初は不正アクセスによるシステム障害が発生、対策にあたっていましたが、しばらく日数が経過した後に個人情報や企業情報が漏えいしたことが発覚。最終的には自ら犯行声明を出したグループにより、ビットコインによる身代金、日本円にして十数億円を要求してきました。しかし企業側はこの要求を退け、交渉は決裂したと言われています。

無差別攻撃の傾向が強かったが今後はピンポイント攻撃にも注意

日本企業のみを狙ったランサムウェアは海外と比較して少ない傾向にあり、その多くは無差別攻撃の結果として感染する例が多く見受けられます。しかし、近年では日本語の身代金要求テキストを持ったランサムウェアも確認されており、さらなる注意が必要になっています。

海外の事例

海外の事例 大手インフラ企業

2021年、米国の燃料事情を支えるインフラ企業がランサムウェアの攻撃を受けました。これにより同社はサービスを停止、多くの州で燃料不足に陥りました。これにより、原油の高騰なども起こったほか、身代金の要求に応じて多額の電子通貨を支払ったとされています。

海外の事例 大手医療企業

2020年、大手医療企業を舞台に起こったこのランサムウェアの被害は、人命が関わりかねない事件として知られています。複数の州にある同企業の施設にあるパソコンと電話が停止、これにより医療サービス全体に大きな影響を与えたといいます。このときに使われたランサムウェアは「Ryuk」と呼ばれるもので、大企業だけを標的にしている犯行グループの仕業と言われています。

海外の事例 メッセンジャーアプリ

2018年に起こったこの事件は中国で広く使われているメッセンジャーアプリとそのユーザーを狙ったことで知られています。感染するとファイルを暗号化され、メッセンジャーアプリの送金機能を使って身代金を要求するといった手法をとっていました。犯人はすぐに逮捕されましたが、数日で10万台以上に感染したといわれています。

標的型攻撃の傾向が強く身代金の額も高い

海外の事例では大企業や大規模組織を狙った攻撃が多く、その身代金も巨額になる傾向があります。特にコロナ禍以降、病院施設を狙うランサムウェアが増加傾向にあり、医療機関の多くはその対応にも迫られています。日系企業が狙われた例も多いため、グローバル展開をしている企業は要注意です。

ランサムウェアに感染したら

ここからは実際にランサムウェアに感染した場合にどうするか考えていきます。次の項のランサムウェア対策と併せて参考にしてください。

パソコンを隔離する

どのようなケースでも最初にやらなくてはならないのがネットワークからの切り離しです。データが暗号化され、身に覚えのない身代金要求のテキストが出てくるなど、異常を確認したら、すぐにLANケーブル、もしくはWi-Fiネットワークとパソコンを切り離してください。

この処置が早いほど、社内システムやほかのパソコンへの影響は少なくできます。処置が完了したら、すぐさまIT管理者またはセキュリティ管理者へ連絡します。その際、パソコンの電源を落としたり、再起動したりすると症状が悪化するケースもあるようなので、初動としてはそのままの状態で管理者へ引き渡した方がよいです。

ウイルススキャンを試みる

もし、すべてのデータが暗号化される前にネットワークの切り離しに成功している場合、すでにインストールしてあるウイルス対策ソフトでスキャンしてみてください。可能であれば最新のパッチファイルに更新しているとよいですが、そのために再度ネットワークに接続することはやめておいたほうがよいです。

ウイルス対策ソフトのスキャンによってランサムウェアが隔離できれば、暗号化されたファイルを削除して復旧を試みます。とはいえ、それが上手くいったとしてもどこかに潜伏している可能性も残るので、できればディスクごとフォーマットした後に、OSの再インストールから環境を作りなおした方が安全です。

データの復元は可能か？

初期対応が成功し、被害が抑えられているのであれば、Windowsの「システムの復元」を使ってみるのもひとつの方法です。また、ディスクイメージを定期的にバックアップしているなら、それを使った復元でも復帰の可能性はあります。ただし、これによって復元できるのはバックアップされた時点までなので、それ以降のデータはやはり失われます。また、ランサムウェアの種類によっては復元できても悪意あるプログラムが残っていることもあるので、最終的には管理者に一任したほうが安全です。

ツールを使って復元する

ランサムウェア対策として暗号化されたデータの復号をおこなうサービスがあります。また、暗号化ファイルを送ることでランサムウェアの種類を特定するサービスもあるので、それらを利用して原因の特定、被害範囲の予測、データの復元ができる可能性があります。手順については該当サービスの指示に従ってください。

身代金をどうするか

これらの手段がうまくいかなかった場合でも、身代金を支払うという選択肢は最後までとらないようにしてください。復号キーがもらえるかもわからず、資金だけを失う可能性も高いです。その前にできる限りのことをしましょう。そしてもっとも重要なことは、ランサムウェアを近づけないことです。そのための対策方法を次項で説明していきます。

ランサムウェアの対策

社員ひとり一人にリテラシーを持ってもらう

人間の隙をついてくる悪意なので、最大の防御策は各社員に強いリテラシーを持ってもらうことに他なりません。従来の運用ルールと重なる項目も多いと思いますが、いくつか要点をまとめておきますので参考にしてください。

不用意にリンクをクリックしない

当たり前のことですが、メールやドキュメント、Webページに記載されているリンクをむやみにクリックしないようにしてください。ブラウザ経由で感染する多くの脅威がそうであるように、落ち着いてみれば明らかに怪しいURLであることが多いです。その情報が正しいのか、信頼できる差出人からのメールなのか、一呼吸おいて確認するクセをつけましょう。

信頼できない送信元からのメール添付ファイルを開かない

添付ファイルはランサムウェアでもっとも多く使われる手段のひとつです。むやみに開いてしまう前に、必ず差出人やメールアドレスを再確認してください。最近では取引先とのやり取りをそっくり真似た文面を使う例も出ています。一見してすぐに開封しなくてはと思わせられるため注意が必要です。しかし、メールアドレスは唯一のものなので、似せることはできても同じにすることはできません。いつもの違うメールアドレスから送信されている場合は十分注意しましょう。

信頼できないWebサイトからファイルをダウンロードしない

ランサムウェアの手口にはフィッシングメールと同様に、言葉巧みに正規URLを模したWebサイトへ誘導して感染源となるファイルをダウンロードさせようとするものがあります。業務とは関係のないWebサイトへむやみに訪問しないようにすることはもちろんですが、何かしらの誘導先にあるWebサイトからのファイルダウンロードには十分気を付けてください。多少でも疑問がある場合は、入手した圧縮ファイルを、パッチを最新の状態にしたウイルス対策ソフトなどでスキャンするなどしてください。

メールサービスの機能を使う

メールサービスの中には、文面に記載されているURLや添付ファイルをスキャンしてくれるものがあります。それによって検知されたメールはブロック、または迷惑メールなどに振り分けられるのでランサムウェアの感染を少なくできる可能性があります。

フリーWi-Fiへの接続は避ける

在宅ワークにおいてもVPNを使えるよう、事前にシステム設計しておきましょう。フリーWi-Fi利用者は犯罪グループにとっては良い標的になりやすいので注意が必要です。

OSやソフトウェアは常に最新に

ランサムウェアに中にはOSやソフトウェアの脆弱性を突いてくるタイプが多くあります。それを回避するための修正パッチは必ず適用するようにしてください。これはランサムウェアだけでなく、あらゆるマルウェアに対しても有効な回避手段でもあるので、特に管理者の方はいつでも社内システムが最新であるようにスケジュールを組んでください。

また、従来のポリシー判断型のウイルス対策ソフトをご利用中の方は、セキュリティパッチも常に最新にしておくように心がけてください。

定期的なバックアップで確実な運用を

定期的なデータバックアップはあらゆる面でトラブルや悪意から企業を守る手段となります。ランサムウェアに感染したとしても、データが別の場所にバックアップされていれば、復元は可能です。ただし、バックアップ先までランサムウェアの影響化にあるようではいけないので社内システムと隔離できるようなストレージサービスやクラウドサービスを活用するようにしましょう。

添付ファイルやドキュメントを安全に開くには

従来のポリシー判断型のウイルス対策ソフトでも、ランサムウェアの検知が可能な種類もあります。しかし、実際にはすり抜けも多く、最新のランサムウェアに対応するにはタイムラグがあり、万全であるとはいいづらいのも事実です。そこで、考え方を一歩進め、添付ファイルやWebサイトそのものを事前に隔離した状態で開けるとしたらどうでしょう。

いわゆるインターネット分離やサンドボックスといわれる無害化ソリューションはそれを可能としますが、システム構築の手間やコストが掛かってしまうのが課題です。「HP Wolf Security」に含まれる「HP Sure Click」は、添付ファイルを開く際の各アプリケーションを起動する度に仮想マシンを端末内に生成し、そこにファイルを隔離します。ですから、そのうえで内容を確認すればランサムウェアが含まれていてもアプリケーションを閉じれば悪意あるプログラムも消失します。

また、HP Sure Clickによるこの一連の処理はすべて端末内部で行われるため、ユーザーからは通常通りのファイル操作にしか感じません。別途専用ツールの起動やファイルの移動などをしなくてすむので、業務効率や生産性の低下がおきないのも特長です。同時にランサムウェアが発見されればその脅威情報も収集できるのでEDR的な使い方も可能です。

HP Sure Clickの導入に際して別途サーバの構築なども不要で、ソフトウェアをインストールするだけです。既存のシステムへの影響もありませんから、導入するだけでエンドポイントの強化が図れます。さらにソフトウェアのライセンスフィーのみとなるので、コストが肥大化することもありません。なお、HP Sure ClickはHP法人向けPCのほとんどの製品でプリインストール済みとなっています。

日々進化するランサムウェアを未然に防ぐためのソリューションとしては、最善の選択のひとつといえるのがHP Sure Clickです。企業のセキュリティ運用ルールの徹底と合わせて使うことで、さらなる相乗効果も期待できます。ランサムウェアへの対抗手段としてぜひ参考にしてください。

HP Wolf Security専用サイト：https://jp.ext.hp.com/business-solution/wolf/

HP Sure Click テクニカルホワイトペーパー：https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/business-solution/security/pdf/using_hp_sure_click_wp.pdf