1. ランサムウェアとは

ランサムウェアとは、マルウェア（悪意のあるプログラム）の一種です。感染するとパソコンや接続しているストレージ、あるいはファイルサーバーなどに保存されたファイルを勝手に暗号化されたり、スマホがロックされたりして、業務の遂行を妨げます。

ランサムウェアを用い、暗号化の解除と引き換えに身代金を要求する攻撃手口はランサムウェア攻撃と呼ばれます。IPAが2022年1月に発表した「情報セキュリティ10大脅威 2022」では、「組織」向けの脅威として、2年連続で「ランサムウェアによる被害」が1位にランクインしています。

① ランサムウェアの定義と特徴

ランサムウェアとは、マルウェアの一種で、身代金を要求することを目的としたものです。ランサムウェアの「ランサム」は、身代金を意味する「Ransom（ランサム）」のことで、「Software（ソフトウェア）」を組み合わせ「ランサムウェア（Ransomware）」と命名されました。

企業がランサムウェアに感染した場合、パソコンやスマホを使った業務が不可能になるだけでなく、暗号化されたデータを“人質”に、データの復旧と引き換えに攻撃者から身代金を要求されます。仮に身代金を払ったとしても、データが復旧されることはほぼありません。

② ランサムウェアの主な被害

IPAは、2020年8月に公開した「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」の中で、攻撃者が取り入れている、2つの新たな攻撃手口（「標的型ランサムウェア」「二重脅迫（暴露型ランサムウェア）」）について解説しています。

これらを踏まえ、ランサムウェアに感染した場合の主な被害について紹介します。

参考：【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/security/announce/2020-ransom.html

（1）データの消失

ランサムウェアに感染するとデータが暗号化されます。最近は「標的型攻撃」と同様に、特定の企業や組織を標的に、様々な攻撃手法を組み合わせ、繰り返し、執拗に攻撃を行うケースがあります。

これにより、企業・組織内の端末やサーバーを一斉にランサムウェアに感染させたり、バックアップデータも同時に狙ったりします。身代金を支払っても攻撃者から復号キーが入手できる保証はなく、入手できない場合は、暗号化されたデータは永久に失われるリスクがあるのです。

（2）個人情報の流出

ランサムウェア感染は個人情報や機密情報の漏えいにつながります。ランサムウェアで近年被害が急増しているのは暗号化したデータを復号するための身代金の要求に加え、暗号化の前に予めデータを窃取しておき、支払わなければデータを公開すると脅迫する「二重脅迫型（多重脅迫型）」です。

また、有益なソフトウェアと見せかけて悪意ある振る舞いをする「トロイの木馬」として機能するランサムウェアもあります。一度感染すると攻撃者にデータが流出、窃取されたデータはインターネットやダークウェブに設置した違法サイトで販売される可能性があります。

（3）システムの停止

ランサムウェアには、「破壊型ランサムウェア」と呼ばれるものがあります。これはデータを暗号化するだけでなく、感染先の端末やシステムへのアクセスを制限して、アプリケーションを使えなくさせるものです。感染した企業のITネットワークのみならず、外部向けサービスや生産、物流拠点など、企業活動そのものを停止させてしまうものもあります。

2. ランサムウェアのトレンド

ランサムウェア攻撃は近年、手口が変化し、ここ1年ほどで新たなトレンドが確認されています。ここでは3つの代表的な傾向について紹介します。

① サプライチェーン攻撃

サプライチェーン攻撃とは、攻撃の対象となる企業や組織とつながる取引先や関連企業、委託先などを標的に仕掛けられる攻撃のこと。

セキュリティ対策に弱点のある企業を踏み台として、攻撃の「本丸」であるターゲット企業に攻撃を仕掛けていくことからこのように呼ばれます。ランサムウェア攻撃にもサプライチェーン攻撃の手法を組み合わせた攻撃事例が確認されています。

サプライチェーンにある複数の企業では、セキュリティ対策のレベルも異なります。そのため、弱点のある企業から連鎖的に攻撃が広まり、被害が拡大しやすい傾向があります。

② RaaS

RaaSとは「Ransomware as a Service」（サービスとしてのランサムウェア）のことです。攻撃者（ランサムウェアの開発者）が悪意のあるコードを闇市場などで「サービスとして利用できるよう」に提供し、それを利用する別の攻撃者は、画面上の設定だけで容易に攻撃を行うことができてしまいます。

ランサムウェア攻撃の身代金が高額化し、そのことに着目した攻撃者が新たな収益源として確立したビジネスモデルであり、RaaSによって高度なプログラミング技術がなくても攻撃を仕掛けられるようになってしまいました。

③ 二重脅迫型攻撃

二重脅迫型攻撃とは、データの普及だけでなく、情報漏えいやDDoS攻撃など複数の脅迫を同時に行う手法です。三重、四重の脅迫が行われるケースもあります。

暗号化したデータの復旧と引き換えに身代金を要求することに加え、事前に窃取したデータを公開することと引き換えにさらに身代金を要求します。また、身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げるような、悪質な脅迫もあります。

3. ランサムウェアの種類

では、代表的なランサムウェアにはどんな種類があるのでしょうか。ここでは9個の代表的なランサムウェアを紹介します。

① WannaCry

WannaCryは、Windows OSに感染するランサムウェアで2017年5月ごろより世界中で感染被害が報じられました。感染すると、PC内の179種類の拡張子を対象にファイルを暗号化。デスクトップの背景画像を暗号化メッセージに書き換え、復号のために数百ドルの身代金をビットコインで支払うよう要求します。

感染被害件数は世界150カ国、30万件以上といわれ、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しました。また、国内でも多くの組織や企業で感染被害が確認されました。

② Cryptowall

Windowsを標的としたランサムウェアで、2014年に被害が拡大しました。感染するとパソコン内の文書ファイルや画像ファイル、音楽ファイル、動画ファイルなどが暗号化されて身代金の要求が行われます。また、暗号化の範囲はWindowsパソコンに接続されている外付けハードディスクやUSBメモリなどにも及びます。

③ CryptoLocker

Windowsを標的としたランサムウェアで2013年に被害が確認されました。感染すると画像や文章ファイルが暗号化されて身代金の要求が行われます。また暗号化だけでなく、端末内にあるオンラインバンクの認証情報も窃取するようになっていました。

主な感染経路は電子メールで、信頼できる企業からのメールを装った攻撃メールに添付されたファイルを経由して感染するケースがあります。

④ KeRanger

Mac OS Xを狙った初のランサムウェアとして2016年に被害が確認されました。感染すると、パソコン内の約300種類のファイルを検索し暗号化を行います。そして身代金のメッセージを表示し、1ビットコインを支払うよう要求してきます。

⑤ Petya

Windowsを標的としたランサムウェアの一種で2016年に感染が活発になりました。最終的にパソコンのMFT（マスターファイルテーブル）自体を暗号化することによりユーザーがハードドライブにアクセスできないようにし、Windowsそのものの起動さえ止めてしまうものです。

感染すると背景色の赤い画面をフルスクリーンで表示し画面の中央にドクロマークが表示され、ビットコインでの身代金の支払いを要求します。

⑥ GoldenEye

Petyaの亜種で2017年にヨーロッパを中心に被害が拡大しました。その挙動はPetyaと同様に、ファイルの暗号化だけでなくハードドライブも暗号化します。暗号化の完了と同時に感染PCを強制的に再起動させ、身代金要求を行います。

⑦ Conti

2020年5月に被害が確認されたランサムウェアで、RaaSとして提供されているのが特徴です。WindowsのすべてのバージョンのOSが攻撃対象となる一方、Mac OSやLinux、Androidは脅威を受けないことが確認されています。

Contiを開発しているのは、ロシアを拠点にしていると推測されるハッカー集団です。攻撃者は、フィッシング攻撃やリモート監視・管理ソフトウェア、チャットツールなど、様々な攻撃手法やツールを駆使して攻撃を仕掛けます。窃取したデータの暗号化と情報の公開の「二重脅迫型」の攻撃に利用されます。

⑧ BadRabbit

2017年に被害が拡大したランサムウェアで、ロシアや東ヨーロッパを中心に日本でも被害事例が確認されました。Adobe Flashのインストーラーに偽装する特徴があります。

Petyaのコードが一部転用されており、感染すると特定の拡張子を持つファイルとパソコンの起動時に最初に読み込まれるハードディスク上の領域である、マスターブートレコード（MBR）を暗号化、感染したパソコンを使用不能にします。Bad Rabbitという呼び名は、身代金の支払いに関する情報が掲載されたWebサイトに「BadRabbit」と掲載されていたからだといわれています。

⑨ Ryuk

2018年に被害が確認された二重脅迫型のランサムウェア。医療機関など特定の組織を標的とし、要求される身代金もほかのマルウェアに比べて高額です。国内では大規模な被害に至った事例はないものの、主な感染経路として国内でも多く確認されているマルウェア「Emotet」を経由することから、国内企業や組織が標的になる可能性が懸念されました。

パソコン内のファイルを暗号化するだけでなく、接続しているネットワークドライブを検出して暗号化できます。また、一度感染するとシャットダウンされたPCも再度電源を入れて暗号化の対象となります。

4. ランサムウェアの感染経路

ランサムウェアは、Webサイトの閲覧やメールの添付ファイルを開くことで感染します。主な感染経路は次のとおりです。

① メール+添付ファイル

受信者がメールに添付されたファイルを開くことで感染します。メールは件名や本文が偽装され、受信者が開封してしまいそうな内容になっていることが多く、感染しやすくなるよう巧みに細工されていることが少なくありません。

② メール＋本文内のリンク

受信したメールの本文に記載されたURLを受信者がクリックすることで、悪意あるWebサイトに誘導され、ランサムウェアに感染させられます。攻撃メールは、受信者が思わず開いてしまうような興味を引く件名や本文に偽装されています。

③ Webサイトの閲覧・ダウンロード

ソフトウェアやファイルの配布サイトが偽装または改ざんされた悪意あるWebサイトで、正規のソフトウェアをダウンロードしているはずがランサムウェアをダウンロードさせられていたというケースがあります。

④ 外部記録媒体（USB・HDD）

USBメモリや外付けのハードディスクなど外部記録媒体を介してランサムウェアに感染するケースもあります。外部記録媒体の中にランサムウェアが仕込まれていた場合、それをパソコンに接続してファイルを起動することで感染します。特に企業内で共有使用する場合などは、広範に感染が拡大するリスクがあり、注意が必要です。

5. ランサムウェアの予防策

ランサムウェア感染のリスクを低減し、被害を未然に防ぐにはどのような対策を行えばよいでしょうか。次に紹介する5つの基本的なマルウェア対策を継続することが重要です。

① 定期的なバックアップ

重要なデータのバックアップを定期的に取得しておくことは有効な対策の一つです。ランサムウェアに万が一感染しても、最新のバックアップデータがあれば業務を継続できる可能性があるからです。

② USB・Bluetoothの制限

インターネットなどの外部ネットワークからの感染・侵入を防ぐために、USBメモリなどの外部記録媒体の接続やBluetoothなどの外部接続機能を制限することも、マルウェア感染のリスクを低減することにつながります。

③ ウイルス対策ソフト

ウイルス対策ソフトの導入はランサムウェア以外のマルウェア感染を防ぐ意味でも重要な対策の一つです。最新のウイルス対策ソフトをインストールし、定義ファイルを自動更新し、常に最新の状態に保っておくことで、感染した場合の検知・駆除を行うことが可能になります。

④ OSの定期更新

OSの脆弱性を狙った攻撃を回避するために、製造元が定期的に配布している更新プログラムを実行するとともに、ソフトウェアのセキュリティ修正プログラムを適用し、最新の状態を保つことが重要です。

⑤ 信頼性の高いハードウェアを選ぶ

OSなどのソフトウェアだけでなく、近年、ハードウェアやOS起動前に動作するファームウェアの脆弱性を狙ったサイバー攻撃が増加しています。ファームウェアにマルウェアが感染するとOSよりも上の層を攻撃することが可能になり、本体の電源を入れなくても改ざんが可能になるため、ハードウェアレベルで対策がなされた機器を選ぶことが重要です。

6. 感染した場合の対処法

万が一、ランサムウェアに感染した場合にはどうしたらよいでしょうか。大きく3つの対処手順に分かれています。

① ネットワークの遮断

ランサムウェアの感染が確認されたら、ただちにコンピューターを社内ネットワークやインターネットから切断し、隔離します。他のコンピューターへの2次被害を防ぐために重要な初動対応となります。

② ランサムウェアの種類の特定と復号ツールの利用

端末に表示されている画面を保存し、インターネットで検索するなどして感染したランサムウェアを特定します。ランサムウェアに対応した復号ツールがもし公開されていれば、復号を行いファイルやデータへのアクセスを取り戻します。

③ ランサムウェアの駆除

ウイルス対策ソフトなどを用いてスキャンを実行し、リスクの高いファイルが検知された場合は、ランサムウェアの駆除を試みます。

7. まとめ

ビジネスのデジタル化が進み、「データ」の重要性はますます高まります。ランサムウェアはデータを標的にしてアクセス不能にすることでビジネスの継続を困難にしてしまいます。ランサムウェア攻撃は被害額も大きいことから、新手の手法が次々と登場しています。

被害を防ぐには、感染経路を意識し、不正アクセス対策、脆弱性対策などの基本的なマルウェア対策を行い、重要なデータは定期的にバックアップを取るなどの対策を講じることが重要となるでしょう。