1. ランサムウェアとは

ランサムウェアとは、マルウェア（悪意のあるプログラム）の一種で、感染すると端末やサーバーのファイルを勝手に暗号化します。ランサムウェアを用い、暗号化の解除と引き換えに身代金を要求する攻撃手口がランサムウェア攻撃です。

① ランサムウェアの定義と特徴

ランサムウェアとは、身代金を要求することを目的としてマルウェアの総称。身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせて命名されました。

ランサムウェアに感染するとパソコンやスマホがロックされたり、端末内などに保存されたデータが勝手に暗号化されたりして閲覧できなくなります。

企業がランサムウェアに感染した場合、パソコンやサーバー内のデータを使った業務が不可能になるだけでなく、暗号化されたデータを“人質”に、攻撃者から身代金を要求される危険があります。

② 拡大するランサムウェアの被害

警察庁が2022年4月に公表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、2021年（令和3年）に報告された国内のランサムウェアによる被害件数は146件。2021年上期（1月〜6月）が61件、同下期（7月〜12月）が85件と増加傾向です。

企業が復旧等に要した期間・費用については「1週間以内に復旧」が32件と最多で、中には「復旧に2ヵ月以上」要したケースもありました。調査・復旧費用の総額については、「1,000万円以上の費用を要した」ものが42件で、43%を占めていることがわかりました。

ランサムウェアの手口の特徴としては、「二重恐喝」が82件（85％）で最多でした。これはデータを暗号化し、復号のための金銭を要求することに加え、データを窃取した上で「対価を支払わなければ当該データを公開する」などと二重に金銭を要求する手口です。

感染経路は、VPN機器の脆弱性などをついて組織内部のネットワークに侵入し、ランサムウェアに感染させる手口が41件（54％）、リモートデスクトップからの侵入が15件（20％）を占めています。コロナ禍によってテレワークをはじめとする「多様化する働き方」を導入する企業や組織が増え、社外から社内ネットワークへ接続するためのVPNや、リモートデスクトップが標的となっている現状が浮き彫りになりました。

参照：令和3年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf

（1）情報セキュリティ10大脅威 2022でランサムウェアが一位に

「ランサムウェアによる被害」は、独立行政法人 情報処理推進機構（IPA）が2022年1月に発表した「情報セキュリティ10大脅威 2022」において、「組織」向けの脅威として、2年連続で1位にランクインしています。これは、2021年に発生した社会的に影響が大きなセキュリティ事案を、「組織編」「個人編」に分けてランキング形式で発表したものです。

企業にとってビジネスにおけるデータの重要性は高まるばかり。ランサムウェアによる被害はより広範に、深刻になっていくことが考えられます。

（2）公共機関を狙ったランサムウェア

電力、ガス、水道などの社会インフラや、公共サービスを狙ったランサムウェア攻撃が増えています。生活への被害が懸念されるほか、安全保障上のリスクが指摘されています。

米国では2021年5月、石油パイプライン企業のシステムがランサムウェアに感染。同社が運営するすべてのパイプラインが操業を一時停止するなど、市民生活に影響を及ぼす被害が発生しました。

国内でも2021年10月、地方病院が「LockBit」と呼ばれるランサムウェアの被害に遭い、電子カルテや会計などすべてのシステムが停止し、約8万5千人分の患者データが失われたと報じられています。

（3）新類のランサムウェア

セキュリティ企業のトレンドマイクロによる、2022年の第1四半期（1月1日〜3月31日）のランサムウェアの脅威状況によれば、この期間中に確認された攻撃数のうち、「LockBit」「Conti」「BlackCat」というRaaS（サービスとしてのランサムウェア）を駆使した攻撃がそれぞれ35.8%（LockBit）、19%（Conti）、9.6%（BlackCat）を占めていることがわかりました。

いずれのランサムウェアグループも被害者からデータを盗み、身代金を支払わない場合は、情報を公開すると脅す「二重脅迫型」の攻撃手口です。

2. ランサムウェアの感染予防策

ランサムウェアの被害を未然に防ぐ対策として、大きく「システムで対応可能な感染対策」と「個人で対応可能な対策」の2つに分けて紹介していきます。

① システム的な感染防止

まずは、仕組みで感染を防止するシステム的な感染防止策です。たとえば、ウイルス対策ソフトの導入やWebフィルタリングで悪意あるWebサイトへの接続を防ぐことなどです。

（1）メールのスキャンとフィルタリング

ウイルス対策ソフト等の専用ツールには、メールスキャンやフィルタリング機能が備わります。ランサムウェアをはじめとする悪意のあるプログラムは、偽装されたメールの添付ファイルを開くことなどを通じて感染します。メールスキャン機能を利用し、送受信メールや添付ファイルのスキャンを行い、悪意あるプログラムの実行を防ぎます。

メールスキャンで検知した添付ファイルは、削除や修復の操作を行うことができます。

（2）Webサイトのフィルタリング

Webフィルタリングツールを利用することで悪意あるWebサイトへの接続を防ぐことが可能です。Webフィルタリングには、予め登録された安全なサイトへの接続を許可する「ホワイトリスト型」と、危険なサイトを登録し、リストにあるサイトへの接続を禁止する「ブラックリスト型」があります。自社のビジネス課題に応じて、最適のツールやベンダーを選ぶとよいでしょう。

（3）ウイルス対策ソフト

ウイルス対策ソフトを導入することで、送受信されたメール、Webアクセス、コンピューター内のファイルなどに潜む、ランサムウェアなどのマルウェアを検知・駆除できます。

ウイルス対策ソフトは体験版ではなく、製品版を利用することと、最新版のソフトウェアを利用するようにしましょう。最新のマルウェアを検知するためにも、常にパターンファイルを最新の状態にアップデートすることが推奨されます。

（4）外部接続機器（USB/Bluetooth）の制限

インターネットなどの外部ネットワークからのランサムウェアの感染・侵入を防ぐために、感染源となりうるUSBメモリなどの外部記録デバイスの接続やBluetoothなどの外部接続機能を制限することも、マルウェア感染のリスクを低減することにつながります。

（5）定期的なバックアップ

業務に必要な重要なデータのバックアップを定期的に取得しておくことは有効な対策の一つです。ランサムウェアに万が一感染しても、最新のバックアップデータがあれば業務を継続できる可能性があるからです。

バックアップの注意点としては、ランサムウェアの中にはバックアップデータも暗号化の対象に含めるものがあるため、バックアップの保存先は同じネットワーク内ではなく、物理的に切り離すか、バックアップ時のみ接続するよう工夫することです。

（6）ログの取得

PCの操作ログやWebアクセスログを取得、管理することは、ランサムウェア感染の原因調査を迅速に行うために有効な対策です。

PCの操作ログ調査の方法には、PCの管理システムから分析する方法と操作ログ解析ツールを使用する方法があります。企業全体のPCのログを取得して一元管理を行うには、専用の解析ツールの導入が有効です。管理対象のPCにアプリケーションをインストールするだけで、いつ、誰が、どんな操作をしているのかを確認できます。

（7）認証の強化・多要素認証の導入

ランサムウェア対策には、ID管理などの認証強化も大事なポイントです。PCだけでなくユーザーが利用するデバイスやデータを認証して、アクセス権を設定するなどのセキュリティを強化することで、ランサムウェアをはじめとするマルウェアの侵入リスクを低減できるからです。

認証強化にはパスワード認証だけでなく、指紋認証や顔認証などの追加の認証強化（多要素認証）を行うことで、さらにサイバーリスクの低減が可能です。

（8）信頼性の高いハードウェアを選ぶ

OSなどのソフトウェアだけでなく、ハードウェアのセキュリティ強化も重要なポイントです。

近年、ハードウェアやOS起動前に動作するファームウェアの脆弱性を狙ったサイバー攻撃が増加しています。ファームウェアにマルウェアが感染するとOSよりも上の層を攻撃することが可能になります。ハードウェア本体の電源を入れなくてもシステムの改ざんが可能になり、ランサムウェアなどのマルウェア感染のリスクが高まります。

ハードウェアレベルでセキュリティ対策が強化された機器を選ぶことが重要です。

② 個人での感染対策

個人単位で取り組むべき感染防止策について紹介します。不審なリンクに注意することや出所不明のソフトウェアを利用しないことなどの対策です。

（1）不審なリンクをクリックしない

メールの取り扱いには注意し、差出人に覚えのないメールに記されたURLは決してクリックしないでください。リンクをクリックすると悪意あるWebサイトに誘導され、ランサムウェアなどのマルウェアに感染してしまう可能性があります。

（2）信頼できない送信元からのメールを開かない

メールの添付ファイルもランサムウェアの感染源の一つです。差出人に覚えのないメール（添付ファイル）は開かずに削除するようにしましょう。

送信元が誰かを確認し、そのメールアドレスが正しいかをチェックする必要があります。不審な点を感じたら、メールの差出人にメールを送った事実があるかを、電話など別な方法で確認しましょう。

（3）無料ソフトの利用制限

インターネットで配布されるソフトウェアの中には、有益なソフトに偽装してランサムウェアに感染させる悪意あるプログラムが含まれる場合があります。

ランサムウェアをダウンロードしないために、ファイルのダウンロードは、信頼できる公式のダウンロードサイトからのみ行うようにしましょう。スマホなどのモバイル端末でアプリやファイルをダウンロードするときも、Google PlayストアやApp Storeなどの公式のダウンロードサイトを利用することが重要です。

3. 感染した場合の対処法

万が一、ランサムウェアに感染した場合にはどうしたらよいでしょうか。ランサムウェアに感染した場合、攻撃者が要求する身代金を支払っても、暗号化されたデータやシステムの制限が解除される保証はありません。

身代金は支払わず、次のポイントを参考に、各ケースに応じてシステムの復旧を行うことが大事です。

① 身代金の要求に応じない・専門部署や専門家への相談

ランサムウェアは身代金を支払っても必ずしもデータが復旧するとは限りません。さらに、慌てて攻撃者と直接コンタクトをとることで、個人情報の流出などの二次被害の可能性もあります。自分で対応しようとせず速やかに専門部署や専門家への相談を行うことが重要です。

たとえば、日本国内では「日本サイバー犯罪対策センター事務局（ランサムウェア被害通報受付）」などの専門の受付窓口に通報することが推奨されます。

参照：日本サイバー犯罪対策センター事務局
https://www.jc3.or.jp/

② ネットワークの遮断・感染源の特定

ランサムウェアの感染が確認されたら、同一ネットワークのコンピューターへの感染拡大を防ぐために、ただちにコンピューターを社内ネットワークやインターネットから切断し、ネットワークの遮断を行うとともに、外部ストレージを接続している場合は切断します。

外部との通信を遮断することは他のコンピューターへの二次被害を防ぐために重要な初動対応となります。また、PCを遠隔操作されている可能性もあるため、ログ解析を行って感染源を特定することも被害拡大防止には重要です。

③ ランサムウェアの種類の特定・復号ツールの利用

感染端末をネットワーク遮断したら、端末に表示されている画面を保存し、別の端末でインターネット検索するなどして感染したランサムウェアを特定します。また、専門家による解析などを行いランサムウェアの種類を特定することも有効です。

ランサムウェアに対応した復号ツールがもし公開されていれば、復号を行うことでファイルやデータへのアクセスを取り戻せる可能性があります。「No More Ransom」プロジェクトの「Crypto Sheriff」を活用することで、ランサムウェアの種類が特定できる場合があります。

参考：No More Ransom
https://www.nomoreransom.org/ja/index.html

④ ランサムウェアの駆除

ウイルス対策ソフトなどを用いてスキャンを実行し、リスクの高いファイルが検知された場合は、ランサムウェアの駆除を試みます。ランサムウェアが端末に残っている状態で、データを復元しても再感染する可能性があるからです。

⑤ バックアップデータの復元

ランサムウェアの感染によって消失したデータをバックアップデータから復元します。

4. ランサムウェア対策の情報源

ランサムウェア被害低減や撲滅を目的に、多くの公共団体がランサムウェアに関する情報提供やサポートを行っています。

① No More Ransomプロジェクト

代表的なのが、国際的なプロジェクトである「No More Ransom（ノーモアランサム）」です。セキュリティベンダーであるカスペルスキーとマカフィーの2社が、法執行機関である欧州刑事警察機構（ユーロポール）やオランダ警察と協力して2016年7月に設立したプロジェクトです。

運営するポータルサイト「No More Ransom」では、一般ユーザー向けにランサムウェアについての知識や、ランサムウェアによって暗号化されたファイルを復元する復号化ツールなどが提供されています。

2017年10月26日現在、同プロジェクトには、119組織が参加しており、同サイトでは28か国の言語をサポートしています。

② 日本国内のランサムウェア対策団体

日本国内でも、上述した「No More Ransom」にJPCERTコーディネーションセンター（JPCERT/CC）や独立行政法人 情報処理推進機構（IPA）、産業界、学術機関、法執行機関などによる非営利団体である一般財団法人 日本サイバー犯罪対策センター（JC3）が参加し、協働して国内におけるランサムウェアの対策に取り組んでいます。

たとえば、JPCERT/CCでは、「ランサムウェア対策特設サイト」を開設。IPAも「ランサムウェア対策特設ページ」を、JC3も「ランサムウェア対策について」というサイトをそれぞれ開設し、脅威情報を発信しています。

参考：ランサムウェア対策特設サイト│JPCERT
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

参考：ランサムウェア対策特設ページ│IPA
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

参考：ランサムウェア対策について│JC3
https://www.jc3.or.jp/threats/topics/article-375.html

5. まとめ

世界中で猛威を振るうランサムウェアは、今後も被害増加が続くことが考えられます。被害金額の高額化や犯罪の組織化、ビジネス化が進み、様々な手口を組み合わせ、標的となる企業や組織に執拗に、繰り返し攻撃が仕掛けられる可能性があります。

被害を未然に防ぐために感染経路を意識し、不正アクセス対策、脆弱性対策などの基本的なマルウェア対策を行い、重要なデータは定期的にバックアップを取るなどの対策に加え、万が一、感染した場合の事後対応についてもしっかりと準備を継続していくことが大事なポイントとなるでしょう。