1. ランサムウェアとは

ランサムウェアとは、マルウェア（悪意のあるプログラム）の一種です。感染するとパソコンや接続しているストレージなどに保存されたファイルが勝手に暗号化されたり、スマホがロックされたりするもので、ランサムウェアを用いた攻撃はランサムウェア攻撃と呼ばれます。

ランサムウェアの定義と特徴

ランサムウェアとは、身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせたもので、身代金を要求することを目的としたマルウェアの総称です。

ランサムウェアに感染すると、パソコンやスマホがロックされたり、端末内などに保存されたデータが勝手に暗号化されたりして閲覧できなくなります。企業がランサムウェアに感染した場合、パソコンやスマホを使った業務が不可能になるほか、復号化と引き換えに攻撃者から身代金を要求される可能性があります。

ランサムウェアの主な被害

独立行政法人 情報処理推進機構（IPA）が発表している「セキュリティ10大脅威」において、「ランサムウェアによる被害」は、「組織編」の脅威として、2年連続で1位となりました。

ビジネスのデジタル化が進むにつれ、企業にとって「データ」の重要性は高まっています。「データ」を標的にしたランサムウェアによる被害はより広範に、深刻になっていくことが考えられます。

（関連リンク）
ランサムウェアとは？被害事例や感染経路、対策について解説

2. 業界別ランサムウェアの被害事例

では、具体的にどんな被害事例があるのでしょうか。ここでは、ランサムウェアの具体的な被害事例について、国内外、業種別に分けて紹介します。

国内の被害事例

まずは国内のランサムウェアの被害事例を業種別に紹介していきます。

（1）地方自治体

2022年7月には、国内の地方自治体で、市内の全小中学校が利用するネットワークが不正アクセスを受け、ネットワーク上のサーバーがランサムウェア攻撃を受けたことが明らかになりました。学校業務で利用するサーバーには児童・生徒の個人情報や教職員の人事情報などの情報が格納されており、これらが暗号化され閲覧できなくなりました。

（2）病院

2022年6月には、国内の地方病院が">ランサムウェア「LockBit 2.0」の攻撃を受け、電子カルテと院内LANが使用不能になりました。これにより受付業務や処方などに支障が出たため、侵入があった当日は初診の受付を停止、翌日には電子カルテなどの復旧が公表され、その翌日には新規患者を含めた診療を再開しました。

（3）大学

2021年5月、国内の大学が管理する学内サーバーに不正アクセスがありランサムウェアに感染。同サーバーには、在学生および卒業生の学籍情報等、資料請求者の情報、定例講演会参加者の情報などが格納されていましたが、情報流出の事実は確認されてないと発表されています。

（4）自動車部品メーカー

国内の自動車部品メーカーが2022年4月、ランサムウェアによるサイバー攻撃を受けたことが明らかになりました。同社およびグループ会社がサイバー攻撃を受け、ランサムウェア「CryptXXX」に感染、同社やグループの退職者を含む従業員の情報が暗号化され、一部データについては復旧を断念したということです。

海外の被害事例

続いて、海外のランサムウェアの被害事例を業種別に紹介していきます。

（1）政府機関

スコットランド環境保護庁（SEPA）は、2020年12月24日にランサムウェア被害を受けたことを発表しました。1.2GBのデータをサイバー犯罪者に窃取されましたが、SEPA側は身代金の支払いを含む、サイバー犯罪者との一切の接触を拒否。

その結果、犯罪者側は窃取したファイルのうち、少なくとも4,000個のファイルを公開しました。感染したランサムウェアについての発表はないものの、「Conti」を運用するハッカー集団が攻撃の犯行声明を出しています。

（2）公共インフラ

2021年5月、米国の石油パイプライン事業者最大手のシステムがランサムウェアに感染し、同社が運営するすべてのパイプラインが予防的措置で操業を一時停止するなど、市民生活や事業活動に影響を及ぼす被害が発生しました。

報道によれば、データの復号のためにサイバー攻撃者に500万ドル近い身代金を仮想通貨で支払いました。専門家によると、これまで米国で発生したエネルギーインフラへのサイバー攻撃として最大規模とのことです。

（3）国内企業の海外子会社

国内企業の海外子会社が、2022年4月、サイバー攻撃を受け、ランサムウェアに感染したことが明らかになりました。「Conti」を運営するハッカー集団が犯行声明を出しました。ハッカー集団はリークサイトでデータを窃取し身代金を要求していることを公表、窃取したとするデータのファイル名なども公表しているということです。

3. ランサムウェアの被害動向

米国のセキュリティ企業Zscaler（ゼットスケーラー）は2022年7月、同社の調査チームによる年次調査レポート「2022年版 ThreatLabzランサムウェアレポート（日本語版）」を発表しました。ここでは、セキュリティ企業や国内の各機関が公表したレポートなどから、ランサムウェアの被害動向について紹介していきます。

被害件数の推移

上述したZscalerの年次調査レポートによれば、調査期間である2021年2月〜2022年3月に発生したランサムウェア攻撃は、前年比で80％増加。攻撃件数および被害額が過去最高になりました。

また、警察庁が2022年4月に公表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、2021年（令和3年）に警察庁に報告された国内のランサムウェアによる被害件数は146件で、件数は2021年上期（61件）、同下期（85件）と増加傾向にあります。

業界別での感染状況

さらに、前出のZscalerの年次調査レポートによれば、最も多く標的となった業界は、2年連続で製造業がトップ。後述する二重脅迫型ランサムウェア攻撃のほぼ20％を製造業が占めました。また、ヘルスケア業界（650％増）とレストラン・フードサービス業界（450％増）は、2021年と比較して高い増加率を示しています。

ランサムウェアのトレンド

ランサムウェア攻撃は近年、手口が変化し、ここ1年ほどで新たなトレンドが確認されています。ここでは3つの代表的な傾向について紹介します。

（1）サプライチェーン攻撃

サプライチェーン攻撃とは、攻撃の対象となる企業や組織とつながる取引先や関連企業、委託先などを標的に仕掛けられる攻撃のこと。サプライチェーンにある複数の企業では、セキュリティ対策のレベルも異なります。そのため、弱点のある企業から連鎖的に攻撃が広まり、被害が拡大しやすい傾向があります。

ランサムウェア攻撃にもセキュリティ対策に弱点のある企業を踏み台として、攻撃の「本丸」であるターゲット企業に攻撃を仕掛けていくサプライチェーン攻撃の手法が確認されています。

（2）RaaS

RaaSとは「Ransomware as a Service」（サービスとしてのランサムウェア）のことです。攻撃者（ランサムウェアの開発者）が悪意のあるコードを闇市場などで「サービスとして利用できるよう」に提供し、それを利用する別の攻撃者は、画面上の設定だけで高度なプログラミング技術がなくても容易に攻撃を行えます。

ランサムウェア攻撃の身代金が高額化し、そのことに着目した攻撃者が新たな収益源として確立したビジネスモデルがRaaSです。

（3）二重脅迫型攻撃

従来のランサムウェアが不特定多数に攻撃を行なっていたのに対して、二重脅迫型攻撃では、特定の企業を標的に、窃取したデータの公開などを引き換えに身代金を要求します。

暗号化したデータの復旧と引き換えに身代金を要求することに加え、事前に窃取したデータを公開することと引き換えに身代金を要求することから「二重脅迫型」と呼ばれます。また、身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もあります。

最近では、DDoS攻撃や、窃取した情報のステークホルダーへの暴露など、三重、四重に脅迫手段を重ねるケースも確認されています。

4. ランサムウェアの種類別の被害状況

では、代表的なランサムウェアにはどんな種類があるのでしょうか。ここでは主要なランサムウェアについて、種類別に被害状況を紹介します。

Conti

2020年5月に被害が確認されて以降、継続して被害が拡大しているランサムウェアで、WindowsのすべてのバージョンのOSが攻撃対象となります。Contiを開発しているのは、ロシアを拠点にしていると推測されるハッカー集団で、攻撃者は、フィッシング攻撃やリモート監視・管理ソフトウェア、チャットツールなど、様々な攻撃手法やツールを駆使して攻撃を仕掛けます。

窃取したデータの暗号化と情報の公開の「二重脅迫型」の攻撃に利用されます。

LockBit

2019年9月に被害が観測され、継続して被害が拡大しています。国内でも2021年10月、地方病院が被害に遭い、電子カルテや会計などすべてのシステムが停止し、約8万5千人分の患者データが失われたと報じられました。

後継の「LockBit 2.0」は2021年6月に観測され、2022年には最も影響あるRaaSの一つに位置づけられます。パロアルトネットワークスの分析によれば、2022年5月現在、2022年のランサムウェア関連侵害事象の46%をLockBit 2.0が占めていることがわかりました。

Black Basta

2022年4月に観測された新しいランサムウェアの亜種です。Contiの背後にいるサイバー犯罪者グループと強く結びついており、Contiの後継に最も近い存在と見られています。

米Malwarebytesが2022年8月に公開した「Ransomware review: July 2022｜Malwarebytes Labs」によれば、2022年7月の被害件数でLockBitに次ぐ被害件数となっており、特に、米国、カナダ、イギリス、オーストラリア、ニュージーランドといった国々をターゲットに、製造業、建設業、運輸業、通信業、医薬品など、さまざまな業界をターゲットにしていることが確認されています。

REvil

2019年に観測されたランサムウェア（RaaS）の一つで、ロシア語圏のアンダーグラウンド組織が出所と見られます。2020年には、盗んだファイルを使って被害者に支払いを強要する二重脅迫の手口を取り入れ、2021年には、大手サービスプロバイダやサプライヤーなどを標的とした攻撃を繰り返しました。

2021年10月に複数の国の法執行機関がREvilの主要なランサムウェア関連リソースを掌握し、匿名のTor（トーア）サーバーで行われていたダークネットキャンペーンを解体させることに成功したものの、このグループは新たな名称で復活することが予想されています。

5. ランサムウェア 事例　まとめ

ランサムウェア攻撃は、サプライチェーン攻撃やRaaS、二重脅迫型といった手口を組み合わせ、標的となる企業や組織に執拗に、繰り返し攻撃が仕掛けることから、2022年以降も引き続き、企業にとって大きなセキュリティの脅威となっています。

攻撃の手口や被害状況などの最新動向を知り、不正アクセス対策、脆弱性対策などの基本的なマルウェア対策を行い、重要なデータは定期的にバックアップを取るなどの対策を講じることが、ランサムウェア感染のリスク低減に重要なポイントとなるでしょう。