今さら聞けない?ランサムウェアとは?対策は?
目次
どこかの企業(組織)が「ランサムウェア攻撃」を受けて個人情報が漏えいした、というニュースを見たことがある人は多いと思いますが、ランサムウェアといわれても、よくわからない、という人もいると思います。
そこで今回は、ランサムウェアの特徴と対策についての基本的な情報をまとめてみました。
●ランサムウェア=身代金を要求するマルウェア
ランサムウェアとは、身代金を意味する「ランサム(Ransom)」と「ソフトウェア」を組み合わせた造語で、端末やネットワーク内のデータファイルを強制的に暗号化し、使えない状態にしたうえで、データファイルを元に戻すための金銭(身代金)を要求するマルウェア(コンピュータウィルス)をいいます。暗号化されるのは基本的に端末内、またはネットワーク内の「ほぼすべてのデータファイル」であり、データが使えなくなった場合の影響は広範囲に及んでしまう可能性があります。
さらにここ数年の攻撃の特徴として、攻撃者はランサムウェアで暗号化してしまう前に、データファイルを盗んで複製しておき、金銭支払いに応じない場合、データをインターネット上に公開する(=情報漏えいさせる)、と2重で脅してくる手口が主流になっています。
ランサムウェアによって暗号化されたファイルを自力で復元することはほぼ不可能であり、被害に遭ってしまうと、事業上とても大きなダメージを受けるおそれがあります。
だからといって、攻撃者の要求に従って金銭を支払ったとしても復元される(漏えいされない)保証はありませんし、万が一金銭を支払ってしまうと、それはそれで社会的に非難され、信用を落とす可能性もあります(犯罪者に資金を提供することになるため、国はそのような攻撃者に金銭を支払わないよう注意喚起しています)。
また、企業(組織)はランサムウェア攻撃の被害者ですが、取引先やエンドユーザーからみれば、喪失・漏えいの加害者とみなされ、損害賠償を請求される場合もあります。
●ランサムウェア攻撃の手口、対象は変化している
従来、ランサムウェアは不特定多数に対するばらまき型の攻撃(手あたり次第にメールを送り付け、攻撃を仕込んだファイルの開封や悪意あるWEBサイトに誘導)が主流でしたが、近年では、ばらまき型攻撃に加えて、特定の企業(組織)を狙った「標的型攻撃」が増加しています(ターゲットを絞って攻撃を仕掛けた方が、高額の身代金を要求できる可能性が高いため)。
特定の企業(組織)といっても、大企業や官公庁、病院など影響力の大きな組織だけでなく、それらの組織と繋がっている可能性があることから、中小企業や個人(自宅)、または海外にある関連企業や取引先も狙われる可能性があります(中小企業や個人の方が、大企業等と比較した場合にセキュリティが盤石ではないことが多く、侵入しやすいためむしろ大企業などよりも狙われる可能性があるともいえます)。
●ランサムウェアの感染経路
では、ランサムウェアはどのように侵入し、ファイルを暗号化してしまうのかというと、主に次のような経路(手順)で攻撃が行われます。
- なりすましメールの送信(マルウェアを仕込んだ添付ファイルや悪意あるWEBサイトを開くことでマルウェアに感染)、VPN用の機器やルーターなどの脆弱性(弱点)を利用したハッキングなどにより、攻撃対象のネットワーク内に侵入する。
▼ - ネットワーク内に接続されている端末やサーバーなどに遠隔操作プログラムなど不正に操作するためのツールを仕込み、端末やネットワークの設定(アクセス権限など)を変更したり、データファイルの保存場所を探したり、セキュリティ機能を無効化したりする(その間端末の正規利用者はそのようなことが行われていることに気が付けないことが殆ど)。
▼ - データファイルを見つけたら、仕込んでおいたツールなどでデータファイルを盗み出し、攻撃者自身のサーバーなどに複製保管する。
▼ - ファイルの盗み出しに成功したら、端末などにあるデータを暗号化してすべて使用できなくする。
▼ - ファイルを暗号化したこと、暗号を解くための金銭要求、払わない場合は情報を漏らす、などといった脅迫メッセージを表示させ、対応を迫る。
●ランサムウェアへの対策は?
ランサムウェア攻撃を完全に防ぐことは困難と言えますが、被害にあうリスクを低減することは可能です。例えば、次のような対策を実施して、攻撃に備えましょう。
| セキュリティソフト、ネットワーク監視ツールの導入 | 端末へのセキュリティソフトの導入、ネットワーク出入口へのUTMなどの監視機器(サービス)の導入などでマルウェアの侵入防止、万が一侵入された場合の不審な外部への通信のブロックなどが行えるようにしておきましょう。 |
| OSやアプリの定期的なアップデート実施 | 端末のOSだけでなく、ネットワーク機器(VPNやルーターなど)も定期的にアップデートし、脆弱性を放置しないようにしましょう。特に、メーカーサポートが切れた(アップデートが提供されなくなった)OSや機器を使い続けることは危険です。 |
| ファイルの定期的なバックアップ実施 | 暗号化されてしまったファイルを復元することは極めて困難ですが、バックアップファイルがあれば、バックアップしていた時点での状態で復旧することは可能です。ただし、バックアップデータもネットワーク内に保管されている場合、一緒に暗号化されてしまい利用できなくなるおそれがあるため、ネットワークから切り離した場所(ネットワークに繋げない状態)でバックアップを保管しておきましょう。 |
| 定期的な社員教育の実施 | ランサムウェアをはじめ、サイバー攻撃の手口や対策、社内での端末やアプリの利用手順、ファイル管理方法などについて、定期的に教育を実施しましょう。特に、従業員が独断で端末の利用やパスワード設定などを行っていると危険です。 |
万が一ランサムウェアの被害に遭ってしまったら、警察への通報や専門機関への相談、個人情報の漏えいが確認された場合は個人情報保護委員会への報告などを適切に行い、専門家の指示に従って、事後対応を行いましょう。ただし、バックアップデータがないと正常にデータや業務を復旧させる事が出来ない場合があるので、感染しない対策を徹底しましょう。
