ランサムウェアという言葉を聞いて、漠然とした不安を感じていませんか?
「まさか自社が…」と思っていても、いつ、どこから攻撃を受けるかわからないのが現実です。
本記事では、ランサムウェアとは何かという基礎知識から、主な感染経路、そして何よりも大切な「感染しないための対策」について、個人と企業の両方の視点から解説します。
Contents
ランサムウェアとは? なぜこれほど脅威なのか
「ランサムウェア」とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
ランサムウェアとは、マルウェアの一種です。コンピューターやサーバーに侵入し、重要なデータを暗号化したり、アクセスを制限したりして使用不能にし、その復旧と引き換えに金銭(身代金)を要求する不正プログラムを指します。
ランサムウェア攻撃は、ただデータを暗号化するだけではありません。近年、攻撃はより巧妙化しています。例えば、「二重脅迫(Double Extortion)」と呼ばれる手法では、データを暗号化するだけでなく、機密情報を盗み出して公開すると脅迫します。これにより、企業は金銭的被害に加えて、社会的信用の失墜という大きなリスクに直面します。
また、サービス業から公共機関まで、業界や規模を問わず無差別に攻撃が行われるため、すべての組織にとって脅威となっています。
企業や団体の端末がランサムウェアに感染すると、業務ができなくなる可能性があります。さらに、ステークホルダーにも多大な迷惑や損害を与える可能性もあります。
ランサムウェアの攻撃の特徴
ランサムウェア感染の攻撃手段は、不特定多数に向けたものが多いといわれ、多くの場合はメールを介して不正プログラムを送信します。
しかし近年は、ランサムウェアの手口が変わっています。
テレワークの普及から、「VPN(Virtual Private Network)」のようなインフラの脆弱性が狙われやすくなっています。そして企業や団体のネットワークを介して感染するケースが増えているといわれています。
以下はランサムウェアの攻撃の特徴で、従来と近年では変化があります。
| 従来のランサムウェア | 新たなランサムウェア | |
|---|---|---|
| 攻撃手法 | 不特定多数へのメール送信 | メールのほかVPN機器の脆弱性を狙う |
| 攻撃対象 | 主にクライアントPC | サーバー、制御系システム、クライアントPC |
| 感染事象 | PCのロック、データ暗号化 | 管理者権限を奪取して、システム全体を乗っ取り、 ファイルサーバーやクライアントPCのデータの暗号化や窃取 |
| 要求内容 | 暗号化解除等の見返りに身代金要求 | データの復号化の見返りに身代金要求、 さらに窃取データの公開を止めるための身代金要求、 窃取データのダークサイトでの販売 |
企業や個人が狙われる理由
企業がランサムウェアの標的となる最大の理由は、高額な身代金が期待できるからです。業務継続が困難になるため、支払いに応じざるを得ないケースが多く、攻撃者はそれを知っています。製造業では工場が停止し、医療機関ではカルテが閲覧できなくなるなど、事業に致命的な打撃を与えられます。
一方、個人が狙われるのは、被害者が多く集まればまとまった利益になるためです。個人の場合、被害に遭っても警察への届け出をためらう傾向も、攻撃者にとって好都合な点です。
ランサムウェアの主な感染経路
ランサムウェアは、どのような経路で感染するのでしょうか。いくつかの感染経路をご紹介します。
VPN機器からの侵入
テレワークの普及から、「VPN(Virtual Private Network)」のようなインフラの脆弱性が狙われやすくなっています。企業や団体のネットワークを介して、感染するケースが増えているようです。
総務省の資料によると、2021年のランサムウェアの感染被害経路はVPN機器からの侵入が最も多かったようです。54%と半数以上を占めています。
出典:総務省『サイバーセキュリティ戦略に基づく 総務省の取組』を加工して作成
VPN接続先のネットワークに感染したデバイスがあると、VPN経由で外部のデバイスにランサムウェアが侵入する可能性があります。
たとえば自宅で使用する端末が感染すると、VPN接続先の企業のネットワークにもランサムウェアが拡散してしまいます。
ランサムウェアに感染しないためには、VPNのセキュリティ対策が盤石である必要があります。VPNは強固なパスワードを設定した上で、定期的に変更しておきましょう。
メールの添付ファイルから
悪意のあるメールも、ランサムウェアの感染経路の一つです。メールの添付ファイルにランサムウェアが埋め込まれ、それを開けば感染することがあります。
WordやExcel、PDFなど、ふだんよく使われるファイル形式を使用して、相手はランサムウェアの拡散をしているケースがほとんどです。その上、アドレスや添付ファイルの名称、拡張子なども偽装していることも少なくありません。
このように警戒心を持たずにメールを開いたことで、思わぬトラブルに巻き込まれてしまいます。
またメールには、悪意のあるリンクが含まれる場合もあります。安易に添付ファイルを開封したり、リンクをクリックしないようにしましょう。
WEBサイトのブラウジングから
Webサイトを閲覧すること(ブラウジング)により、ランサムウェアが仕込まれたWebサイトに遭遇することがあります。たとえば広告やコンテンツ、または不正なリダイレクトなどを含むWebサイトです。
ユーザーがWebサイトを閲覧することによって不正なスクリプトが実行され、ウイルスがダウンロードされます。
その結果、デバイスがロックされます。そして、「ランサムウェアの解除をします」という建前で身代金を要求するメッセージが表示されます。
リモートデスクトップ(RDP)から
クトップ画面を、操作するしくみのことです。前述の円グラフにあるように、リモートデスクトップ(RDP)からの感染は非常に多いです。
VPN同様、外部から内部への接続手段は、十分注意する必要があります。
リモートワークVPNやRDPを利用する場合、特に注意して欲しいのが
- 脆弱性対策不備
- 認証情報の脆弱性
の2点です。以下の表にあるように、注意する必要があります。
| 脆弱性対策不備 | ・VPNやリモートデスクトップ接続などについては、定期的な更新プログラム適用作業を行えているかどうかを確認する ・社内にシステム担当者がいる場合は、VPNやリモートデスクトップ接続の実施状況をチェックする ・システム担当者がいない場合は、保守業者との保守契約を確認。その上で、脆弱性対策が行えているかどうかをチェックする |
| 認証情報の脆弱性 | ・「推測可能なIDとパスワード」は、使用しない ・「情報漏洩したIDとパスワード」は、使用しない ・パスワードポリシーの適用 (多要素認証を採用、長さや文字の種類の多い難解なパスワードを使用など) |
これらを社内ユーザーに対して周知させ、教育を行っていくことが必要です。
ソフトウェアやファイルのダウンロード
不審なWebサイトからソフトウェアやファイルをダウンロードすることで、ランサムウェアの感染のきっかけになることも少なくありません。こうしたWebサイトは「業務や作業に便利な無料ソフト」と偽って、不正なプログラムをダウンロードさせてしまいます。むやみにダウンロードボタンをクリックしたり、ソフトウェアの更新を要求するメッセージに応えるのはやめましょう。
ファイルをダウンロードする際には、ベンダーの公式サイトを選びましょう。そしてOSやソフトウェアを常にアップデートし、脆弱性を修正することが必要です。
なおソフトウェアのインストールは、会社のシステム管理者の下で行うようにしましょう。
USBメモリやHDDの接続
USBメモリやHDDなどの外部記録メディアを通じて、ランサムウェアに感染することがあります。
たとえば感染した端末から、感染したファイルを外部記録メディアにコピーします。するとその外部記録メディアを介して、ほかのデバイスも感染するため注意が必要です。場合によっては、一気にランサムウェアが拡散することもあります。
またセキュリティソフトを導入し、定期的に更新することも必要です。外部記録メディアを使用する前には、セキュリティソフトウェアでスキャンするなどの対策をとりましょう。さらに、定期的なバックアップを取ることも必要不可欠だといえます。
【徹底解説 1】今すぐできるランサムウェア対策
ランサムウェアから身を守るためには、複数の対策を組み合わせた多層防御が不可欠です。個人と企業の両方で実践できる重要な3ステップをまとめます。
組織全体で取り組むべき対策
組織全体で最も重要なのは、データのバックアップとセキュリティ教育です。
重要なデータは、オフラインのストレージや別のネットワークに定期的にバックアップしましょう。これにより、万一感染してもデータを復旧できます。また、職員向けのセキュリティ研修を定期的に実施し、不審なメールの見分け方や、IT資産の正しい管理方法を周知徹底することが、人為的なミスを減らす上で非常に有効です。
IT担当者が実施すべき技術的対策
IT担当者は、組織の防御を技術的に強化する役割を担います。
OSやソフトウェアの脆弱性を突かれないよう、パッチの適用は最優先事項です。また、ネットワークの分断(セグメンテーション)や、多要素認証(MFA)を導入してアクセスを厳格に管理することも有効です。さらに、侵入検知システム(IDS)やエンドポイントの監視・防御システム(EDR)、モバイルデバイス管理システム(MDM)を導入することで、万が一の侵入にも迅速に対応できるようになります。
従業員一人ひとりが意識すべき行動
一人ひとりの意識が、組織全体のセキュリティレベルを左右します。
知らない相手からのメールは安易に開かず、添付ファイルやリンクをクリックしない習慣を身につけましょう。OSやソフトウェアの自動更新を有効にし、パスワードは使い回さずに複雑なものに設定することも大切です。不審な挙動に気づいた際は、すぐにIT担当者に報告する習慣を身につけましょう。これらの地道な努力が、ランサムウェアの侵入を防ぐ最も効果的な防御策となります。
【徹底解説 2】企業に必要なランサムウェアの具体的対策
企業では、具体的にはどのようなランサムウェアの対策が必要なのでしょうか。
いくつかご紹介します。
VPN機器をはじめ、ネットワークの脆弱性を見直す
上記のランサムウェアの資料や事例からわかるように、VPNをはじめネットワーク機器の脆弱性を悪用されるケースは非常に多いです。
まずは、VPNやリモートデスクトップ接続など「外部から内部への接続手段」の有無をもう一度確認しておきましょう。
その上で、定期的に更新プログラム適用作業ができているかを見直す必要があります。また重要なデータは必ずバックアップを行い、それも定期的に点検しておくことです。
また、ユーザーの認証情報にも注意しましょう。「推測可能なIDとパスワード」もしくは「情報漏洩したIDとパスワード」を使用して侵入することがあります。パスワードポリシーを適用したり、多要素認証を採用しましょう。
アクセスと権限を最小にする
ユーザーのアクセスと権限を最小にすることも、非常に大切なことです。万が一ランサムウェアがネットワークに侵入すると、ネットワーク内の複数の端末でデータが暗号化されてしまいます。これにより、被害の範囲が拡大するからです。
使用する機会が少ないユーザーについては、管理権限をアサインしないようにしましょう。ユーザーが不審な動きを行った場合には、調査をすることも必要です。
ウイルス対策ソフトを導入する
積極的にウイルス対策ソフトを、導入しましょう。ウイルス対策ソフトはデバイスやネットワークにおいてマルウェアを検出し、悪質なコードを削除するようにつくられています。
またウイルス対策ソフトは、できるだけ最新のものを使用しましょう。古いパターンファイルでは、ウイルスに感染してしまう可能性があります。その上でウイルススキャンも、実行しておきましょう。
ディープラーニングを活用した、最新のウイルス対策ツールを導入するのも一つの方法です。こうしたウイルスソフトでは、これまで検知できなかった未知のウイルスを予測・防御することができます。
ネットワークを監視する
ランサムウェアの被害を受けた端末では、外部のサーバーと不審な通信を行うことがあります。こうした予兆を検知し、感染拡大を防ぐために、EDR(Endpoint Detection and Response)の導入も検討しましょう。
EDRとは、ユーザーが使用するPCやサーバー(エンドポイント)における感染を、いち早く感知するセキュリティソリューションです。これを導入することにより、被害を最小限に食い止めることができます。アンチウィルスソフトと併用すると良いでしょう。
添付ファイル付の不審なメールを警戒する
ランサムウェアの手口の一つとして、知人や関係者を装った不正なメールを送りつけることがあります。
不審だと感じた添付ファイル付きのメール、もしくはURLが記載されたメールは警戒しましょう。不用意に添付ファイルを開封したり、あるいはURLをクリックしないことです。その上で、送信元に確認を取ることが得策だといえるでしょう。
OSやソフトウェアを最新の状態にする
OSやソフトウェアを最新の状態にしておくことは、情報セキュリティ管理の基本です。
更新されないままデバイスを使用していると、セキュリティの脆弱性や問題点が解消されないままになります。悪意のある攻撃者から狙われやすくなるため、ランサムウェアによる被害や感染拡大に繋がりやすくなります。
OSやソフトウェアが更新された際には、すぐに対応しましょう。ベンダーの修正プログラムを適用したり、最新版をインストールすることです。
MDMを導入する
MDM(モバイル管理システム)を導入して、ランサムウェア対策を行うのも良い方法の一つです。MDMとは、PCやスマートフォンなどの端末を一元管理するためのシステムです。
企業や組織にMDMを導入すれば、以下が可能になります。
- アプリケーションを配布
- アプリのインストール制限/利用制限
- パスワードポリシーとデバイスの暗号化
- 遠隔によるデータの初期化と画面ロック
- デバイスの位置情報の確認
- デバイスの使用状況の把握
- OSを最新状態で運用
- URLフィルタリング
- ランサムウェア対策も可能
これらが簡単な操作で管理できるのが、MDMの魅力です。MDMにより使用できるアプリを制限することにより、ランサムウェア対策の第一歩に繋がります。
関連記事:MDM(モバイルデバイス管理)の必要性とは?導入のメリットをわかりやすくご紹介
まとめ:ランサムウェアは「予防」が最大の防御
ランサムウェアは、企業や個人にとって、いつ直面してもおかしくない深刻な脅威です。攻撃手法は日々巧妙化しており、完璧な防御策は存在しません。しかし、今回解説したような予防策を複合的に講じることで、感染リスクを大幅に低減させることができます。
特に、データのバックアップと従業員のセキュリティ意識向上は、被害を最小限に抑える上で欠かせない要素です。ランサムウェアに感染しないための対策を講じ、大切なデータを守るための第一歩を今すぐに踏み出しましょう。
CLOMO MDMで安心・安全なデバイス管理を!
ランサムウェア感染の予防や対策を的確に行えるよう、そのベースとしてMDMでデバイス管理をしてはいかがでしょうか。
MDMは、複数のモバイルデバイスを一元管理するシステムです。MDMを導入することで、デバイスの運用・管理の効率化や利用状況の把握、盗難・紛失対策ができます。スマートデバイスの重要性が高まる企業や学校などの組織において、導入が進んでいます。搭載機能やサービスの形態、サポート体制の充実度などを考慮し、自社に最適なMDMを導入することが重要です。
さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で14年連続シェアNo.1*を誇っています。
CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。
管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。
また、ISMAPにも登録しており、高いセキュリティ基準を満たしています。
さらに、CLOMO MDMなら、次世代アンチウイルスソフト「Deep Instinct」と連携可能です。未知のウイルスについても、対策することができます。
あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典:デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014~2023年度出荷金額・2024年度出荷金額予測
監修者
杉本 裕基
CLOMO事業本部 コンサルティングサービス部
2021年、CLOMO事業本部 コンサルティングサービス部に入社。前職のクラウドセキュリティサービスを提供する企業では、グループウェアやIDaaSなどのSaaS全般にわたる導入支援を担当。その経験を活かし当社でも特にセキュリティ面で不安を抱えるお客様向けの端末設定、運用周りに関するサポートを行っている。
