ランサムウェアの感染経路とは？
被害に遭わないために知っておきたい対策のポイント

近年、ランサムウェアによる被害が急増しています。企業のセキュリティ担当者としては、自社システムのセキュリティを高めるうえで、ランサムウェアへの対策が欠かせません。ただし、そのためにはランサムウェアとはどのようなものか、どのような攻撃によってどういった被害を受けるのかなどの把握が必須です。今回は、ランサムウェアについて、その概要や感染経路、実際の被害事例と被害に遭わないための対策についてお伝えします。

ランサムウェアとは？

ランサムウェアとは、感染したパソコンやサーバーをロック、もしくは中のファイルを暗号化してデータを使用できない状態にしたうえで、データ復旧の対価として金銭を要求するマルウェアの一種です。
情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威2022」では、組織が受けるサイバー攻撃で最も社会的影響が大きかったと考えられる事案は「ランサムウェアによる被害」でした。

参照：情報セキュリティ10大脅威2022｜情報処理推進機構（IPA）

もちろん、影響だけではなく被害数も大幅に増加しています。2022年9月15日に警察庁が発表した広報資料によると、ランサムウェア被害の報告件数は、146件（2021年）だったのが、2022年は前半だけで114件です。

金銭が目的であれば、標的になるのは大企業のみだと思われるかもしれません。しかし、2022年前半の被害件数114件のうち、大企業36件（32%）に対し、中小企業は59件で全体の52%と半数を上回っています。この結果からもサイバー攻撃への対策はすべての企業で行う必要があると言えるでしょう。

参照：令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について(4P)｜警察庁

サイバー攻撃の概要については、「サイバー攻撃とは？さまざまなリスクから自社を守るための対策を解説」をご覧ください。

ランサムウェアの攻撃手口

ランサムウェアによる攻撃手口には、単純に金銭を要求するタイプのほか、二重恐喝（ダブルエクストーション）というものもあります。二重恐喝とは、攻撃先のデータを暗号化し、復旧する対価として金銭を要求（最初の恐喝）、支払いに応じないと暗号化したデータを公開するとして改めて金銭を要求（2回目の恐喝）するものです。
2022年前半に起きたランサムウェアによる被害で手口を確認できた81件のうち、二重恐喝の手口は53件（65%）でした。

ランサムウェアの主な感染経路

ランサムウェアの主な感染経路は、フィッシングメールやデバイス、システムなどの脆弱性の悪用のほか、Webサイトやアプリケーションソフトなどです。
また、近年ではテレワークの増加に伴い、オフィス外で使われている機能や機器からの侵入も増加しています。前出の警視庁の発表では、回答件数47件中、VPN機器からの侵入が32件（68%）、リモートデスクトップからの侵入が7件（15%）です。

ランサムウェアによる被害事例

急激に増加しているランサムウェアによる被害。前項で挙げた警視庁の発表でも、ランサムウェアによる被害（2022年度114件中57件）から回答を得たアンケートで、復旧までに1ヶ月以上を要した企業・団体は12件。そして、調査・復旧に要した費用（回答数49件）で、1,000万円を超えた企業・団体は、27件（55%）です。ここでは、実際にランサムウェアによる被害に遭った企業事例をいくつか紹介します。

大手酒造メーカーの被害事例

2022年5月、国内の大手酒造メーカーが、自社で管理運用するサーバーに第三者による不正アクセスがあったと発表。通販サイト商品発送リストやお客様相談室受注リストなどの顧客情報、株主情報、従業員情報など約2万7,700件が流出した可能性があることが判明しました。攻撃手法としては、インターネット回線に接続したネットワーク機器の脆弱性を悪用された可能性が高いとしています。

自動車部品製造工場の事例

2022年3月、国内自動車部品製造工場のファイルサーバーが、第三者による不正アクセスによりウイルスに感染。部品の納入先である自動車メーカーの国内全14工場28ラインを停止する被害を受けました。情報流出の被害は明らかにされていません。感染経路は、子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器にあった脆弱性から、まず子会社のネットワークへと侵入。さらに、自動車部品製造工場のネットワークに侵入しました。
また、不正アクセス被害に遭った直後からITシステムをインターネットから遮断し、外部とのメール送受信と一部の業務システム、Webサイトの再開までに約1ヶ月を要しています。そして残りの業務システムはさらに日数をかけ順次復旧させました。

大手衣料品販売店の事例

2022年5月、大手衣料品販売店で社内ネットワークへの不正アクセスによるシステム障害が発生。個人情報の流出はありませんでしたが、被害状況の確認のため一部システムを停止せざるを得なくなりました。その結果、キャッシュレス決済やグループ約2,200店舗で店舗にない衣料品の取り寄せサービスが利用できなくなりました。
キャッシュレス決済の復旧に2日、取り寄せサービスの復旧には約10日もかかる被害となっています。

今後はクラウド上のデータが狙われるケースも

ランサムウェアの攻撃は、これまでは社内のコンピューターやサーバー、ネットワークに不正アクセスをするケースがほとんどでした。しかし最近では、クラウド上のデータを狙うケース（ランサムクラウド）も危惧されています。具体的には、Log4jというJavaベースのアプリケーションで使用される「API」を悪用したもので、クラウドデータを感染させる手法です。

ランサムウェアに感染前と感染後の対応方法

ランサムウェアに感染しないための対策はもちろん重要ですが、どれだけ対策をしたとしても、100%防御できるわけではありません。ここでは、ランサムウェアに感染する前と感染した後に分けて対応方法を解説します。

ランサムウェアに感染する前の対策

NGAVとEDRの利用

NGAVとは、マルウェア特有の動きをもとにマルウェアを検知するソフトウェアを指します。AIや機械学習などの技術を用いてマルウェアを検知・ブロックするため感染する前の対策として有効です。 EDRとは、Endpoint Detection and Responseの略称で、ネットワークの末端（エンドポイント）に接続されているパソコンやサーバーで攻撃を検知し、感染被害状況の特定を行うセキュリティソフトです。従来のネットワークへの侵入を防ぐセキュリティソフトでは対応しきれない脅威に対し、ネットワーク内部で迅速に脅威を検知、対応します。

クラウドバックアップ

感染してしまった際に元の状態に戻すため、感染前にクラウドにバックアップファイルを保存しておく方法です。万が一、感染した際には、このファイルを使い、感染前の状態に戻します。

ランサムウェアに感染したあとの対策

ボリュームシャドーコピー

ボリュームシャドーコピーとは、Windowsの「システムの復元」でファイルの履歴を残しつつ、以前のバージョンへとファイルを復元する機能です。Windowsに標準装備されている機能のため、感染が確認できたら、まずボリュームシャドーコピーでファイルの復元を試します。

復旧ツール

ランサムウェアに感染したためにファイルが削除されてしまい、ボリュームシャドーコピーでも復元できない場合は、ファイルの復元・復旧ソフトを使います。

ランサムウェア対策はまず感染しないための対策が重要

不正アクセスやフィッシングメールなどで標的のコンピューターやサーバーを感染させ、データやファイルを暗号化したうえで、復旧の対価として金銭を要求するランサムウェア。近年、多くの企業が被害に遭い、大きな損失を受けてしまうケースも珍しくありません。
感染を100%防ぐのは難しいため、感染後対策は重要ですが、まずはできるだけ感染しないように対策しておくことが重要となります。具体的な対策としては、セキュリティソフトの利用や社員に対するセキュリティ教育などが考えられますが、クラウドサーバーの利用もおすすめです。
ただし、最近ではクラウドサービスもランサムウェアに狙われるケースが増えているため、バックアップや監視体制が充実したクラウドサーバーを選択しなければなりません。

STNetのクラウドサーバー、「STクラウド サーバーサービス[FLEXタイプ]」は、お客様のタイミングで3世代前までバックアップを行えるユーザーバックアップ、リストア機能を有しています。また、オプションとしてさまざまな監視サービスも用意し、万全の体制で重要なデータを保持します。また、最適なセキュリティ環境を構築するための多様なサービスも提供しています。
ランサムウェア対策を検討されている際は、ぜひお気軽にご相談ください。