サイバー攻撃が年々増加の一途を辿るなか、身代金を要求するランサムウェアによる被害も増加。大手企業も相次いで被害を報告しており、その対策が急がれています。今回は、ランサムウェアがどういったサイバー攻撃なのか、その特徴と感染の仕組み、感染経路を紹介。後半では対策方法についても触れているので、これからセキュリティー対策を講じる、またはセキュリティー対策を強化したいと考えている場合はぜひ参考にしてください。

ランサムウェアとはRansom（身代金）とSoftware（ソフトウェア）からなる造語で、感染したコンピューターやシステム上で悪意のある動きをするマルウェアというウイルスの一種です。ランサムウェアに感染すると、ウイルスにより強制ロックしたコンピューターの復元や窃取した情報の暴露をしない代わりに身代金を要求されます。この特徴から「身代金要求型不正プログラム」「身代金要求型不正ウイルス」と呼ばれることもあります。

ランサムウェアの感染の仕組みとしては、次の手口が知られています。

これらの経路により感染したデバイスやシステムは、アクセスがロックされたり、データが暗号化されたりして使用できなくなります。こうしてデータを人質にとった攻撃者側からは、再び利用できるようにすることを条件に身代金の支払いを要求されます。

ランサムウェアと混同されがちな言葉にマルウェアがありますが、結論からいうとランサムウェアはマルウェアの一種です。マルウェア（Malicious software）はパソコンやシステムにダメージを与えることを目的とした、悪意のあるソフトウェアの総称です。

ウイルスやトロイの木馬、ワームなどもマルウェアの一種とみなされますが、そのなかでも「身代金の要求」を行うマルウェアをランサムウェアと呼んで区別しています。

ランサムウェアの主な感染経路は次の3通りです。

これらの感染経路以外にも、改ざんされたWebサイト（フィッシングサイト）からマルウェアを自動的にダウンロードされて感染するケースや、ランサムウェアが仕込まれたUSBなどの外部機器による感染経路もあります。

VPN（Virtual Private Network）とは仮想プライベートネットワークの略で、離れた拠点間をインターネット上の仮想空間ネットワークで通信できるようにする仕組みです。暗号化された通信を特定の人だけで利用するので、データの改ざんや盗聴といった脅威から情報を守れます。しかし、このVPNを構築するために使用されるルーターなどの機器の脆弱性を利用されてランサムウェアに感染することがあります。

リモートデスクトップとは、特定の場所にあるパソコンを別の場所から遠隔操作できる仕組みのことを言います。たとえば本社にあるパソコンを使用しているシステム担当者が、支社にあるパソコンを操作する際などに使用する仕組みです。

リモートデスクトップを感染経路にする場合は、システム管理者用のパスワードを不正入手したのち、リモートデスクトップ機能を利用してリモート先のパソコンにランサムウェアを感染させます。この経路によりランサムウェアに感染すると、遠隔操作で別のマルウェアに感染させられるなど、深刻な被害に遭う可能性が高くなります。

3つ目の感染経路はランサムウェアを仕込んだフィッシングメールです。フィッシングメールには「メールに添付されたファイルを開くとランサムウェアに感染する」といったパターンと、「添付ファイルやURLをクリックするとランサムウェアが自動ダウンロードされて感染する」といったパターンがあります。

さらに不特定多数を狙う「ばらまき型」と、企業や個人をターゲットに何度もメールを送る「標的型」が確認されています。標的型の場合はターゲットを事前調査してから送っているので、実際に取引がある担当者名を語ってメールを送るなど、年々手口が巧妙化し、未然に防ぐのが難しくなってきています。

ランサムウェアに感染しないためにできる対策は次の5つです。

セキュリティー対策は、どれか一つだけ実施していれば被害を防げるというものではありません。複数の対策を実施しておくことで、各対策の脆弱性を補い合うことができ、強固なセキュリティー環境の構築が可能になります。

ランサムウェアの感染経路と言えばメール、というくらい有名な手法として周知されたことや、セキュリティーに関するリテラシーが上がったことで、不用意に添付ファイルを開く人が少なくなり、以前よりメールからの感染は減ってきています。しかし、未だにメールからの感染報告はゼロではないのが現状です。

不審なメールが届いた際には、次のような対策を徹底する必要があります。

少しでも不審な点があったり、違和感を覚えたりした場合は、まず送信者に確認を取ることが大切です。面倒ですが、この一手間で大きな被害を防げる可能性を高められます。

改ざんされたWebサイトからの感染も、ランサムウェアの感染経路としてよく用いられる手法です。明らかに怪しいサイトでなくても感染することはあるので、インターネット接続時は次の点に注意しておく必要があります。

大手ECサイトやプラットフォームを偽装したサイトも確認されているため、普段使用しているサイトであっても油断は禁物です。アドレスに不審なところがないかといった細かな点にも注意を払うようにしましょう。

セキュリティー対策ソフトやツールを導入すれば、メールやWebサイト、コンピューター内のファイルに潜むランサムウェアなどのマルウェアの検知・駆除を始めとした対策を行ってくれます。また、セキュリティーソフトやツールは、定期的にアップデートを行っています。最新版がリリースされるたびにアップデートを行えば、後発の攻撃手法やウイルスなどに対応できるため、より高いセキュリティー環境の構築が可能です。

OSやソフトウェアは開発段階でも十分にセキュリティーへの配慮がなされています。しかし、攻撃者側も柔軟に手法を変化させながら攻撃を試みるため、開発当初は対策ができていたとしても時間の経過とともに不十分になってきます。これに対してOSやソフトウェアも新たな脅威や脆弱性への対策として随時修正を行い、アップデートを実施しています。OSやソフトウェアを最新の状態に保つことで、現在までに見つかっている脅威・脆弱性への対策が可能です。

ただし、古い機種の場合は最新のOS・ソフトウェアが対応していないケースもあります。この場合、「アップデートができない」、または「アップデートにより動作がおかしくなる」といったことがあるので、対応OS・ソフトウェアに該当するかを確認のうえ、アップデートを実行しましょう。

ランサムウェアではデバイスをロックしたり、データの暗号化を行ったりすることで、身代金を要求してきます。これに対して定期的にバックアップを取っていれば、被害を最小限に留められます。しかし、攻撃者側の手法も巧妙化しており、バックアップデータを破壊し、データの復元をできなくする攻撃も確認されています。そのため、バックアップの取り方やバックアップデータの保管方法に次のような工夫が必要です。

外付けのハードディスクにバックアップを取った場合は、接続されている外部メモリへの感染を防ぐためにも、バックアップ後は外して保管しておきましょう。また、その際には盗難や紛失にも注意が必要です。

ランサムウェアに感染してしまった場合、まずはネットワークを遮断し、ほかのデバイス・システムへの感染を防ぎます。有線LANの場合はLANケーブルを抜く、無線LANやWi-Fi接続の場合は機能をオフにすることで、ネットワークの遮断ができます。そのほかのデバイス・システムに感染していないことが確認できた段階で、バックアップからデータの復元を試みます。なお、感染後には次の点は絶対に行ってはいけません。

感染したデバイス・システムの再起動は、暗号化が進んでしまうことから厳禁です。さらに、感染後にバックアップを取ってしまうと、バックアップの保管先にあるファイルも暗号化されてしまう恐れがあるため、素人判断をせずにセキュリティーベンダーなどの専門家に診断してもらうようにしましょう。ランサムウェアに感染すると身代金を要求されますが、支払ったからといってデータを復旧してくれるとは限らないため、身代金の要求には応えないのが正解です。

ランサムウェアをはじめ、マルウェアなどのサイバー攻撃に完璧な対策はありません。しかし、隙だらけのまま放置していては、企業の大切な情報を容易に抜き取られてしまいます。個人情報や機密情報などをばらまかれては、企業の信用の失墜は避けられません。ランサムウェアのせいで「企業活動に悪影響を及ぼす状況となってしまった」といった事象を回避するためにも、可能な限りのセキュリティー対策を行うようにしましょう。

【関連コンテンツ】