ランサムウェアにどう対応すべきか、実践方法をレクチャー

近年、ランサムウェアによるサイバー攻撃が増加しており、セキュリティ対策が急務となっている。本稿では、ランサムウェアからデータを守るための具体的な対策と実践方法について解説する。

ランサムウェアとは何か?

ランサムウェアとは、悪意のあるソフトウェアの一種で、システムに侵入しデータを暗号化した後、その暗号化解除の対価として身代金を要求するものである。近年、この脅威が企業や個人を問わず広範な被害をもたらしているのは周知の通りだ。特に、リモートワークの普及やクラウドサービスの利用が増えたことで、攻撃を受けるリスクはさらに高まっている。

これまでにもさまざまな企業や組織がランサムウェアによる攻撃を受け、業務の一時停止や個人情報の流出といった事態が引き起こされたケースが多々報告されている。進化する攻撃に対抗していくには、相応のセキュリティ対策が急務なのだ。

ランサムウェア攻撃の概要

ランサムウェア攻撃において、攻撃者は通常、在宅勤務などに用いるVPN装置の脆弱性、インターネット公開されたリモートデスクトップ、電子メールの添付ファイル、悪意のあるリンク等を利用してターゲットのシステムに侵入する。

感染を広げた後、システム内のデータの暗号化を行い、被害者に対して身代金の支払いを促すメッセージを表示する。このプロセスは多くの場合、自動化されており、短時間で実施される。これにより、企業は業務停止やデータ損失の危機に直面することとなる。

年々手口が巧妙化するランサムウェア攻撃は、従来のセキュリティ対策だけでは対応しきれない場合も多い。したがって、企業のIT担当者には、ランサムウェアについて正しく理解した上で常に最新のセキュリティ対策を導入し、同時に従業員教育も行うことが求められる。

ランサムウェアの種類と特徴

ランサムウェアは主に以下の3つの種類に分類される。それぞれの特徴は以下の通りだ。

暗号化ランサムウェア: 暗号化ランサムウェアは最も一般的なランサムウェアである。感染するとシステム内のファイルを暗号化し、その解除のために身代金を要求する。暗号化は高度であり、適切な“鍵”がないと解除が困難である。
リークウェア（またはドックスウェア）: リークウェアは、システムに侵入して機密データを盗み出し、それを外部に公開すると脅迫するタイプのランサムウェアである。

3.ロック画面ランサムウェア: ロック画面ランサムウェアは、システムのUIとなる画面をロックし、ユーザーがデバイスにアクセスできないようにする。このタイプはシステムそのものに影響を与える可能性は低いものの、アクセスが妨げられるため業務に支障を来たすことに変わりはない。こちらも、ロックの解除を条件に身代金を要求する。

これらのランサムウェアは、さまざまな経路で攻撃を仕掛けてくる。そのため、狙われやすい感染経路と攻撃手法を把握し、予防策および攻撃された場合の対処法を用意しておくことが重要だ。

ランサムウェアの感染経路と攻撃手法

サイバー攻撃における初期侵入の技法は多岐にわたるが、その中でも典型的な手法にVPN装置の脆弱性を狙うものがある。VPN装置はコロナ禍に伴い多用されるようになり、VPNの負荷増大に伴い旧式のVPN装置の利用を再開したケースもある。VPN装置に脆弱性があると、社内ネットワークに容易に侵入されてしまう。VPN装置の脆弱性対応は保守業者により行われるべきものだが、現実には保守契約に脆弱性対応が盛り込まれておらず、脆弱性が長期間放置されているケースが多いのが現状だ。

また、不正なソフトウェアやシステムの脆弱性を利用した攻撃も一般的である。これらの攻撃では、ユーザーが知らないうちに悪意のあるコードが実行され、ランサムウェアがシステムに侵入する。その他にも、RDP（Remote Desktop Protocol）の悪用が挙げられる。攻撃者は、不正アクセスによってRDPの脆弱な設定を通じてシステムに侵入し、ランサムウェアを展開する。RDPはセキュリティホールとして狙われやすくなっている。

これらはあくまで一例にすぎないが、こうした一般的な初期侵入への防御策を講じることが、ランサムウェア対策の第一歩となる。VPN装置やソフトウェアの定期的なアップデートを行い、RDPのセキュリティ設定を強化するのはもちろん、従業員のトレーニングを実施したり、疑わしいメールのチェックリストを作成したりするのはフィッシングメールへの警戒心を高める上で有効だろう。

侵入後の内部活動

攻撃者がシステム内部に侵入しても、しばらくは静かに活動することが多い。攻撃者はまず内部ネットワーク内のコンピュータを調査し、最も価値のあるデータを特定する。このプロセスは、俗に「ラテラルムーブメント」と呼ばれる。ラテラルムーブメントにより、価値の高い情報を特定してアクセス権限を取得すると、それを基に攻撃は次の段階へと進む。

ランサムウェアの実行段階

ランサムウェアは、初期侵入と内部活動を終えた後、実行段階に入る。この段階で、攻撃者はシステム内の重要なデータを暗号化し、それを解除する対価として身代金を要求するのが一般的である。暗号化アルゴリズムは非常に強力であり、被害者が自力でデータを復元することはほぼ不可能だと言われている。

身代金要求はしばしば電子メールやシステム上のポップアップメッセージ、プリンターへの大量の脅迫文の印刷を通じて行われる。その際、暗号化したファイルにアクセスするための復号化ツールの購入を求める。通常、このツールは暗号化解除のための特殊なキーを用いており、それを入手する方法としてビットコインなどの仮想通貨で支払いが要求されることが多い。

具体例として、2017年に発生した「WannaCry」ランサムウェア攻撃がある。この攻撃は、約150カ国の200,000台以上のコンピュータに被害をもたらし、大規模な混乱を引き起こした。これにより、多くの組織が多額の身代金を支払ったが、データは完全には復元されなかった。

ランサムウェアの被害と影響

ここまで述べてきたように、ランサムウェアは企業や個人に多大な被害をもたらす可能性があるマルウェアである。起き得る被害について、もう少し詳しく見ていこう。

業務・サービス停止のリスク

ランサムウェアの攻撃により業務やサービスが停止するリスクは極めて高い。このリスクは単なる業務効率の低下に留まらず、経済的な損失や顧客からの信頼失墜にも直結する。例えば、医療機関がランサムウェア被害にあった結果、重要な患者データにアクセスできなくなり、診療等の業務が困難になったケースもある。営利団体ばかりが狙われるわけではないことは肝に銘じておきたい。

また、製造業の場合、生産ラインが停止することにより、納期遅延や品質保証の問題が発生する。これにより、取引先との信頼関係が壊れたり、長期的なビジネスチャンスを失ったりという影響が考えられる。

どのような業種にせよ、ランサムウェア攻撃を受けた企業の多くが業務再開までに数週間～数カ月を要している。また、一時復旧後も完全な業務環境の復元に時間がかかることが多い。

情報漏えいのリスク

情報漏えいのリスクは企業にとって最も深刻な問題の1つだ。ランサムウェアによる攻撃では、単にデータが暗号化されるだけでなく、攻撃者がそのデータを持ち出し、第三者に売却することもある。つまり、企業の機密情報や顧客データが不正に利用される可能性があるのだ。

具体例として、2017年に発生したWannaCryやNotPetyaといったランサムウェアによる攻撃では、多くの企業が業務に大きな影響を受け、経済的被害だけでなく、ブランドの信用失墜にもつながっている。情報漏えいに対する策としては、平時からのデータ暗号化、パスワード管理の強化、最小権限の徹底等が有効である。

ランサムウェアからの防御と対策

ランサムウェア攻撃から組織を守るためには、複数の防御手段を組み合わせて総合的な対策を講じることが不可欠である。以下に、主な対策について説明しよう。

基本的な予防策

ランサムウェアからシステムを守るための基本的な予防策として、まず、VPN装置やソフトウェア、OSを常に最新の状態に保つべきだ。これにより、既知の脆弱性を悪用されるリスクを減少させることができる。

次に、強固なパスワードを使用することが推奨される。また、多要素認証（MFA：Multi-Factor Authentication）を導入することで、初期侵入のリスクを一層軽減させることができる。

さらに、定期的なデータのバックアップを実施することも効果的だ。攻撃を受け、データが暗号化されてしまったとしても、バックアップデータがあれば復旧ができる可能性が高くなる。

具体的なバックアップの方法にはいろいろあるが、定石とも言える「3-2-1ルール」は頭に入れておくべきだろう。プライマリデータ＋2つのバックアップデータで常に3つのコピーを用意し、バックアップデータは2つ別々の媒体に保存、うち1つはオフサイトに保管するというものだ。オフサイトは、できれば地理的に離れた災害の影響が少ない場所が望ましい。

また、バックアップの頻度や自動化も重要である。毎時、毎日、毎週、毎月など、バックアップスケジュールを適切に設定することで、復旧時のデータロスを最小限にすることができる。

加えて、従業員へのセキュリティ教育も欠かせない。フィッシングメールや不審なリンクを識別するためのトレーニングを実施し、従業員全員がリスクの認識と対策を共有することが大切である。

エンドポイントセキュリティの重要性

エンドポイントセキュリティは、サイバー攻撃が複雑化し増加する現代において、企業に不可欠なものの一つである。ここで言うエンドポイントとは、社員が使用するノートパソコンやスマートフォン、タブレットなどの端末を指す。多くの初期侵入がメールの添付ファイルやリンク経由でエンドポイントを狙ってくるので、エンドポイントセキュリティの強化は、脅威への対抗手段の一つとなる。

例えば、多くのエンドポイントセキュリティ用のソフトウェアでは、リアルタイムでのウイルススキャンや、ファイアウォール、暗号化技術、そして行動ベースの検出メカニズムなど多層的な防御策が提供されている。

また、社外でデバイスを使用する従業員が安全なネットワークを使用しているかどうかを監視する取り組みも有効検討するべきだろう。

ランサムウェアに感染した場合の対応策

ランサムウェアへの感染が発生した際には、迅速かつ効果的な対応が必要である。初動対応が遅れると、被害が拡大し、復旧にかかるコストや時間が増加するリスクが高まるため、具体的な対応策を押さえておきたい。

封じ込めと感染の根絶

ランサムウェアにに限らず、マルウェアに感染した際、最初に行うべきステップは感染の封じ込めである。感染が広がる前に該当デバイスをネットワークから切り離し、影響範囲を最小限に抑えることが重要だ。このため、感染を疑われるデバイスは直ちにオフラインにし、ネットワークに接続する全デバイスのチェックを行うべきである。

次に、感染経路を特定し、さらに感染が拡大しないようにする手段を講じる必要がある。例えば、特定のメールやファイルから感染が広がった場合、そのソースを完全に排除し、同様の手口による侵入を防ぐためのフィルタリングを強化することが推奨される。

封じ込めが完了したら、感染の根絶に取り組む必要がある。まずはリアルタイムのセキュリティスキャンを実施し、感染している可能性のあるファイルやプログラムを特定してアクセスをブロックする。

企業に求められるランサムウェア対策

ランサムウェアは、現代のデジタル社会において非常に深刻な脅威である。本稿では、ランサムウェアの概要とその多様な攻撃手法、そして対策方法について詳述した。

ランサムウェアの特徴を理解した上で、感染経路と攻撃手法を把握すること、そのうえで、初期侵入を簡単に許さない環境づくりや内部活動監視の強化が欠かせない。また、エンドポイントセキュリティの整備や、定期的なバックアップといった基本的な予防策も不可欠であることがお分かりいただけたはずだ。

さらに、本稿で述べた初動対応と封じ込めの方法は、実際に感染が発生した際に被害を最小限に抑えるための重要な手順である。感染してしまった場合に備え、影響範囲の特定と駆除を迅速に行える環境も日頃から整えておきたい。

ランサムウェアの脅威は進化を続けている。企業や組織は、その脅威に対する免疫力を継続的に強化していかねばならないことを強く肝に銘じておくべきだろう。

セキュリティ関連の注目ホワイトペーパー

東亞合成が見据える次世代のセキュリティ対策～マイクロセグメンテーション技術とは～
SASEを導入した組織が直面する課題とは。なぜSWGやCASBの機能を最大限に生かせないのか
セキュリティを確保するためのヒント57を公開。あらかじめ十分な防御体制を敷いておくには
自治体が業務でクラウドサービスを利用するにあたり、求められるセキュリティ対策とは

セキュリティの基本を知る! オススメ記事

ランサムウェアにどう対応すべきか、実践方法をレクチャー
【マルウェア対策ガイド】感染経路やリスク、予防策を指南
EDR、MDR、XDRとは? 押さえておきたいセキュリティのキーワードを解説
エンドポイントセキュリティの基本を解説 - リスクを減らすためにすべきこととは
ゼロトラストを基本から解説! “誰も信頼しない”セキュリティとは?
ネットワークセキュリティを高めるには? 押さえておきたいSASEの基本
セキュリティ強化のために知っておきたいサイバー攻撃 - 動向と対策
知っておきたいサイバー攻撃 - 動向と対策
情報資産を守るために必要なネットワークセキュリティの基本
今、製造業が考えるべきセキュリティ対策とは?
ランサムウェア対策の基礎知識 - 感染経路、対策、発覚後の対応
AIを悪用したサイバー攻撃にいかに対処すべきか
フィッシング攻撃とは - 主な手法やリスク、最新の対策方法を徳丸氏が解説
OWASP Top 10からひも解くリスクを専門家が解説 - Webセキュリティ担当者必見!
OWASP Top 10 for LLM Applicationsから見る、LLMにおけるセキュリティリスクとは
DDoS攻撃とは - 攻撃手法から対策まで、セキュリティの専門家が解説

ランサムウェアにどう対応すべきか、実践方法をレクチャー

目次