ランサムウェア対策の基礎知識 - 感染経路、対策、発覚後の対応

ランサムウェアによるサイバー攻撃が増加するなか、企業はどのような対策を講じるべきか。本稿では、EGセキュアソリューションズ取締役 CTO/情報処理推進機構（IPA）非常勤研究員/技術士（情報工学部門）の徳丸浩氏に、ランサムウェアの概要や主な感染経路、有効なセキュリティソリューションなどについて伺った。

EGセキュアソリューションズ取締役 CTO/情報処理推進機構（IPA）非常勤研究員/技術士（情報工学部門）の徳丸浩氏

ランサムウェアとは

ランサムウェアはそもそも、マルウェア（悪意のあるソフトウェアやコードの総称）の一種として知られてきた。感染するとコンピュータがロックされたり、データが暗号化されたりしてアクセスできなくなり、元に戻すために身代金（ランサム）を要求される。つまり、マルウェアの中でも脅迫により金銭を得ることを目的としたものを指していた。

だが昨今では、社内ネットワークなどへ外部から侵入してデータを暗号化したり、データを窃取して公開しない代わりに金銭を要求したりといったパターンも登場している。そのため、ウイルスを使用するか否かにかかわらずネットワークに侵入・攻撃し、脅迫するものを広くランサムウェアと呼ぶことが増えている。

ランサムウェアによる攻撃は増加の一途をたどっており、徳丸氏によると、公開前のウェブサイトや開発環境が攻撃された例もあるという。開発環境下であれ、（本来は好ましくないが）テストデータとして本番データが入っているケースもあり、その場合は、情報漏えいにつながる可能性もある。

例えば、2024年10月には京セラコミュニケーションシステムが奈良県斑鳩町立図書館のシステムサーバーがランサムウェアに感染したことを公表した。この件ではシステムの導入作業において、システム環境構築中のサーバーへのアクセス設定に不備があり、ログインID・パスワードが解析され、外部からの不正アクセスが発生したという。

ランサムウェア攻撃の分業化

同氏が近年のランサムウェア攻撃の特徴として挙げたのは、「分業化」だ。攻撃を行う側が、「侵入経路を見つける組織（個人）」、「ツールや攻撃ノウハウを提供する組織（個人）」、そして「実際に攻撃を行う組織（個人）」と分業するケースが増えているのだという。

その際、VPN機器の脆弱性がある端末などの侵入経路を探し、IPアドレスと侵入方法、あるいは侵入して入手したID、パスワードを渡す組織（個人）を「IAB（Initial Access Broker）」と呼ぶ。また、ツールや攻撃ノウハウを提供する組織（個人）は「RaaS（Ransomware as a Service）プロバイダー」と呼ばれ、提供されたツールを利用して「アフィリエイト」が実働部隊として攻撃を実行する構成になっている。

ランサムウェアの感染経路

ランサムウェアの感染経路について徳丸氏は「そのトレンドは変化している」と話す。

以前主流だったのは、電子メールに添付されたMicrosoft Officeファイルなどを経由してウイルスに感染させる手口だ。ユーザーが添付ファイルを開くことで埋め込まれたマクロやスクリプトが起動し、これがウイルスに感染する引き金となる。

しかし、この手口が広まったことで、Microsoftも自社製品のセキュリティを強化するなど対策を実施しており、ユーザー側も、「不審な添付ファイルは開かない」といった社内教育を徹底する企業が増えた。その結果、添付ファイルを初期侵入のきっかけとする手口は減少している。

現在主流となっているのはVPN機器の脆弱性を突いて侵入するパターンだ。同氏は「コロナ禍で在宅勤務などが増えたことが、この手口が増加した理由ではないか」と分析する。

また、「VPN機器だけでなく、リモートデスクトップ用の機能『Remote Desktop Protocol（RDP）』経由の感染も意外と多い」のだという。通常の環境であれば、RDPがオープンな状態で有効になっていることはないが、例えば、「VPNの準備が整っていないのでRDPを開放して社外からアクセスできる環境を作る」など、何らかの理由でRDPとポートが開かれたままになってしまうことが考えられるそうだ。その状況で攻撃者がサーバーにアクセスして侵入するといったケースが少なからずあるという。

そのほか、SIMカードを挿して通信できるノートPCにおいて固定のグローバルIPアドレスが割り当てている場合に危険性が高まる。グローバルIPアドレスが判別されたうえでRDPが有効になっていると、IDとパスワードさえ突破できればRDPでPCを操作されてしまう。

このような手口では、1台のパソコンをいったんマルウェアに感染させ、そのパソコンが社内ネットワークに接続された際に、ラテラルムーブメント（水平展開）をし、ネットワーク全体に感染を広げるため、被害の拡大が予想される。

ランサムウェア攻撃への対策

では、ランサムウェア攻撃の被害に遭わないためには、どのような対策が考えられるのか。

初期侵入への対策

徳丸氏は初期侵入の手口により、取るべき対策は異なるとしたうえで、VPN機器の脆弱性に関しては、必要に応じてパッチを当てることが重要だとした。また、VPNに用いるIDやパスワードを強固なものにすることも有用だという。

リモートデスクトップを利用する場合は、「ポートを外部公開しないことが重要」だと同氏は力を込めた。また、VPN機器と同様に、IDやパスワードを強固なものにするという「当たり前のことをしましょう」と語る。

一方で徳丸氏が「厄介だ」と述べたのは、メール添付型への対策である。ビジネスにおいて必要な情報を添付ファイルで送るシーンが非常に多いため、ファイルを開くことを禁止したり、添付すること自体を制限したりすることは難しい。また、セキュリティポリシーに基づき、何かしらの制限をかけたとしても、取引先を装ったメールなどをつい開いてしまうことは十分に考えられる。

同氏によると、メール添付型の場合、Microsoft Officeではセキュリティが強化されているため、添付ファイルを開くだけで感染することは少ないのだという。問題なのは、開いた後に、マクロを有効にする操作をしてしまうことだ。

ここで言う「マクロを有効にする操作」とは、「コンテンツの有効化」ボタンのクリックである。これを不用意に有効化することで、感染が始まるわけだ。よく考えずに有効化してしまうこともあれば、メールや添付ファイル内に記された有効化を促すメッセージに素直に従ってしまう人も少なくない（特に日本人は素直に従いやすいという）。対策として、まずは従業員に徹底したセキュリティ教育を行い、このような攻撃の手口を周知しておくことが大切だという。

また、EDR（Endpoint Detection and Response）ソリューションの導入も効果的だと徳丸氏は説明する。EDRは仮にマクロが動き出してしまったとしても、その後の挙動を検知し、ネットワークを隔離するなどの対策をとる。EDRはパソコンや一部のサーバーなどのエンドポイントを保護するものだが、その範囲をネットワークやクラウド環境まで広げたソリューションとして、XDR（Extended Detection and Response）もある。

昨今、大手企業の下請け企業がランサムウェアに感染し、そこから情報が洩れるという事案も増えている。徳丸氏は「すでにやり取りのある下請け企業にEDRを導入してもらうというのは、現実的には難しい」としたうえで、「とはいえ今後は、EDR を含めたセキュリティ対策の有無が発注先の選定に影響するようなケースも増えるかもしれない」と見解を示した。

ラテラルムーブメントへの対策

初期侵入したパソコンなどを足掛かりに、同一ネットワーク内の他のパソコンなどへ感染を広げるラテラルムーブメントへの対策についてはどうか。これも、脆弱性へはパッチを当てる、安易なIDやパスワードを使用しないといった基本的な策や、前述のEDRが有効であることは他の攻撃への対策と同様だ。

その他にも、徳丸氏はいくつかの対策を示した。1つは、ネットワークをできるだけ区分けすることである。過去には、海外の子会社がランサムウェア攻撃を受けたことがきっかけで、グローバルな企業ネットワークを通じ、親会社に感染が広がった事案もある。そのため、Active Directoryを分け、相互のアクセスを最低限にするなど、できるだけ厳しく制限をかけることも有効だという。昨今導入が進むゼロトラストでも、ネットワークを細分化してユーザーIDごとにトラフィックなどを管理する「マイクロセグメンテーション」が重要視されている。とはいえ、導入が大がかりになることから、実施に踏み切るのが難しいという課題もある。

また、ランサムウェアへの対策として同氏が強調したのが、バックアップをしっかりとること、とれていることをきちんと確認することだ。初歩的ながら、「バックアップをしていたつもりだったが、うまくできていなかった」といったケースは意外とあるのだという。

バックアップは「3-2-1ルール」にのっとった実施が推奨される。これは、3つのバックアップをとり、2つの異なるメディア（手法）で保存し、1つは別の場所に保管するという考え方だ。徳丸氏は、「別の場所」に関して、ネットワークから隔離されたオフラインバックアップで保存をする、変更・削除ができないイミュータブルなバックアップ方式を使うといった手法を示した。

最後に、忘れがちなのが、訓練である。ランサムウェア攻撃や大規模災害を想定した復旧訓練を行うことを、同氏は強く薦めた。実際に訓練をしてみると、設定の問題でバックアップが足りていなかったり、とれていると思っていたデータがとれていなかったりという問題も洗い出せる。バックアップするだけでなく、データをきちんと戻せるところまでを確認することが大事なのだ。

ランサムウェア感染後の一時対応

対策を入念に行っていても、ランサムウェアに感染する可能性はある。では実際に感染した場合、まずどうすべきなのか。徳丸氏は「対策状況や導入ソリューションの種類によって、どうするかは変わる」としたうえで「ネットワークから隔離するかどうかも含め、あらかじめ自社でどのように動くのか、ポリシーとして決めておくべき」だと続けた。

ポリシーに沿った初期対応をした後は、専門家とともに、侵害状況の確認や端末およびデータの修復などに着手することになる。

ランサムウェア対策のトレンド

最後に、徳丸氏にランサムウェア対策のトレンドについて伺った。注目すべきは「ZTNA（Zero Trust Network Access）」である。これはゼロトラストに基づいたアクセス制御の概念であり、VPN機器や外部公開するグローバルIPアドレスが不要となる。どこからどこへネットワークを接続するかなどを細かく制御できるため、より安全性が高まるという。さらに、クラウドへの接続となるため、アクセスポイントを企業側で保有する必要がない点もメリットだ。現状、ランサムウェアの主な感染経路がVPN機器とRDP経由であることを考えると、有益な手段だと言えるだろう。

また、同氏は個人的な見解としつつ、一部のVPN機器が自動アップデートに対応していることから「VPN機器のソフトウェアを自動アップデートにすべき」だと述べた。まれに更新プログラムの不具合などで機器が動作しなくなるというリスクも考えられるが、それ以上に「ランサムウェアに感染するほうがより被害が大きい。更新プログラムの問題でもネットワークが止まる可能性があるが、こちらはベンダーの対応で復旧できる可能性が高い。同じように止まるリスクはあるものの、被害の重大性を考えたら、自動アップデートを選択するべき」とした。

*　*　*

近年増加の一途をたどるランサムウェアによるサイバー攻撃に備え、基本的な対策をとることが企業には求められている。徳丸氏の見解を参考に、改めてランサムウェアへの対策を熟考したい。