近年、デジタル技術の加速度的な高度化に伴い、マルウェアや不正アクセスの手口が巧妙化しています。とくにセキュリティインシデントの事例として増加しているのがランサムウェア攻撃です。本記事では、ランサムウェアの主な感染経路や対策について解説します。情報セキュリティの強化について検討している方は、ぜひご一読ください。
ランサムウェアの感染経路6選
ランサムウェアとは、不正な手段を用いてシステムをロックする、あるいはデータやファイルを暗号化し、復旧する代償として身代金の支払いを要求するマルウェアです。独立行政法人情報処理推進機構(IPA)の調査によると、組織レベルの情報セキュリティにおいて「ランサムウェアによる被害」が第一位の脅威に挙げられています。
参照元:独立行政法人情報処理推進機構(IPA)|情報セキュリティ10大脅威 2023(p.6)
従来のランサムウェアはフィッシングメールを無差別に送付する「ばらまき型」が主流でしたが、近年は特定の組織をターゲットとする「標的型」へと手口が変化しています。ランサムウェアの主な感染経路として挙げられるのが以下の6つです。
1. メールの添付ファイル・リンク経由
メールを介したランサムウェアの主な感染経路として、顧客や取引先になりすますフィッシングメールが挙げられます。関係者を装って請求書や不在通知といった形式でメールを送付し、ランサムウェアが仕込まれた添付ファイルをダウンロード、もしくはリンクのクリックをさせることによって感染するパターンです。
とくに実行ファイルの「.exe」や圧縮ファイルの「.ZIP」、旧型式のWordファイルである「.doc」のような拡張子は不正プログラムが仕込まれている可能性があるので警戒しなくてなりません。また、HTML形式のメールに不正なJavaScriptを埋め込み、ユーザーが閲覧した際にスクリプトが実行されてランサムウェアに感染するパターンもあります。
2. Webサイトの閲覧
Webサイトのブラウジングも感染経路のひとつであり、代表的な手法として挙げられるのがドライブバイダウンロード攻撃です。ドライブバイダウンロード攻撃は、攻撃者が作成した不正なWebサイトや偽装サイト、または攻撃者に改竄された正規のWebサイトを閲覧したユーザーに対し、不正なプログラムを自動的にダウンロード・インストールします。
改竄された正規のWebサイトを見破るのは困難ですが、不正サイトや偽装サイトはURLがSSL化されていない、または見慣れないドメインが使用されていることが多いといった特徴があります。また、Web広告に不正な方法でリダイレクトのURLを仕込み、悪意あるWebサイトに転送するマルバタイジングと呼ばれるサイバー攻撃の被害も少なくありません。
3. ソフトウェア・ファイルのダウンロード
ソフトウェアのダウンロードも感染経路のひとつです。オンライン上では無料で利用できる画像編集ソフトやメディアプレーヤー、フォントといったフリーソフトが数多く提供されています。こうしたソフトウェアに不正プログラムが仕込まれており、ダウンロードや起動によってランサムウェアに感染するケースが見られます。
とくに知名度の低い海外のWebサイトや、違法コンテンツを無料で提供しているWebサイトには注意が必要です。ソフトウェアをダウンロードする場合は、信頼性の高い大手企業や正規メーカーの配布サイトの利用が推奨されます。ただし、こうしたWebサイトも改竄によって不正なプログラムが仕込まれている可能性がある点には留意しなくてはなりません。
4. USBやHDDなどの外部端末の接続
USBやHDDなどのリムーバブルメディアも感染経路となります。代表的な事例がUSBを経由した感染です。USBメモリをPCに接続すると、autorun.infというファイルの実行機能によってインストーラーが自動的に立ち上がります。PCがランサムウェアに感染している場合、この仕組みを介してUSBメモリに不正プログラムがコピーされます。
そのUSBを別のPCに接続するとautorun.infが起動し、自動実行機能によってPCがランサムウェアに感染するというのが基本的な流れです。そして感染したPCにUSBを接続すると不正なプログラムがコピーされ、そのUSBを経由して別のPCがランサムウェアに感染するという悪循環に陥り、組織全体にセキュリティインシデントが拡大していきます。
5. VPN機器の脆弱性を狙った攻撃
近年、リモートワークの普及に伴って増加しているのが、VPN機器の脆弱性を狙ったサイバー攻撃です。VPN(Virtual Private Network)とは、インターネット上に仮想の専用線を構築し、セキュアなネットワークを実現する仕組みを指します。とくにリモートワーク環境のセキュリティを強化する上で欠かせない機能のひとつです。
ネットワークセキュリティの強化に欠かせないVPNですが、その仮想専用線を整備する機器そのものに未修正の脆弱性がある、あるいは認証方式や各種設定に不備がある場合、ランサムウェアの感染経路となり得ます。警視庁が公開しているデータによると、2022年におけるランサムウェアの感染経路はVPNからの侵入が全体の約6割を占めています。
参照元:警視庁|令和4年におけるサイバー空間をめぐる脅威の情勢等について(p.5)
6. リモートデスクトップのセキュリティホール
リモートデスクトップの脆弱性もランサムウェアの代表的な感染経路です。リモートデスクトップとは、遠隔地のPCにネットワーク経由でアクセスし、手元の端末を使用して操作する技術を指します。リモートデスクトップを活用することで自宅のPCを介してオフィスのPCを遠隔操作できるため、リモートワーク環境に欠かせないソリューションのひとつです。
このリモートデスクトップに脆弱性が発見された場合、サイバー攻撃の対象となり得ます。代表的な例としては初期設定のまま変更していないポート番号、推察されやすい単純なIDやパスワードといった要素です。リモートデスクトップに侵入された場合、各種システムへのアクセス権限を取得できるため、社内LAN全体がランサムウェアに感染する可能性が懸念されます。
そもそもランサムウェアとは?
冒頭で述べたように、ランサムウェアは不正な手段で端末を使用不能な状態にし、ロックを解除する代償として身代金を要求するマルウェアです。「Ransom(身代金)」に「Software(ソフトウェア)」の一部を加えた名称が由来であり、その性質から「身代金要求型不正プログラム」とも呼称されています。
コンピュータがランサムウェアに感染した場合、システムのロックやファイルの暗号化によって機能が制限され、事業活動に多大な支障をきたすとともに、ファイルの窃取や機密情報の漏洩といったセキュリティリスクに晒されます。さらに自社を踏み台として顧客や取引先のシステムに侵入される可能性も否定できません。
ランサムウェア攻撃は不特定多数に送信するばらまき型と、特定の組織をターゲットとする標的型に大別されます。先述したように、近年は企業を対象とする標的型が主流となっているものの、依然として個人がばらまき型の被害に遭うことも少なくありません。
【年代順】ランサムウェアの種類
ランサムウェアには複数の種類があり、デジタル技術の進歩・発展とともに凶暴性が増しているのが大きな特徴です。ここではランサムウェアの種類について年代別に紹介します。
2013年|CryptoLocker(クリプトロッカー)
CryptoLockerはランサムウェア攻撃の手口に大きな変化をもたらしたとされるマルウェアです。この年代以前のランサムウェアは、端末上に暗号鍵が保存されているケースが多く、被害者による復旧が可能な場合がありました。CryptoLockerは外部のC&Cサーバを介して暗号化するため、被害者が暗号鍵にアクセスできない仕様となっています。
2014年|CryptoWall(クリプトウォール)
CryptoWallはCryptoLockerの亜種に該当するランサムウェアです。Cryptoのランサムウェアは身代金の支払いにGUI(Graphical User Interface)を利用するのが一般的です。しかしCryptoWallはトラフィックを匿名で送受信できるTor(The Onion Router)を介するため、攻撃者の追跡が困難という特徴があります。加えて、信頼できるソフトウェアを装うためにデジタル署名を使用します。
2015年|TeslaCrypt(テスラクリプト)
TeslaCryptはPCに保存されているゲーム関連のデータを暗号化し、身代金として暗号資産の支払いを要求するランサムウェアです。フィッシングメールや不正なWebサイト経由で感染を拡大させたものの、現在では開発者がマスターキーを公開したことでTeslaCryptの脅威は終息に向かいつつあります。
2016年|Locky(ロッキー)
Lockyは、主にフィッシングメールに添付された不正なファイルを介して感染するランサムウェアです。メールに添付されたZIPファイルやdocファイルを開くと、組み込まれたマクロやJavaScriptによってランサムウェアの実行ファイルがダウンロード・インストールされ、PC内のさまざまなファイルが不正に暗号化されます。
2017年|WannaCry(ワナクライ)
WannaCryは2017年に世界的規模で流行したランサムウェアです。通信プロトコルのひとつであるSMB1の脆弱性を突き、ネットワークを経由してランサムウェアに感染する仕組みとなっています。自己増殖が可能なワームの特徴を有するランサムウェアであり、攻撃開始から24時間で全世界30万台以上のコンピュータに感染する被害をもたらしました。
2023年|ノーウェアランサム
ノーウェアランサムは端末のロックやファイルの暗号化ではなく、窃取したデータの公開と引き換えに身代金の支払いを要求するランサムウェアです。2023年に新しく発見されたランサムウェアであり、従来型のように暗号化されないという特徴から、警視庁によって「ノーウェアランサム」と名付けられました。
参照:警視庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
ランサムウェアに感染した場合の被害は?
ここからは、より具体的にランサムウェアの被害についてまとめます。先述のとおり、ランサムウェアに感染したPCのハードディスクが暗号化されたり、ファイルへのアクセス権が失われたりすることが基本的な被害です。PCの初期化が勝手に実行されることもあります。
今日のランサムウェアは「ばらまき型」と「標的型」に大別され、具体的な攻撃方法は「暗号型」か「ロックスクリーン型」の二種類に分けられます。それぞれ次のような特徴があるので覚えておきましょう。
暗号型はハードディスクやファイルを勝手に暗号化し、解除するために身代金を要求します。ロックスクリーン型は標的PCをロックし、ブルースクリーンで停止させて操作不可能とすることで、中のファイルやPCを人質に取ります。
ほかにも「ロックしたように見せかけるタイプ」や「PCを初期化し、その復旧と引き換えに身代金を要求するタイプ」もあります。
こうしたランサムウェアによる被害が大企業・中小企業で頻発する中で、2020年末、経済産業省商務情報政策局サイバーセキュリティ課は、犯人側へ金銭を支払う行為は厳に慎むべきとの基本方針を公示しました。身代金を支払ったからといって、ファイルやPCが元通りになるとは限らず、また支払われた身代金はさらなるサイバー犯罪の資金源となってしまうからです。
参照:経済産業省|最近のサイバー攻撃の状況を踏まえた経営者への注意喚起(p.7)
ランサムウェアの感染対策
それでは、ランサムウェアのリスクを最小限に抑えるためにはどうすればいいのでしょうか。日頃から確実に実践しておきたい4つの基本対策を紹介します。
OS・ソフトウェアのアップデートを行う
OSやソフトウェアのアップデートはセキュリティ対策の基本です。デジタル技術の高度化に伴って多様化するサイバー攻撃に対応すべく、ITサービス事業者は常に脆弱性の修正や不具合の改善に努めています。
OSやソフトウェアのセキュリティホールは、ランサムウェアの代表的な感染経路です。そのため、OSやソフトウェアを常に最新の状態に保つよう全社的な周知徹底を図る、あるいはアップデートの自動更新をオンにするなど、基本的なセキュリティ対策を怠らないことが大切です。
メールの添付ファイル・リンクに注意する
ランサムウェアの感染を防止するためには、メールの取り扱いに配慮が必要です。添付ファイルの反射的な開封やリンクの不用意なクリックに注意するとともに、迷惑メールフィルターや送信ドメイン認証を詳細に設定するといった対策が求められます。
顧客や取引先からのメールであっても不審な点が見受けられる場合は慎重に対処し、ファイルの拡張子やURLのドメインを確認することが大切です。さらに、ファイルを共有する際には、メールではなくBoxなどのクラウドストレージを利用することで、不審なファイルやリンクを開く機会が少なくなり、ランサムウェアの感染リスクを減らせます。また、こちら側が添付ファイルを送信する場合は、「誤送信バスター for Box」の自動リンクオプションも活用することで、外部とのセキュアなファイル共有を実現できます。
ウイルス対策ソフトを導入する
ランサムウェアの被害を最小限に抑えるためには、マルウェアの検知や不正アクセスの遮断に特化したウイルス対策ソフトが必要です。例としてはPCやスマートフォンといったエンドポイントでマルウェアのパターンを検知する、または不正アクセスによって侵入された場合に攻撃を遮断・無効化するソフトウェアが挙げられます。
データやファイルの保管には、Boxのようなクラウドストレージの利用を推奨します。クラウドストレージは端末と切り離されているため、ランサムウェアからバックアップデータを守りやすいことが特長です。一Box Shieldにはマルウェアの自動検知と制御機能が搭載されており、Box上でマルウェアが検知されるとアラートが届く仕組みとなっています。さらに機械学習によって脅威の検知精度が強化されるため、自社で保有するデータやファイルの安全性を担保できます。
バックアップを取っておく
ランサムウェアの恐るべき点のひとつは、事業活動の継続性が脅かされる点にあります。そこで重要な課題となるのがバックアップ体制の整備です。ランサムウェアに感染したPCはほぼ使用できない状態となりますが、バックアップの確保によって事業活動の継続性を確保できる可能性が高まります。
ただし、バックアップサーバがランサムウェア攻撃の対象となるケースが多々見られます。そのため、バックアップデータの書き換えを防止するイミュータブルバックアップ機能が搭載された製品を活用する、あるいはBoxのようなクラウドストレージとオンプレミス型のサーバを併用してバックアップを取るといった対策が必要です。
ランサムウェアに感染してしまった場合の対処法
ランサムウェアの感染が判明した場合、代表的な対処法として挙げられるのが以下の3つです。
端末をネットワークから切り離す
ランサムウェアに感染してしまった場合に優先すべきは感染拡大の防止です。有線接続ならPCからLANケーブルを抜線し、Wi-Fi接続ならルーターの電源をオフにした後、ネットワークとの接続を物理的・論理的に切り離します。それによってほかの端末や社内LANへの感染拡大を防ぎ、セキュリティインシデントによる被害を最小限に抑えることが可能です。
ただし、ネットワークとの接続が遮断されることで端末の状態が変化し、CPUのキャッシュやメモリの状態といったフォレンジック調査に必要なデータの取得が困難になる可能性があります。感染拡大を防止するためにはネットワークからの隔離が必要ですが、それによって失われる情報がある点に注意が必要です。
組織のセキュリティガイドラインに従う
個人情報や機密情報を取り扱う事業者はデータを適切に取り扱う責任があり、厳格なセキュリティガイドラインの策定が求められます。ランサムウェアに感染した場合はセキュリティガイドラインの方針に従うことで、全社レベルで統一された的確かつ迅速な対応ができます。
現状においてセキュリティガイドラインが策定されていない場合、総務省が公表している「テレワークセキュリティガイドライン」や「クラウドサービス提供における情報セキュリティ対策ガイドライン」、またはIPAの「中小企業の情報セキュリティ対策ガイドライン」を参考にするのがおすすめです。
参考:総務省|クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
参考:独立行政法人情報処理推進機構(IPA)|中小企業の情報セキュリティ対策ガイドライン第3.1版
身代金要求には応じない
ランサムウェアに感染すると、多くの場合はPCの画面に身代金を要求する脅迫文が表示されます。しかし、これに応じないよう注意が必要です。ロックされた端末や暗号化されたファイルの解除は困難ですが、攻撃者に身代金を支払っても復旧する保証はありません。
また、攻撃者がコンタクトを要求してくるケースがあるものの、直接的なやり取りは避けるべきです。ランサムウェアに感染してしまった場合、身代金の支払い要求やコンタクトに応じるのではなく、都道府県警察本部のサイバー犯罪相談窓口やセキュリティインシデントの専門家への相談が推奨されます。
まとめ
ランサムウェアとは、不正なプログラムによって端末を使用不能な状態に陥れ、解除と引き換えに身代金の支払いを要求するマルウェアです。代表的な感染経路として、「メールの添付ファイルやリンク」「不正なWebサイトの閲覧」「ソフトウェアのダウンロード」「リムーバブルメディアの接続」「VPN機器の脆弱性」「リモートデスクトップの脆弱性」の6つが挙げられます。
ランサムウェアに感染した場合、端末をネットワークから切り離し、組織のセキュリティガイドラインに従うことが大切です。また、身代金を支払ってもコンピュータが復旧する保証はないため、原則として攻撃者の要求に応じてはなりません。ランサムウェアの感染を防止するためには、厳格なセキュリティガイドラインとセキュリティポリシーを策定するとともに、優れたITシステムの戦略的活用が求められます。
Boxは、ランサムウェアの感染防止に寄与するソリューションのひとつです。Boxは世界標準のセキュリティに準拠している容量無制限のクラウドストレージであり、そのオプションであるBox Shieldにはマルウェアの自動検知や制御機能が搭載されています。企業にとって重要な経営資源である情報を効率的に管理するとともに、マルウェアや不正アクセスなどの脅威から保護したい方は、Boxの導入をご検討ください。
