ランサムウェアは、国内外の企業で深刻な脅威をもたらしています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2024」によれば、ランサムウェア攻撃の脅威は2016年以降9年連続で1位にランクインするなど、その被害規模や影響範囲の大きさが伺えます。攻撃者が企業の機密データやシステムを暗号化して使用不能にし、復旧と引き換えに金銭を要求する手口は、経済的損失に加えて業務の停滞や社会的信用の失墜など、大きなリスクを伴うものです。
事実、2023年のランサムウェア攻撃からの復旧コストは平均約4億円以上に達しており、前年から大幅に増加しています。また、企業が身代金として支払った額は平均約6億円以上に上るとの報告もあり、多くの企業が大規模な経済損失に見舞われました。
このような状況下において、ランサムウェアへの対策が求められています。必要なのは、感染を防ぐための強固なアクセス管理と、感染後のデータ復旧を迅速に行えるバックアップ体制です。そこで注目すべきソリューションが、ソリトンシステムズの「Soliton OneGate」と「VVAULT」です。
Soliton OneGateは、オンプレミス環境やクラウドサービスなど、企業が使う様々なシステムを不正アクセスから守る多要素認証などを可能にします。また、VVAULTが、PCにマウントできる複数のストレージを仮想ドライブに集約して、大容量の仮想ストレージを簡単に構築・管理できる技術と、ランサムウェア攻撃を早期に検知してブロック・修復を可能にする技術を提供します。
これら2つを組み合わせた環境を構築すれば、ランサムウェア攻撃を未然に防ぎ、仮に感染した場合にも迅速な対応が可能です。企業の「データ」と「業務の継続性」を守るセキュリティ基盤の構築には、ソリトンシステムズのソリューションをご検討ください。
「Soliton OneGate」と「VVAULT」についての具体的な機能や導入事例を詳しく知りたい方は、以下公式サイトをぜひご覧ください。
国内で食品製造業を営む企業がランサムウェアに感染し、財務会計システムが暗号化されました。システムは操作不能となりましたが、幸いにも定期的なバックアップを実施していました。しかし、バーション管理が不十分であったため、最新の財務データを復元することができません。結果、決算報告書の提出に大幅な遅延が発生したほか、金融機関からの融資審査にも影響を及ぼしました。また、失ったデータを再入力するための人件費や、業務遅延による顧客の信頼低下など、大きな損失が出たのです。
この事例では、データのバックアップをしておくことはもちろんですが、バージョン管理の徹底が必要であることも示しています。業務におけるデータの管理体制を見直し、ランサムウェアを防御すると同時に、感染後の対策を強化することが不可欠だといえます。
実際に対策を強化したお客様の事例をご紹介します。
トヨタ部品北海道共販株式会様は、膨大な種類のカタログを電子カタログとしてデータで保存していますが、その量は相当なもので、容量削減のために古いデータを消去するなどの課題がありました。また、2018年ごろには、年数の経過もありファイルサーバーやNASのリプレースを検討。
新たなファイルサーバーに求める要件は、拡張性と既存データの容易な移行、セキュリティやコンプライアンス強化ができるものです。そこで導入を決定したのが、同社の要件をすべて備え、さらにランサムウェア対策もできるソリトンシステムズの「VVAULT」でした。
VVAULTは、既存のファイルサーバーやNASをストレージ仮想化機能で統合できるため、拡張性を実現できます。また、詳細なアクセスログ管理機能でコンプライアンス要件をクリア。特に、保存されているファイルを過去の任意のタイミングまで巻き戻せる「タイムマシーン機能」は、万が一ランサムウェアの被害にあっても復旧できる可能性が格段に高まります。
VVAULTを導入し、2019年秋ごろからデータ移行を進めました。本社に設置したVVAULTファイルサーバーを冗長構成にし、リアルタイムのデータ保護と、筐体間のバックアップが可能な構成を構築しています。これにより、従来、夜間に行っていた日次バックアップに比べて、データ損失のリスクやダウンタイムの大幅な削減を実現します。
ここに紹介した「VVAULT」の導入事例については、「導入事例 トヨタ部品北海道共販株式会社」にて詳しく紹介していますので、あわせてご覧ください。
ランサムウェアは、企業や公共機関を標的とすることが多く、社会的に大きな問題となっています。では、ランサムウェアとはどのようなものなのでしょうか。まずは、ランサムウェアの定義と仕組みを見ていきましょう。
ランサムウェアとは、「身代金(ランサム)」と「ソフトウェア」を組み合わせて造語です。警察庁では、ランサムウェアを以下のように定義しています。
主に、PCなどのエンドポイントデバイスかに感染し、対処が遅ければネットワークを経由して被害を広げます。ランサムウェアはデータを暗号化することで利用不能にする悪意あるプログラムです。攻撃者は、暗号化されたデータを復旧する鍵と引き換えに、身代金を要求してきます。
ランサムウェアは主に、次のような仕組みで感染して被害を拡大します。
攻撃者は、フィッシングメールや改ざんされたWebサイト、不正リンクを通じて、ランサムウェアをターゲットとなるエンドポイントにダウンロードさせます。業務に利用しているソフトウェアの脆弱性や不適切なアクセス権限設定を悪用して侵入する場合もあります。
エンドポイントに感染したランサムウェアはシステムに侵入した後、文書やデータベースなどの特定のファイルをスキャンします。対象となるファイルを見つけて暗号化し、利用不能にします。暗号化にはAES(共通鍵暗号方式)やRSA(公開鍵暗号方式)といった高度な技術が使われるため、暗号化の解除はできません。
暗号化が完了すると、システムにメッセージを表示して、身代金の支払いを要求します。支払い方法は、現金よりもビットコインなどの暗号通貨が指定されることが多い傾向が高いです。
一部のランサムウェアでは、次の侵入に備えてPCなどに「バックドア」を設置するものもあります。バックドアが設置されると、システムが復旧しても簡単に再攻撃を受けてしまいます。
このような流れを短時間で行われてしまうため、感染後の復旧や再発防止が難しいのです。
ランサムウェアの被害は、国内外で急増しています。警察庁によれば2021年以降、企業や団体などにおけるランサムウェア被害の報告は高水準で推移しています。 IPAの「情報セキュリティ10大脅威 2024」によれば、2023年の情報セキュリティ脅威のうち、組織向けの脅威1位は「ランサムウェアによる被害」です。特に近年では、「二重恐喝」と呼ばれる手口が増えています。これは、身代金を要求するだけではなく、支払いが行われない場合は盗んだ機密データを公開するという脅迫を行うものです。また、企業システムから窃取したデータを暗号化せず、データ公開を脅し文句として身代金を要求する手口の「ノーウェアランサム」も増加しています。
ランサムウェアの感染経路については、VPN機器が47%、リモートデスクトップ(RDP)が36%と、全体の82%を占めています。つまり、機器や認証情報の脆弱性が攻撃のターゲットになっているということです。
このように、ランサムウェア攻撃は巧妙化の一途をたどり、従来のフィッシングメールやなりすましメールを対象とした防御だけでは防ぎきれなくなっています。
ランサムウェアが初めて確認されたのは、1989年の「AIDS Trojan」です。初期型のランサムウェアは、フロッピーディスクを介した感染でした。特定の条件化でデータを暗号化し、複合のための身代金を要求するものです。しかし、当時の暗号化技術は現代ほど高度なものではなかったため、成功率は低いものでした。
インターネットの普及とともに、ランサムウェアは「ばらまき型」の無差別攻撃が主流となります。不特定多数にフィッシングメール・スパムメールを送信して、添付ファイルやリンクを介して感染を広げる方法です。しかし、攻撃対象が絞られていないため、経済的損害も限定的なものでした。
その後、ランサムウェアの手法は高度化し、近年の「標的型攻撃」や「侵入型ランサムウェア」へと発展しました。暗号化技術も高度化したことで、その被害は深刻になり、経済的影響はもちろん社会的影響も懸念されています。
例えば、企業がランサムウェア攻撃を受けたことで情報漏えいが起これば、被害者から法的責任を追求されることも考えられます。顧客からの信頼低下から顧客離れが起き、新規顧客獲得も難しくなります。また、医療機関がランサムウェアの攻撃を受けた場合、診療システムの停止や患者の生命に直接関わるシステムが停止する可能性もあるのです。
今やランサムウェア攻撃は、経済的損失だけではなく、社会的に大きな影響とリスクをともなう脅威になっています。
ランサムウェアの感染は事前に防ぐことが大前提です。しかし、100%防げるものではありません。ここでは、仮にランサムウェアに感染した場合はどのようなことが起こるのかを見ていきましょう。
ランサムウェアに感染すると、データやシステムが暗号化されます。暗号化されたファイルやシステムにはアクセスできません。AESやRSAなどの高度な技術で暗号化されるため、被害者が自ら解除(復号化)することは不可能です。また、ランサムウェアの感染が広まると、同ネットワーク上のPCや各種サーバーのシステムがロックされてしまい、企業では業務が停止してしまうケースもあります。復旧作業には、多大なコストと時間が必要になるでしょう。
ランサムウェアに感染してデータやシステムが暗号化された後、PCの画面には身代金を要求するメッセージが表示されます。その内容は「データの暗号化を解除するための鍵を提供する代わりに、身代金の支払いを求める」指示です。支払い方法には主に、追跡が困難な暗号通貨(ビットコインやイーサリアムなど)が指定されるケースが増えています。また、期限内に支払いを行わなければ、データが永久に失われる可能性もあります。ただし、要求通りに身代金を支払ったとしても、データが復旧する保証はありません。
ランサムウェア感染後は、企業に深刻な影響を及ぼします。例えば、業務停止による経済的損失やビジネスの機会損失が発生したり、顧客や取引先からの信頼を失ったりする可能性もあります。攻撃者にデータが奪われ情報漏えいが起これば、個人情報保護法が適用されて法的な責任および賠償金を負ってしまうこともあるでしょう。
情報漏えいについては、【 「情報漏えい」の記事】にて詳しく解説していますので、あわせてご覧ください。
ランサムウェアは、様々な手段を使って送り込まれます。ここでは、あらためて主な感染経路を確認していきましょう。
VPN(Virtual Private Network)は、LAN外の遠隔地から安全な通信を可能にする技術です。しかし、設定や管理に不備があると、攻撃者が不正アクセスをしてくる可能性があります。また、ファームウェアが更新されていないVPN機器は、ネットワーク全体の脆弱性になるのです。事実、警察庁では2024年上半期のランサムウェア感染経路について、47件中22件(47%)がVPN機器であるという調査結果が報告されています。
リモートデスクトッププロトコル(RDP)は、遠隔地からPCやサーバーを操作するための通信プロトコルです。例えば、自宅のPCからオフィスに設置してあるPCを操作する際に活用します。リモートワーク活用時の認証情報漏えいや設定ミスといった脆弱性が、ランサムウェアの感染経路になっているのです。警察庁の調べでは、2024年上半期、47件中17件(36%)の感染経路がリモートデスクトップであると報告されています。
ランサムウェアの感染経路で一般的なものが、フィッシングメールでの攻撃です。攻撃者は、契約書や請求書添付のメールを装ったものなど、業務メールに似せたメールを巧妙に作成し、添付ファイルを開かせたり、メール内のリンクをクリックさせたりします。これにより、ランサムウェアがPCにダウンロードされて感染するのです。フィッシングメールは、特定の企業や社員を狙う標的型攻撃が増えています。
ランサムウェアは、ソフトウェアの脆弱性を悪用します。OSやファームウェアなど、未更新のソフトウェアには「セキュリティホール」が生まれやすく、攻撃者はこの脆弱性を利用して不正アクセスを行うのです。特に、公開されていない(セキュリティホールが発見されて0日目)脆弱性を利用した攻撃の「ゼロデイ攻撃」は、修正パッチが提供される前に感染が拡大します。そのため、常に最新のソフトウェアに更新しておくことはもちろん、ゼロデイ攻撃に備えた施策も欠かせません。
信頼性の低いWebサイトからのソフトウェアダウンロードや、不正なインストーラーからのソフトウェアインストールは、ランサムウェア感染の可能性を高めます。例えば、攻撃者は人気のあるアプリケーションを装った、改ざんされたインストーラーを配布して、ランサムウェアを侵入させます。セキュリティポリシーが整っていない企業では、従業員が不用意にソフトウェアをダウンロードしてしまい、感染が広がることもあるのです。
では、ランサムウェア感染はどのように防げばよいのでしょうか。ここでは、ランサムウェア対策の具体的な方法を見ていきましょう。
VPN機器は、古いファームウェアや未更新の設定が大きなリスクになります。ファームウェアは定期的に更新し、常に最新の状態を保つようにしましょう。不要なアクセス権限やVPN設定を無効にするなど、接続設定についても定期的に見直すことが重要です。また、VPN接続のログ監視なども行うことで、不正アクセスや異常な行動を見逃さないようにしましょう。
RDPは、設定の不備がランサムウェアの攻撃対象になります。例えば、弱いパスワードの設定は、ブルートフォース攻撃(パスワードの総当たり攻撃)などによって不正アクセスのリスクが高まります。RDPのセキュリティ強化には、強固なパスワードを設定することも大切ですが、併せて多要素認証(MFA)を導入すると効果的です。また、アクセスできるIPアドレスを限定するなどのアクセス制御も行いましょう。使っていないRDPは無効にして、不正アクセスのリスクを最小限に抑えることが重要です。
多要素認証については、【「多要素認証」の記事】にて詳しく解説していますので、あわせてご覧ください。
フィッシングメールは、サイバー攻撃の主な原因のひとつです。疑わしいメールは、必ず送信者のアドレス(ドメイン)を確認しましょう。また、メールのタイトルや文章、内容に違和感がある場合は、メールを開封しないこと、添付ファイルやメール内のリンクをクリックしないことが大切です。セキュリティソフトを導入してメールスキャンを行うことで、ランサムウェアをはじめとしたマルウェアの感染を大幅に低減します。
ソフトウェアの脆弱性は、定期的なアップデートによって対策しましょう。OSやアプリケーション、ブラウザなどの脆弱性は悪用させるケースが多いためです。定期的に提供されるパッチを当てておくことで、マルウェアの感染を低減できます。ネットワーク機器のファームウェアアップデートも忘れずに、定期的に更新しましょう。また、ソフトウェアのアップデートに加えて、脆弱性のスキャンツールなども使用することで、潜在的なリスクを排除できます。ソフトウェアアップデートについては、自動更新機能があれば活用しましょう。その上で、ソフトウェアが最新版であることを定期的にチェックすることが大切です。
PCをはじめとしたエンドポイントデバイスには、正規のソフトウェアのみを使用しましょう。信頼できるサイトや提供元以外からのダウンロードはランサムウェア感染の大きな原因になります。また、ダウンロードをする前に、提供元の評判やデジタル署名を確認することも大切です。
ランサムウェアに感染した場合は何をしたら良いのでしょうか。ここでは、感染した場合の対処法について見ていきましょう。
ランサムウェアに感染した場合、初動が大切です。感染を確認したら、まずは対象のデバイスをネットワークから切り離して隔離してください。例えば、LANケーブルの抜去や無線LANの無効化が最初に取るべき行動です。ネットワーク上の他のデバイスへの感染を防ぎ、システム全体への拡大リスクを低減できます。また、調査に必要なログなどを保存するため、デバイスの電源は落とさないようにしましょう。その後、IT部門やセキュリティ部門へ迅速に連絡します。専門の部門では、ランサムウェア感染の規模や影響を評価する体制を整えましょう。システム管理者やセキュリティ担当者が状況を確認して、適切な対処を指示することが重要です。初動を適切に行えば、被害を最小限に抑えることができ、復旧時間やコストも低減できるでしょう。
ランサムウェアに感染しても、定期的なバックアップデータがあれば業務復旧もスムーズです。暗号化されたデータも、直前のデータまで復旧できるでしょう。ただし、バックアップデータからの復旧を行う前には、必ず「バックアップデータがランサムウェアに感染していないか」を確認することが大切です。
日頃からデータをバックアップしておくことで、ランサムウェアなどのマルウェア感染だけでなく、データの破損やご操作によって喪失したデータの復旧がスムーズになります。また、過去の様々な時点のデータへリカバリできるバージョン管理(変更履歴の管理)をしておくことが重要です。
ランサムウェアに感染しても、身代金を払うという選択肢は推奨されていません。支払いをしてもデータを復旧できる保証がないことや、支払いがさらなる犯罪に繋がる可能性があるためです。ランサムウェアの被害を受けた場合は、デバイスの操作ログや通信ログを保存して、速やかに警察のサイバー犯罪相談窓口に通報・相談をしましょう。警察庁では、以下のように明示されています。
ランサムウェア被害を抑えるためには、関連する用語や概念についても正確に理解しておくことが大切です。ここでは、ランサムウェアに関連する、以下3つの用語について見ていきましょう。
マルウェアとは、「malicious software」の略称で、悪意を持って設計されたソフトウェアの総称です。マルウェアにはランサムウェアをはじめ、ウイルスやトロイの木馬、ワームやスパイウェア、アドウェアなどが含まれます。各マルウェアは、ターゲットとなるシステムやデータに被害を与えるために、あらゆる手法で攻撃を行います。ランサムウェアはデータを暗号化して、復号鍵と引き換えに身代金を要求しますが、その他のマルウェアは、情報窃取やシステムの破壊、無関係な広告の表示など、目的は様々です。
例えば、スパイウェアはPCなどのデバイスに侵入して機密情報を取得した後、攻撃者に送信することを目的に動作します。アドウェアは、PCの画面などに不正に広告を表示して、ユーザーの操作を妨害します。
これらマルウェアは、フィッシングメールや不正リンク、あるいは改ざんされたWebサイトなどから経路から感染するため、セキュリティソフト導入やソフトウェアアップデートなどを適用して防御することが大切です。
ウイルスはマルウェアの一種です。自己増殖能力を持ち、感染したPCから他のシステム内のプログラムやファイルに被害を拡大する特徴を持っています。医療分野で使われる「生物学的ウイルス」の性質に似ていることが名前の由来です。
ウイルスには、プログラムを破壊したり、システムの動作を停止させたりすることを目的に作成されるものや、データの窃取や広告表示を目的とするものなどがあります。感染経路は、メールの添付ファイルや不正なWebサイト、USBメモリなどの外部記憶媒体などが一般的でしょう。
トロイの木馬は、古代ギリシャ神話の「トロイの木馬」が名前の由来です。一見無害なプログラムやファイルと認識され、ユーザーは気づかずにダウロードしてファイルを実行してしまいます。このようにして、悪意のあるコードが紛れたプログラムが、PCや社内システムへ侵入してしまうのです。
トロイの木馬は、その他のマルウェアとは異なり、自己増殖能力を持ちません。システム内に侵入した後にプログラム単体で動作し、バックドアやキーロガー-をしかけたりするなどの形で攻撃を行います。例えば、バックドアが開かれると、ランサムウェアのような様々なマルウェアの侵入を許してしまい、二次的な被害を引き起こすきっかけになります。
ランサムウェアは、企業や公共機関をはじめ、個人の生活にも深刻な影響を及ぼすサイバー攻撃です。その被害は、単にデータを暗号化するだけではなく、業務の停止や情報漏えい、法的責任や信頼の失墜など多岐にわたります。国内外で多くの被害を出しており、国内においては組織向け脅威のトップに位置づけられるものです。
VPN機器やRDPの脆弱性が感染経路の上位を占める中、フィッシングメールや不正ダウンロードからの感染も続いています。また、「二重恐喝」や「ノーウェアランサム」などその手口は巧妙化しており、従来にも増して防御が困難になっています。このような現状で求められるのは、包括的な対策を実現するソリューションの導入です。また、感染後に備えたデータのバックアップ体制も整えなければなりません。
ソリトンシステムズの「Soliton OneGate」と「VVAULT」は、これら課題を解決するソリューションを提供しています。Soliton OneGateが不正アクセスや外部からの侵入を防ぎ、安全なリモートアクセスを実現します。また、大容量の仮想ストレージを簡単に構築・管理し、ランサムウェア攻撃を早期に検知してブロック・修復を可能にするVVAULTは、データのバージョン管理も可能です。
ランサムウェア対策を見直し、企業のデータやシステム、信頼を守るセキュリティ基盤を構築するならば、ぜひソリトンシステムズまでご相談ください。
