ランサムウェアの感染経路や対処法 | 感染時の対処方法を徹底解説|サイバーセキュリティ.com

ランサムウェアの感染経路や対処法 | 感染時の対処方法を徹底解説



身代金を要求する不正プログラム「ランサムウェア」は、セキュリティ上の脅威として近年世界規模で被害を拡大させています。

もし、ランサムウェアに感染し、身代金を支払ってしまうと何らかの犯罪に加担してしまう恐れもあり、個人・法人問わず甚大な被害にあう可能性があります。そこで今回は、ランサムウェアの感染経路や対策方法、そして感染してしまった時の適切な対処法について徹底解説します。

ランサムウェアの主な感染経路6つ


ランサムウェアの感染経路として、次の6つが挙げられます。

  • VPNの脆弱性を突かれて感染
  • リモートデスクトップから侵入されて感染
  • メールの添付ファイルの開封・リンクのアクセスで感染
  • WEBサイトから感染
  • ダウンロードしたソフトウェア・ファイルから感染
  • USBメモリなどの外部メディアから感染

それぞれ詳しく見てみましょう。

1.VPNの脆弱性を突かれて感染

2023年現在、最も多いとされているランサムウェアの感染経路はVPN(Virtual Private Network:仮想専用線)の脆弱性を突かれて侵入されるケースです。2023年5月に警察庁から公表された集計データによると、回答があった企業のうちVPN機器から侵入されて感染した企業が62%と過半数を占めていることが分かっています。

参考警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」

VPN機器はインターネットと社内システムの境界線に設置されており、社外から社内のネットワークにアクセスする際の入り口となります。言わば家のドアのようなものです。このVPN機器にアクセスするための認証情報(=家の鍵のようなもの)が不正に入手され侵入されてしまったり、VPNの脆弱性を攻撃され内部に侵入されることで、攻撃者が社内ネットワークにアクセスできてしまうのです。

2.リモートデスクトップ(RDP)から侵入されて感染

テレワークの普及に伴い、リモートデスクトップ(RDP)を利用する企業も増えました。しかし、VPNと同様、セキュリティ対策が不十分なまま利用した結果、RDPの脆弱性から侵入されるケースも増加しています。RDPは一度侵入を許してしまうとシステムのフルアクセス権限まで取得されてしまうため、非常に危険です。しかし、意図せずRDPを公開状態にしてしまい、攻撃者を簡単に招き入れてしまうケースが多いのです。

3. メールの添付ファイルの開封・リンクのアクセスで感染

従来のランサムウェアで多かったのが、メールを介した感染です。メールの添付ファイルを開いたり、本文に記載されたリンクにアクセスしたりしてランサムウェアに感染します。メール本文は、受信者に添付ファイルの開封などの行動へ誘導する文面が特徴です。特定のターゲットを狙う「標的型攻撃メール」の場合、実在の取引先や関係者を装った文章が記載されています。不審なメールが届いた際は、添付ファイルやURLをクリックしないようにしましょう。

SNSリンクから感染

偽装したSNSリンクをメールに記載し、ランサムウェアに感染させる手口も存在します。リンクをクリックすると偽装サイトに誘導され、ランサムウェアに感染します。また、2016年には、有害なコードを埋め込んだ画像をSNS上にアップロードする「ImageGate」攻撃も多発しました。ユーザーが画像をダウンロードすると、ランサムウェアに感染する仕組みです。

4. WEBサイトから感染

偽装されたWEBサイトも、感染経路になります。WEBサイトを開くだけでランサムウェアをダウンロードさせる「ドライブバイダウンロード攻撃」を用いるパターンが多いです。あるいは、WEBサイト内の特定のボタンを押させ、ランサムウェアに感染させる場合もあります。正規サイトを真似たミラーサイトだけでなく、正規サイトそのものが改ざんされているケースもあるため注意しましょう。

脆弱性のある拡張機能(アドオン/プラグイン)から侵入

利用している拡張機能の脆弱性を放置していると、ランサムウェアの侵入経路になるリスクがあります。拡張機能は定期的にアップデートし、常に最新状態に保ちましょう。拡張機能だけでなく、OSやソフトウェアのアップデートも同様です。脆弱性をなくすことで、ランサムウェアを含めたマルウェア全体の感染リスクを減らせます。

5. ダウンロードしたソフトウェア・ファイルから感染

Webサイトで配布しているソフトウェアやファイルをダウンロードすると、ランサムウェアに感染する恐れがあります。主な感染源となるのは、無料配布されているフリーツールや、海外の不審な企業のソフトウェアです。あらかじめランサムウェアが仕掛けられており、利便性の高いツールを装ってユーザーにダウンロードさせます。反対に言えば、信頼性の高い企業の正規ソフトウェアによって感染する可能性は非常に低いでしょう。

6. USBメモリなどの外部メディアから感染

USBメモリなどの外部メディアが感染経路になる場合もあります。メディア内に保存されたファイルにマルウェアが仕込まれており、PCへの接続時に感染します。USBメモリに代表されるリムーバブルメディアは便利な反面、取り扱いには注意が必要です。社員が悪気なく私的なUSBメモリを利用してしまうケースもあるため、社内の情報セキュリティガイドラインの周知・徹底が求められます。

ランサムウェアの感染対策方法9選

ランサムウェアに感染してしまうとデータが暗号化され読めなくなり、最悪の場合、二度とデータが返ってこなくなる可能性があります。では、どうすればランサムウェアの感染を防ぐことが出来るのでしょうか。

ここでは、有効な感染対策方法を9つご紹介します。

  • VPN・RDPの脆弱性対策を行う
  • 認証情報を強化する
  • OSやソフトウェアのアップデートを怠らない
  • 不審なメール、および添付ファイルを開かない
  • 不正なサイトにアクセスしない
  • 不審なソフトウェアや拡張機能をインストールをしない
  • 定期的なバックアップを心掛ける
  • ランサムウェアに適したセキュリティ製品を導入する
  • 社員にセキュリティ意識向上の教育を施す

1.VPN・RDPの脆弱性対策を行う

まずは、VPN・RDPの脆弱性を修正しましょう。

  • 接続元のIPアドレスに制限を設ける
  • アクセスに必要な認証情報を強化する

上記のような対策によって、セキュリティを強化することができます。

2.認証情報を強化する

VPN・RDP等にアクセスする際の認証情報がID・パスワードだけだと、攻撃者に簡単に突破されるリスクがあります。

推測しづらいID/パスワードにする、多要素認証を採用するなどして認証情報を強化しましょう。電子証明書認証(クライアント証明書)は、事前に端末(PC・スマホ等)に証明書をインストールし、認証要素として使用することで、より安全な認証が可能になります。

3. OSやソフトウェアのアップデートを怠らない

日頃からOSやソフトウェアはアップデートするようにしましょう。

上記で述べたようにランサムウェアの中にはプログラムの脆弱性を突き感染させるものがあります。古いOSやソフトウェアを使用している場合、アップデートは怠らず常に最新版にすることを心掛けましょう。

4. 不審なメール、および添付ファイルを開かない

不審なメールは、添付ファイル含めていっさい開かないようにしましょう。

なお、不審なメールは全文が英語表記になっていたり、日本語の言い回しや改行に不自然な点があったりするため、比較的容易に判別できます。

5. 不正なサイトにアクセスしない

不正なサイトに誘導してウイルス感染させるのは、ランサムウェアの常とう手段です。

最近では、本物のwebサイトと見分けがつかないほど巧妙になってきており、実際にある企業など一見安全そうに見えるため、被害も増えています。

アクセス面では以下の点を心掛けましょう。

  1. リンクをダイレクトに踏まず、検索エンジンに企業名を入力してアクセスする
  2. フィルタリングサービスを利用し、アクセス可能なサイトをあらかじめ制限する

6. 不審なソフトウェアや拡張機能をインストールをしない

ソフトウェアやアプリ、拡張機能(アドオン/プラグイン)は公式ストアのみでダウンロードを行いましょう。非公式なサイトからダウンロードすると悪意あるマルウェアやランサムウェアに感染する恐れがあります。

なお、無料のソフトウェアやアプリの中にはセキュリティソフトと称してランサムウェアに感染させる手口もあるようで注意が必要です。

7. 定期的なバックアップを心掛ける

万が一に備え、重要なデータやファイルは定期的にバックアップを行いましょう。

ただ、バックアップ先がネットワークに接続されていると、バックアップ自体もランサムウェアに感染してしまう危険性があるため、ネットワークから隔離された場所に保存するとより安全な対策と言えます。

注意ランサムウェアは巧妙に進化を続けています。これらすべての対策を行えば安心できるわけではありません

8. ランサムウェアに適したセキュリティ製品を導入する

今後、サイバー攻撃被害に遭わないために、社内体制に見合ったセキュリティ対策が必要不可欠ですが、すでに一般的なセキュリティソフトでランサムウェアに対応することは困難です。

しかしながら、近年はランサムウェアに対応したセキュリティ製品も一定数存在しており、これらを導入することで効率的なセキュリティ対策が可能です。通常のウイルス対策ソフトに加え、EDRなどの標的型攻撃にも対応できる製品を導入するのが良いでしょう。

9.社員にセキュリティ意識向上の教育を施す

上記で紹介したような対策に加え、社員1人1人のセキュリティ意識を向上することで、感染リスクの高い行動を減らすことができます。

万が一ランサムウェアに感染してしまった際でも、感染端末に対する初動対応が適切に行われれば被害を最小限に抑えることができます。

どういった行動を避けるべきか、万が一感染してしまったらどう対処すべきか、日頃から教育を施しておきましょう。

ランサムウェアに感染した場合の対処法

ランサムウェアに感染してしまった場合はどうすれば良いのでしょうか。

もっとも大切なのが「絶対に身代金を支払わない」ことです。身代金を払ってしまうと、犯罪組織に資金と情報を提供し二次被害に繋がる可能性があります。次に重要なことが、ランサムウェアの感染によって生じた被害の徹底した調査を行うことです。理由としてランサムウェアに感染した時点で、ハッカーが出入り自由な状態になっている可能性が高く、セキュリティの脆弱性ならびに、情報保護の観点から、どのような情報が漏えいしたのかを特定する必要があるからです。

ここでは、ランサムウェアに感染してしまった場合に行うべき対処法を手順にならって紹介いたします。詳しい対処の流れは以下の記事で解説しているので、合わせて参考にしてください。

STEP1:ネットワークから切り離す

ランサムウェア感染に気付いた際、まず最初に行うべきは感染端末をネットワークから遮断することです。ランサムウェアはネットワーク経由で他の端末に感染を広げていきます。

二次感染を防ぐためにも有線LANの場合はケーブルを抜き、無線LANの場合は端末の無線LAN機能をオフにしてネットワークから切り離しましょう。

STEP2:復元(復号)を試みる

下記の方法によって復元(復号)を試みましょう。しかし、個人作業で誤った処置をしてしまうと感染状況を悪化させてしまう可能性があるため注意が必要です。

バックアップから復元

バックアップがネットワークに接続されていない場合、ここから復元できる可能性があります。またWindowsでは「システムの復元」機能がデフォルトで有効となっているため、ここから復元できる可能性もあります。

ただし、ランサムウェアの種類によっては、「システムの復元」機能を無効化してしまうものもあります。また、仮に復元できたとしても、復元ポイント以降のファイルはいっさい復元できないため注意しましょう。

復号ツールの利用

一部のランサムウェアは、すでに復号(復元)ツールが公開されており、これを利用することで暗号化を解除できる可能性があります。

しかし、復号ツールが公開されているランサムウェアは限られており、また、ランサムウェアのバージョンが違うと復号できません。そのため、感染源のランサムウェアを正確に把握する必要があります。なお、復号ツールの不具合によってデータが消えてしまうリスクもあるため、これを利用する際は注意しましょう。

STEP3:専門家に相談する

個人での原因特定、および復元(復号)作業には限界があるため、専門業者に相談することが最善の対処法と言えます。フォレンジック調査会社では、端末のログやデータを調査・解析して感染経路を特定することができます。また、暗号化されたデータの復元にも対応できるケースがあるため、もし上記方法でも復元(復号)できない場合や、より安全にデータを復元したい場合は、専門家に相談しましょう。

相談から見積もりまで無料で対応している業者もあるため、個人での対処が難しい場合、条件に見合う適切な専門業者に相談することをおすすめします。

まとめ

今回はランサムウェアの感染経路から対策方法、感染してしまった際の対処法について紹介しました。

コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。

感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。万が一感染してしまった際は焦らずにネットワークの接続を切り専門業者に相談することが最善の対処法です。

SNSでもご購読できます。