
このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、仮に被害を受けた場合は、感染経路や被害全容の調査を行わなくてはいけません。
しかし、具体的にどのような調査方法やセキュリティ対策があるのか整理できていない状況も少なくありません。そこで、この記事では、ランサムウェアの特徴や手口、具体的な被害調査方法からセキュリティ対策まで一通り紹介いたします。
まずは慌てずに、適切な対応を取りましょう。もし「確実に感染している」「実被害が出ている」「調査依頼先がわからない」という場合、サイバー攻撃の調査に対応した専門業者まで相談してください。
ランサムウェアに感染するとどうなるのか
ランサムウェアとは、身代金要求に特化したソフトウェア(マルウェア)です。もし感染すると、下記のような警告ダイアログが画面上に表示されます(これは「LockBit2.0」というランサムウェアによる脅迫画面です)。
同時に、端末内のデータも全て暗号化され、データの復号と引き換えに、身代金を暗号通貨などで支払うように要求します。なお、端末のみが暗号化されるだけでなくネットワーク全体が暗号化されると、数億円もの身代金を要求されるケースがあります。
ランサムウェアの特徴・手口
かつてランサムウェアの攻撃対象は、一般ユーザーでした。しかし、現在のランサムウェアは、より多くの身代金を窃取するため、民間企業や団体、とくにグループ系列の企業や、サプライチェーンの脆弱性を狙ったものが目立つようになりました。
2020年に入ると、攻撃手口は「二重恐喝」に移り変わり、攻撃支援サービス「RaaS」が普及したことで、技術力のないサイバー犯罪組織でも手軽にランサムウェアを購入することが可能となりました。
現在は二重恐喝が主流
かつては身代金を要求するだけでしたが、現在は「二重恐喝」が7割近くを占めています。これは身代金を支払わない企業への報復として、サイバー犯罪者が集う掲示板「リークサイト」に盗んだデータを暴露・売買するという攻撃手法です。
ランサムウェアの被害件数
警察庁の発表によれば、ランサムウェアの被害件数は2020年代以降、右肩上がりで増加しています。たとえば、2020年下半期の時点で、わずか21件に過ぎなかった被害件数は、2022年上半期には、114件にまで急増しています。
要因として、コロナ禍によるテレワーク普及により、VPN(遠隔から社内ネットワークにアクセスできるネットワーク機器)のぜい弱性を狙った不正侵入が増加したことや、前述した「二重恐喝」「RaaS」により、手口が悪質化していることが背景にあると考えられています。
バックアップからの復旧だけでは不十分
これまでランサムウェア被害を受けた企業の多くは、バックアップをもとにデータ復元したあと、暗号化された端末・サーバーを初期化することで、応急処置を行ってきました。しかし、二重恐喝によるデータ漏えいなどの可能性を想定すれば、応急処置だけでは不十分です。
特に2022年には「改正個人情報保護法」が施行され、情報漏えいの報告・通知が原則として義務化されました。つまり、被害調査を怠った法人は、法令違反となります。信用問題はもちろん、企業の存続にも大きく影響しますので、被害状況を把握するためにも感染の疑いが少しでもある場合は、必ず調査を行い、被害実態を把握しましょう。
ランサムウェア感染時、感染経路を調査する方法
繰り返しになりますが、ランサムウェアに感染した場合、何らかの情報漏えいが起きている可能性が極めて高いと考えられます。またこの場合、再発防止に向けて、いつどのような経路で不正アクセスされたのか調査し、適切な対処をとる必要もあります。
ランサムウェア感染経路には、フォレンジック調査という技術が必要になります。しかし、ランサムウェアのフォレンジック調査では、高度なログ解析技術など専門技能やノウハウが要求されるため、社内の担当者が自力で行うことは困難です。まずはランサムウェアのフォレンジック調査に対応している業者への相談を検討しましょう。
フォレンジック調査とは?
サイバー犯罪の調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、最高裁や警視庁でも法的な捜査方法として取り入れられており、ランサムウェアの被害調査において最も有効な調査手法のひとつとなっています。
フォレンジック調査専門業者の実力を確実に見極めるためのポイント
- 実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業にも対応している
- 費用形態が明確である
上記の6つのポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累積ご相談件数14,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔11年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
デジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数では国内最大級のフォレンジック業者です。マルウェア感染・情報漏洩・社内不正といったインシデント調査から、データ復元技術を活用した証拠復元まで、幅広くサービスを展開しています。
ランサムウェアの主な感染経路
ランサムウェアの主な感染経路は、次の5つです。
- ネットワークの脆弱性
- メールの添付ファイルやリンク
- 感染目的サイトの閲覧
- 悪意ある拡張機能(アドオン/プラグイン)の有効化
- USBメモリからの感染
上記に見に覚えがある場合は、ランサムウェアに限らず、マルウェアに感染している可能性がありますので、ご注意ください。インシデントの報告が上がった場合、「ファスト・フォレンジック」という技術を使って、まずはネットワーク全体をスキャンし、サイバーインシデントの有無や調査することをおすすめします。
ファスト・フォレンジックについては下記の記事で詳しく解説しています。
ネットワークの脆弱性
世界的なリモートワークの普及にともない、ネットワークの脆弱性を狙った攻撃が目立っています。とくに以下2つのツールの脆弱性を狙った攻撃が目立っています。
- VPN機器
- RDP(リモートデスクトップ)
VPN機器
VPNとは特定のユーザーしか利用することができない、限定的なネットワークで、フリーWi-Fiと比べて情報漏えいやウイルス感染などのセキュリティリスクを抑えることができます。しかし、VPNの設定ミスにより、ログイン情報が漏れてしまえば、部外者のアクセスを許してしまいます。そのため、VPN利用時のルール徹底や適切なパスワード管理などが重要となってくるのです。
RDP(リモートデスクトップ)
RDP(リモートデスクトッププロトコル)とは、サーバー経由でコンピュータのリモート接続を可能にする通信規格です。分かりやすく言うと、遠隔地にある Windows の画面を自宅から確認・操作できる機能です。ただし、RDPはサイバー攻撃のターゲットにされやすく、コロナ禍を背景に利用機会も増えていることから、全世界でRDPの脆弱性を突いたサイバー攻撃による被害が多発しています。
メールの添付ファイルやリンク
不審なメールの添付ファイルやリンクは開かないようにしましょう。メールの添付ファイルには、Emotetなどのマルウェアが添付されていることが多く、ダウンロードしてしまうと、ランサムウェアなど不特定多数のマルウェアに、連鎖的に感染させられる恐れがあります。
感染目的サイトの閲覧
詐欺SMSや詐欺リンクなどを経由して、 改ざんされたウェブサイトにアクセスすると、改ざんによって仕掛けられたランサムウェアに感染するリスクがあります。
悪意ある拡張機能(アドオン/プラグイン)の有効化
Googleブラウザ上では、拡張機能を導入することで、効率的に作業を行うことが出来ます。しかし、ブラウザの拡張機能を悪用し、マルウェア・ランサムウェアの感染を誘導するサイバー犯罪も後を絶たないことから、提供元不明の拡張機能は導入も有効化も控えましょう。
USBメモリからの感染
通販を装って「攻撃用USBメモリ」が届いたなど、USBメモリからランサムウェアに感染する事例もあります。オンラインだけでなく、オフラインのメディアからもランサムウェアに感染するリスクがあるということは、常に念頭に置いておきましょう。
ランサムウェアに感染した場合の対処法
ランサムウェアに感染した場合、次のステップをとりましょう。
- STEP1:感染機器をオンラインから隔離する
- STEP2:バックアップからデータを復元する
- STEP3:専門業者へ相談する
- STEP4:不正アクセスで漏えい時、1件でも本人に通知する
- STEP5:NASをアップデートする
STEP1:感染機器をオンラインから隔離する
ランサムウェア感染時、周囲への二次感染を防ぐため、感染端末は速やかにネットワークから切り離し、そのまま隔離しておく必要があります。有線ネットワークの場合は、ケーブルを切断し、無線ネットワークの場合、Wifiはオフラインにしておきましょう。
STEP2:バックアップからデータを復元する
ランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除するか、サーバーの初期化を行った後、バックアップからファイルの復元を試みましょう。
ランサムウェアに感染した場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏えいにより、顧客にも被害が及ぶ可能性があります。
STEP3:専門業者へ相談する
感染の疑いがある場合には、「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。
しかし、個人での原因特定には限界があるため、ランサムウェアの感染経路を適切に調査するには、ランサムウェア被害の調査業者に相談することをおすすめします。ランサムウェアの対応実績がある調査業者であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。
STEP4:不正アクセスで漏えい時、1件でも本人に通知する
2022年春、改正個人情報保護法が施行されました。これにより、不正アクセス発生時は、本人への通知および監督官庁への報告が義務化されました。今後は、公表控えが許されなくなり、不適切な被害調査をおこなうと、処罰を受ける可能性があります。そのため、ランサムウェア感染時は、被害の全容について、正確・迅速に調査することができるランサムウェア調査業者まで対応を依頼する必要があります。
STEP5:NASをアップデートする
NASで古いバージョンのOSを使っている場合、すぐに更新しておきましょう。アップデート前のOSには脆弱性(セキュリティ・ホール)が多数存在しており、それを悪用して不正侵入が行われるケースが多いからです。ただし、感染被害の調査前にアップデートを行うと、ログが上書きされるなどし、適切な調査ができなくなる恐れがあるため、端末を隔離したあとは、極力手を加えずに保管しておきましょう。
おすすめランサムウェア被害調査業者
ランサムウェアの調査を行いたい場合には、どのような基準で業者を選べばいいのでしょうか?
正確な調査結果を得るためには、業者が専門知識と調査技術を持っているかどうかを確認しましょう。おすすめの調査業者として、累計相談件数1万4,000件以上で大手企業・警察の捜査協力などの実績を持つ「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | ランサムウェア・マルウェア感染調査など、警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元 |
特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
ランサムウェアに感染しないための対策方法
ランサムウェアの対策法は、主に次の4つです。
- 不審なメール、および添付ファイルを開かない
- OSやソフトウェアのアップデートを怠らない
- 定期的なバックアップを心掛ける
- ランサムウェアに適したセキュリティ製品を導入する
不審なメール・添付ファイルを開かず、マクロを無効化する
不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送業者を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。
とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。
OSやソフトウェアのアップデートを怠らない
ランサムウェアは脆弱性を攻撃してウイルス感染させるという特徴を持つことから、ご使用のOS、ソフトウェア、デバイスのバージョンを常に最新のものにアップデートしておくことが効果的と言えます。
定期的なバックアップを心掛ける
定期的にデータのバックアップをとることで、万が一ランサムウェアに感染してしまったとしても、失ってはならないデータを退避させておくことが可能です(仮に身代金を払っても、データが復号されないケースがあります)。
ランサムウェアに適したセキュリティ製品を導入する
ランサムウェア感染対策のセキュリティソフトを導入することで、感染被害を抑えることができます。また、セキュリティソフトの働きによって、データが全て暗号化されてしまうのをなるべく早く止められる可能性があります。
代表的なランサムウェアとその種類
ここ数年で流行し、大きな被害を与えたランサムウェアを以下4つ紹介します。
- LockBit2.0/3.0
- deadbolt
- Sodinokibi/REvil
- eCh0raixランサムウェア
LockBit2.0/3.0
LockBitは、2022年現在、最も活発なランサムウェアの一つで、感染するとネットワークを通じ、アクセス可能な端末を一瞬で暗号化するなど甚大な被害を及ぼします。とくに、これはビジネスに特化したランサムウェア製品(RaaS)のひとつで、たとえ技術力の乏しいサイバー犯罪集団でも安易に使えること、盗んだデータを晒すことを交換条件に出す「二重脅迫」を採用していることなどによって、被害規模が大きく、被害件数・被害額ともに、今では世界有数のランサムウェアとなっています。
LockBit2.0の感染経路や被害全容の調査方法については、下記の記事でも詳しく紹介しています。
deadbolt
deadboltは、台湾製NAS「QNAP」「ASUSTOR」を標的にしているランサムウェアです。感染すると拡張子が「.deadbolt」に書き換わり、データが開けなくなります。専門家の見立てでは「ファームウェアの脆弱性を悪用した可能性が高い」とされており、少なくとも、セキュリティを強化することで対処が可能なため、QNAPユーザーの方は速やかにQTSを更新し、設定を変更しましょう。
deadboltについては、次の記事でも詳しく解説しています。
Sodinokibi/REvil
Revilは「二重脅迫型(暗号化+暴露)」のRaaS型ランサムウェアです。これに感染すると、一定期間内に身代金を振り込まないと、暗号化したデータが独自のリークサイトに暴露される恐れがあります。ただし、2021年に開発者が逮捕されたことで、REvilの脅威は去りました。しかし、同じRaaS型ランサムウェアとして、Lockbitが台頭してきており、まだ安心することはできません。
Sodinokibi/REvilについては、次の記事でも詳しく解説しています。
eCh0raixランサムウェア
QNAPやSynology製のNASをターゲットとしたランサムウェアに「eCh0raix」があります。このランサムウェアに感染すると拡張子が「.encrypt」に書き換わり、データが暗号化され、次のような警告画面が表示されます。QRコードを読み込むと、身代金を支払うための決済画面が表示されますので、QRコードのスキャンは控えましょう。
eCh0raixランサムウェアについては、次の記事でも詳しく解説しています。
WannaCry
WannaCryは、世界規模で感染を拡大させたランサムウェアであり、これをきっかけにランサムウェアが流行するきっかけとなりました。WannaCryは、2017年頃に登場し、ごく短期間で世界150か国以上、30万台を越えるPCで被害が確認されました。これはWindowsの脆弱性を悪用したもので、1台感染してしまうと、ネットワークでつながっているすべてのPCに感染してしまうのが被害拡大の要因です。
まとめ
今回はランサムウェアの感染経路から対策方法、感染してしまった際の対処法について紹介しました。
コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。
感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。万が一感染してしまった際は焦らずにネットワークの接続を切り専門業者に相談することが最善の対施行され、