近年、ランサムウェアによるサイバー攻撃のニュースが増えてきました。数々の被害が報告される「ランサムウェア」とは、一体どのようなものなのでしょうか。今回はランサムウェアの定義から攻撃の種類、対処方法を解説します。
ランサムウェアとは?
ランサムウェアとは、暗号化によりファイルを利用不可能にしたうえで、ファイルの復元と引き換えとして金銭を要求するサイバー攻撃の1つです。英単語のransom(身代金)と、software(ソフトウェア)とを組みわせた言葉からなります。
これからランサムウェアの理解を深めるために、ランサムウェアの定義やランサムウェア攻撃の種類を紹介します。
基本定義
ランサムウェアとは、暗号化によりファイルを解読できなくした後に、元に戻す条件の代わりに身代金を要求するマルウェアと定義されます。身代金として要求されるものは、ビットコイン等の暗号通貨が一般的です。
代表的な攻撃の種類
ランサムウェア攻撃の種類には、主に以下の3つがあります。
- 暗号化ランサムウェア
- Doxware
- ロッカー・ランサムウェア
それぞれの攻撃にどのような特徴があるのかについて、これから詳しく解説していきます。
暗号化ランサムウェア
「暗号化ランサムウェア」とは、ランサムウェアに感染したコンピュータと同じネットワーク内のコンピュータ等のファイルを暗号化するランサムウェア攻撃です。最終的に、ファイルの中身が読めない状態や、コンピュータが利用できない状態にします。この暗号化を解くためのパスワードを解析するのは、セキュリティ会社が分析に成功し、かつ公開している場合でない限りは、パスワード解読ソフトでも簡単ではありません。
Doxware
「Doxware」とは、サイバー攻撃者が入手したターゲットの機密ファイルを「インターネット上で公開する」といったように脅迫し身代金を要求するランサムウェア攻撃です。Doxwareが対象とする機密ファイルには、社内メール等のプライバシー情報や企業取引情報など、多岐にわたります。すでに攻撃者に重要なファイルが取得されている可能性が高く、早急な対応が求められます。
ロッカー・ランサムウェア
「ロッカー・ランサムウェア」とは、デバイスにアクセスできない状態にするランサムウェア攻撃です。具体的には、対象者がコンピュータを起動しようとするとログインができず、ロックアウトした内容が表示され、アクセス解除のための身代金を要求されます。ログインが拒否されているだけで、内部のファイル自体は暗号化されていないときがあります。
ランサムウェアによる影響
冒頭でもお伝えしたように、年々ランサムウェアによる被害が増大しています。ランサムウェアがもたらす被害例は、以下の通りです。
- 企業のシステムが動かなくなり、工場が停止してしまう。
- 世界中にある社内ネットワークがロックされ、数十億円規模の身代金を要求される。
- 多くの業務用サーバーやコンピュータが暗号化され、復旧まで2ヵ月以上かかった。
上記事例のように、膨大な身代金や顧客からの信頼損失を左右するほどのシステム停止など、甚大な被害報告が相次いでいます。そのため、ランサムウェアによる被害を受けないためのセキュリティ対策が重要といえます。
主なランサムウェアの種類は9つ
情報セキュリティについて理解を深めるうえで、代表的なランサムウェアについてのインプットが重要です。これから、以下の9つのランサムウェアの種類について紹介します。
- Emotet
- WannaCry
- TeslaCrypt
- Cryptowall
- Bad Rabbit
- Oni
- Locky
- SNAKE
- Maze
- Ryuk
それぞれのランサムウェアの特徴や違い、共通点を確認しましょう。
Emotet(エモテット)
Emotet(エモテット)とは、電子メールの添付ファイルに含まれ、添付ファイルを実行した場合に感染するランサムウェアです。電子メールは一見本物のメールに見えるほど高度に偽装されており、一度添付ファイルを実行してしまうと攻撃者のサーバーに接続され、コンピュータ内のデータが操作されます。
Emotet以外のランサムウェアをダウンロードするケースも見られ、複合的なサイバー攻撃として行政機関からも注意喚起がされています。2020年末には一旦収束したものの、2021年前半に再度脅威を振るい始めてきました。
WannaCry(ワナクライ)
WannaCryは「泣きたくなる」という日本語訳の通り、かなり強力なランサムウェアです。Windowsの脆弱性を利用してコンピュータに侵入し、データやファイルを暗号化して身代金を要求します。
2017年にはWindows7を中心に全世界で大規模な被害が発生しました。当時はWindowsのセキュリティが最新ではないコンピュータが多かったことも原因となり、感染が急拡大したといわれています。セキュリティ意識の重要性が認識されるきっかけとなりました。
TeslaCrypt(テスラクリプト)
TeslaCryptは、ゲームのプレイヤーを標的にしたランサムウェアで、オンラインで配布されているゲームの拡張ファイルの中に潜入し広まりました。
2016年にTeslaCryptの開発者自身が解読コードを公開したため、今は過去の事例となりました。
CryptoWall(クリプトウォール)
CryptoWallは、コンピュータに感染しファイルを暗号化した後に、身代金を要求するランサムウェアです。「政府から送られた」といった内容のメールに偽装し、メールから侵入します。メールのURLをクリックし、その先にある画像認証をクリアすると、ランサムウェアがダウンロードされる周到ぶりでした。
2014年にオーストラリアを中心に広がり、その後も作成者によりバージョンアップが繰り返され、これまでに数々のセキュリティ対策をすり抜けてきました。そのため、今後もCrytoWallに関する最新情報には注意しましょう。
Bad Rabbit(バッドラビット)
BadRabbitは、AdobeFlashソフトウェアの更新ファイルに偽装して拡散したマルウェアです。ユーザーのデータを暗号化し解除に暗号通貨を要求する手口は、WannaCryと同じです。
2017年にロシア等の公共交通機関や政府が狙われました。現在は、偽物のアップデートファイルを拡散していたサイトが閉鎖されています。
Oni(オニ)
Oniはその名の通り、日本人を対象としたランサムウェアです。フィッシングメールに添付されたWordファイルに潜んでいます。例えば、件名「領収証」で本文に「領収証を添付いたします」とだけ記載されたメールが送られてきます。そして、添付ファイルを読み込もうとするとマクロが実行され、悪意のあるデータがダウンロードされます。
2017年末には対策が施されたため収束しました。
Locky(ロッキー)
Lockyはマクロを実行することによりファイルを暗号化し、身代金を要求するランサムウェアです。悪意のあるマクロが含まれたWordファイルが、電子メールを経由して拡散しました。ファイルを開くと意味不明な文字列が並んでおり、「データの復元がうまくいかない場合はこちらのマクロを起動してください」といった指示が記載されています。そして指示通りにマクロを起動すると、ランサムウェアがダウンロードされてしまいます。
2016年から2017年にかけて世界中で大流行し、ハリウッドの病院やイギリスの理系大学が被害を受けたことが有名です。
SNAKE(スネーク)
SNAKE(スネーク)はファイルを暗号化し、身代金を要求するランサムウェアです。特徴はWindowsとLinuxのITシステムを標的にしていることです。
2020年にホンダがスネークの感染により、工場の操業が一時停止状態になるといった膨大な被害を受けました。
Maze(メイズ)
Maze(メイズ)は、Windowsの脆弱性をついたランサムウェアです。ファイルを暗号化し、解除するための身代金を要求します。WordやExcelに偽装したファイルが電子メールで拡散されます。ターゲットとなる組織のクライアント名を送信元に使用し、巧妙に偽装します。組織のパスワードがかかっている場所にも、パスワードを総当たり攻撃で突破し侵入し、機密データを盗みます。盗み出された機密データは、MazeのWebサイトで公開されました。
2020年末に、Mazeは「今後の更新は行わない」として更新を停止しました。
Ryuk(リューク)
Ryuk(リューク)は、ロシア系の犯罪組織によって行われているとされる、組織を標的にしたランサムウェアです。ファイルを暗号化し、身代金を要求します。特徴は、身代金の金額が膨大であることです。あまりにも膨大であるため、「大金を稼ぐためのビジネス」として計画されているといわれています。
Ryukの特徴はセキュリティ会社により分析され被害も少なくなってきましたが、作成者側の改変も繰り返されており、今後も注意が必要です。
ランサムウェア感染後の対処法
ランサムウェアの感染被害に共通する点は、メールの添付ファイルを開くといったコンピュータ利用者のアクションが挙げられます。これから、ランサムウェアに感染したらやるべき6つの対処法について紹介します。
- 接続を遮断
- ランサムウェアを駆除
- ランサムウェアを特定、ファイルを復号
- バックアップデータよりファイルの復元
- ランサムウェアの感染経路や特定
- 金銭の支払いには応じない
感染した場合を想定し、何をするべきかを考えてみましょう。
接続を遮断
外部ネットワーク接続の遮断が有効的です。ネットワーク内部に侵入されていれば、同じネットワーク内の他のコンピュータに感染していく可能性を減らし、少しでも被害を広げないようにしましょう。
ランサムウェアを駆除
ランサムウェアの駆除ファイルがセキュリティ会社により公開されている場合があります。そのため、公開文書の指示に従って駆除を行いましょう。ランサムウェアの駆除が行われれば、周囲のネットワークへの感染を止められます。
ランサムウェアを特定、ファイルを復号
セキュリティ会社により、ランサムウェアの暗号パターンは解明されている場合が大半です。セキュリティ会社の公開している指示に従ってランサムウェアを特定しファイルを復号しましょう。
バックアップデータよりファイルの復元
コンピュータのバックアップを定期的に行っているのであれば、感染したファイルを復号せず削除し、バックアップデータを用いて感染前のデータに戻すのも可能です。復号が不可能な場合も想定されるので、定期的なバックアップを準備するとよいでしょう。
ランサムウェアの感染経路や特定
復帰後落ち着いたら、なぜランサムウェアに感染してしまったのかを検証してください。たとえば、メールの添付ファイルを起因とするランサムウェアである場合は、被害の直前に怪しい電子メールを読もうとしなかったかといったように、従業員の行動を詳細に聞き取るとよいでしょう。
金銭の支払いには応じない
「身代金を払えば元に戻る」保証はありません。膨大な金額を支払っても元に戻らない可能性もあります。そのため支払いに応じる前には、「そもそも交渉は必要か」といったように前提を疑うようにしましょう。
基本のランサムウェア対策
企業ができるランサムウェアの対策には何があるでしょうか。これから、ランサムウェア対策として以下の9つを紹介します。
- 外部サイトへのアクセス制限
- OSやソフトは常に最新状態にアップデート
- 不審なメールへの注意
- セキュリティソフトの導入
- 定期的なデータのバックアップ
- 端末から認識できない場所への保存
- すべてのデータの保存
- 世代管理の上、一定期間保存
- 社内におけるランサムウェア対策の知識共有
それぞれ具体的に見ていきましょう。
外部サイトへのアクセス制限
不審なWebサイトへはアクセスしないことが重要です。普段業務で使用しないWebサイトへのアクセスを管理側で遮断することで、リスクを減らせます。
OSやソフトは常に最新状態にアップデート
ランサムウェアは、Windows等のOSシステムの脆弱性を利用してきますので、常にセキュリティ状態を最新のものにしておく必要があります。社内のすべてのコンピュータが最新状態になっているかどうか、確認してください。
不審なメールへの注意
件名が不自然な場合や、メールリストにない人から突然メールが送信されてきた場合など、違和感があれば注意しましょう。
セキュリティソフトの導入
セキュリティソフトを導入すれば、怪しいメールのフィルタリングや、感染源のURLをクリックした場合に「危険なサイトです」といったように注意喚起が可能です。そのため、セキュリティに対する知見がない方でも、セキュリティソフトを導入によりデータ更新の習慣が身につけば、ランサムウェアの攻撃を受ける可能性を減らせます。
定期的なデータのバックアップ
ランサムウェア被害に備えて、データのバックアップを行っておくと安心です。身代金を支払わずに、ランサムウェアの感染前の状態に戻すことも可能です。
端末から認識できない場所への保存
ネットワークにつながっていれば、ランサムウェアはコンピュータを介して、パスワードも突破してデータにアクセスする可能性があります。そのため重要度の高い企業秘密データは、有線接続も無線接続もないようなネットワークから隔離されたコンピュータに保存しておきましょう。
すべてのデータの保存
ランサムウェア感染から復帰する際に、一部のデータのみのバックアップでは完全性が低くなり、重要なデータが抜けてしまう可能性があります。そのため重要なデータだけを保存するのではなく、1日分の全データを保存するようにしましょう。
世代管理の上、一定期間保存
日別や週別に、差分を保存したり、一定期間を過ぎたデータは消すといったルールを適応したりして、バックアップデータをコンパクトにまとめることも必要です。ランサムウェアは感染してから発覚するまで時間がかかるケースがあります。一定期間保存することで、ランサムウェアに感染していない時期のデータを探しやすくなります。
社内におけるランサムウェア対策の知識共有
ランサムウェアとはどのようなものなのか、社内で一度共有するとよいでしょう。たとえば、「ランサムウェアの攻撃の種類や、不審な電子メールやURLの危険性の周知が挙げられます。
よくある質問
最後に、ランサムウェアについてよくある質問に回答します。
- ランサムウェアとはどのような仕組みなのか
- 特に被害件数の多い有名なランサムウェアはなにか
一つひとつ参考としてご覧ください。
Q1.ランサムウェアとはどのような仕組みか教えて下さい。
A.ランサムウェアとは、ファイルを高度なパスワードで暗号化し、利用制限が行われる仕組みです。作成者の持つ鍵がないと復号できないためファイルが利用不可能になり、また、コンピュータの起動さえできなくなる画面ロック型もあり、攻撃を受けると事業が停止してしまいます。
Q2.特 被害件数の多い有名なランサムウェアにはどのようなものがありますか?
A.特に被害件数の多い有名なランサムウェアは以下の2つです。
- Emotet
- WannaCry
Emotetは2021年5月には日本における感染は減少しましたが、2022年には全四半期と比較し約54倍もの被害相談が「情報処理推進機構」に寄せられています。
またWannaCryは2017年に発生し、国内だけでも「1万6,100台」のコンピュータに被害を及ぼしました。世界的にも甚大な被害を与え、過去最高レベルのランサムウェアといわれています。
まとめ
ランサムウェアとは、ファイルを暗号化し、身代金を要求、盗み出したファイルも公開するサイバー攻撃です。攻撃の種類は多種多様であり、不審なメールやURLを経由してコンピュータに侵入しようとします。
多様化するランサムウェア攻撃に対策するためには、セキュリティ対策の常時アップデートに加え、迷惑メールは不用意に開かないといったセキュリティ意識の向上が重要です。
今回紹介した「ランサムウェアの種類」や、「ランサムウェア対策」を参考に実践していきましょう。