ランサムウェア攻撃とは?攻撃手法や受けやすい企業まで|サイバーセキュリティ.com

ランサムウェア攻撃とは?攻撃手法や受けやすい企業まで



近年ランサムウェア攻撃の手法は多様化し、さまざまな業界で被害が相次いでいます。

今回は「ランサムウェアの攻撃手法や主な感染経路、攻撃を受けやすい企業の特徴や対策の必要性」について解説します。

ランサムウェア攻撃の基本的内容を理解し対策したい企業の皆さまは、ぜひ最後までご覧ください。

ランサムウェアとは

ランサムウェアとは、近年増加し続けている不正プログラムです。

感染すると、機密情報の漏洩やデータ暗号化の被害を受けます。またデータの復元のために、身代金の請求を迫られるのが特徴です。

近年のランサムウェア攻撃の動向

実際にあった過去3年以内のランサムウェア攻撃の動向を、以下の表にまとめました。

発生年 事象
2019年 MAZEというデータを窃取したのち、身代金の請求と支払に応じなければデータを大々的に暴露する脅迫も行う「二重脅迫型ランサムウェア」が登場します。
2020年 特定多数へのランサムウェア感染を狙う「バラマキ型」の攻撃から、脅迫文に企業名を使用し特定企業に向けた「標的型ランサムウェア」が主流となります。
2021年 標的が利用しているファイルの5MBのみを暗号化し、復号ツールの利用を阻む「STOP」や、ウイルスソフトに検知されにくい「Sodinokibi」といった、「駆除が困難なランサムウェア」が発生しています。
2022年 テレワークの増加から、「VPN機器の脆弱性」を狙ったランサムウェア攻撃が急増。また二重恐喝型ランサムウェア「Cuba」が、身代金支払いのサポート等の追加アップデートを繰り返しながら活動を活発化させています。

上記の表からランサムウェアはいついかなる状況でも、感染する危険性が潜んでいるといえます。

ランサムウェアの攻撃手法とは

ランサムウェアは、以下の6つのステップで攻撃します。

  1. ネットワークへ侵入
  2. 遠隔操作ツールを仕込む
  3. ハッキングツールをダウンロード
  4. 情報の窃取
  5. ランサムウェアを実行し情報を暗号化
  6. 身代金を要求

それぞれのステップについて、1つずつ解説していきます。

1.ネットワークへ侵入

ランサムウェアに感染させて被害を拡大させるため、サイバー犯罪者はまず標的の社内ネットワークに侵入します。代表的な例は、有名企業のメールになりすます方法です。ユーザーにランサムウェアが仕組まれた添付ファイルを開かせて侵入します。

またサイバー犯罪者の間で、企業のアクセス権が売買されているケースもあります。ほかのサイバー犯罪者から標的の企業のアクセス権を購入すると、ネットワークへの侵入は容易です。

2.遠隔操作ツールを仕込む

ネットワークへ侵入できたサイバー犯罪者は、「RAT」や「Remote Access Tool」といった遠隔操作ツールを利用します。標的としている企業のネットワークにつながっている端末を遠隔操作するのです。

ランサムウェアを確実に感染させるため、遠隔操作ツールで事前にセキュリティ対策ソフトを停止させるケースもあります。

3.ハッキングツールをダウンロード

ネットワーク内にある多くの強力な権限を獲得するために、ハッキングツールをダウンロードします。ハッキングツールにはエクスプロイトキットが使われるケースが多いです。頻繁に利用するソフトウェアの脆弱性が、ハッキングの対象として狙われやすいです。

4.情報の窃取

サイバー犯罪者は、あらかじめランサムウェアの標的にしている企業の機密情報や個人情報など重要な情報を窃取します。情報を窃取するのは、身代金の要求と情報の暴露の二重の脅迫を行うためです。

窃取した情報は、サイバー犯罪者自身のサーバーやクラウド上に転送されます。

5.ランサムウェアを実行し情報を暗号化

情報の窃取が終わると、サイバー犯罪者は標的としている企業に対して、ランサムウェアを展開させて実行します。サイバー犯罪者が復号用の秘密鍵を所持しているため、被害を受けた企業はサイバー犯罪者の協力なしでは復号不可能です。

他にも、システムの復元機能の無効化、端末やバックアップデータの消去や暗号化、復号化用の秘密鍵の支払いを迫るケースなどがあります。

6.身代金を要求

情報の暗号化をした後、標的の企業の端末上に、身代金を支払うように要求してきます。支払いに応じなければ重要な情報を公開する旨の脅迫メッセージが届くのです。

脅迫メッセージには次のようなケースがあり、非常に悪質です。

  • 暗号通貨や追跡が困難な手段で身代金を支払わせるための方法が書かれている
  • 身代金の支払期限が設けられていても、期限の数時間前に要求額が増加する
  • サイバー犯罪者が暗号化を行う前に重要な情報を窃取し、その情報を公開する旨の脅迫を行う

3つ目は、定期的にバックアップを取得した場合でも、企業が身代金を支払ってしまいやすいケースです。

ランサムウェアの主な感染経路

ランサムウェアは、以下の5つの経路から感染してしまうケースが大半です。

  • メールの添付ファイルやリンクから感染
  • WEBサイトから感染
  • ソフトウェア・ファイルのダウンロードから感染
  • USBメモリなど外部メモリからの感染
  • 悪意ある拡張機能(アドオン/プラグイン)の有効化

それぞれの感染経路について、1つずつ解説していきます。

メールの添付ファイルやリンクから感染

2021年の警察庁が発表した統計結果によると、メールからの侵入は全体のなかで3番目に多い感染経路です。

有名企業を名乗ったフィッシングメールに添付されているリンクやファイルを開くと、ユーザーの端末がランサムウェア攻撃の被害に遭ってしまいます。

WEBサイトから感染

Webサイトが感染経路になるケースもあります。

例えば、本来のサイトに酷似したフィッシングサイトにユーザーを誘導し、ランサムウェアをダウンロードさせるケースです。アドレスのスペルや企業名を少し変え、co.jpをne.jpにするという手口を使用しています。接続時にアドレスの確認を怠らなければ感染リスクを減らせます。

ソフトウェア・ファイルのダウンロードから感染

ソフトウェアやファイルの配布をしているサイトに酷似しているフィッシングサイトには要注意です。意図せずランサムウェアをダウンロードさせられる可能性があります。

知名度がないソフトウェアの配布サイトや、海外の販売サイトは危険です。普段から利用している信用できるメーカーのサイトからダウンロードしましょう。

USBメモリなど外部メモリからの感染

USBやハードディスクなどの外部記録媒体が、感染経路になるケースもあります。

特に、企業内で共用している外部記録媒体にランサムウェアが仕込まれていた際には、感染の範囲が拡大してしまいます。

通販サイトを装って、ランサムウェアが仕込まれているUSBメモリが配送される被害もあるので、取り扱う外部記録媒体には注意が必要です。

悪意ある拡張機能(アドオン/プラグイン)の有効化

ランサムウェアの感染経路の1つに、拡張機能(アドオン/プラグイン)が挙げられます。
「便利な機能が追加される」と期待して有効化したつもりが、実際は悪意のある有害な拡張機能で、被害を受けたケースも存在します。

そのためレビューや各種情報を参考に、信用性の高いサイトから拡張機能をダウンロードして有効化しましょう。
なお、ランサムウェアの感染経路について詳しく知りたい方は、下記記事も参考としてご覧ください。

参照ランサムウェアの感染経路や対処法 | 感染時の対処方法を徹底解説

ランサムウェアの攻撃を受けやすい企業とは

ランサムウェア攻撃を受けやすい企業は、どのような特徴や共通点があるのでしょうか。以下の特徴のある企業と病院は、ランサムウェア攻撃の標的になりやすいです。

  • セキュリティ対策が不十分な中小企業
  • 大企業の子会社や関連企業
  • VPN機器やOSを最新にしていない脆弱性がある企業
  • 医療機器サーバーを使用する病院

上記の4つの組織が標的になりやすい理由について、1つずつ解説していきます。

セキュリティ対策が不十分な中小企業

セキュリティ対策が不十分な中小企業は、ランサムウェア攻撃の標的として狙われやすいです。

セキュリティ対策ツールの導入やセキュリティ教育の実施など、サイバー犯罪の対策には多くの費用がかかるため、セキュリティ対策への投資を行わない中小企業も存在します。セキュリティ対策が不十分であるという事実がサイバー犯罪者に知られてしまった結果、標的として狙われやすくなるのです。

実際のところ、警察庁の調べによると、2021年はランサムウェアによる被害が149件確認されており、そのうち79件は中小企業が受けた被害でした。

重要な情報を保護できるように、中小企業もできる限りセキュリティ対策をする必要があります。

参照令和3年におけるサイバー空間をめぐる脅威の情勢等について/警察庁

大企業の子会社や関連企業

近年組織間のつながりを悪用した「サプライチェーン攻撃」と呼ばれる、ランサムウェア攻撃の被害が増加しています。サプライチェーン攻撃では、主目的の大企業から身代金を得るために、子会社や関連企業を攻撃対象として狙います。

大企業はセキュリティ対策が強固であるため感染が難しい場合が多く、セキュリティ対策が手薄かつ大企業からの信頼が厚い「子会社や関連企業」を踏み台にして、大企業へ侵入を試みます。

サプライチェーンが稼働しなくなり被害額が大きくなるのを防ぐためにも、ランサムウェア対策が重要です。

VPN機器やOSを最新にしていない脆弱性がある企業

VPN機器やOSを最新にアップデートしていない企業は、脆弱性が放置されているので、標的として狙われやすいです。

システム担当者が多忙な状況だからといってアップデートを後回しにしているうちに、ランサムウェア攻撃を受けてしまいます。

医療機器サーバーを使用する病院

医療機器サーバーを使用している病院も、ランサムウェア攻撃の標的として狙われやすいです。

患者の個人情報やカルテ、入院記録などの重要な情報は、厚生労働省により制定されているガイドランに沿って厳重に管理されています。しかし、コロナ禍で医療業務が多忙を極め、セキュリティ対策が疎かになっている病院もあり、被害に遭いやすくなりました。

また、医療機関の情報は、ダークウェブの間で高値で売買されているのも、医療機関が狙われやすい原因の1つです。

ランサムウェア対策の必要性

企業がリスクを回避するためには、ランサムウェア対策の必要性を理解するのも重要です。

ランサムウェア対策が必要な理由は、以下の5つです。

  • 重要なデータを保持しているから
  • ランサムウェア攻撃を受けた際の被害が大きいから
  • 個人情報の漏洩が起きて多くの人に被害が及ぶから
  • 自社の損失だけでなく取引先にも被害が及ぶから
  • 企業の信頼を失くすから

上記の5つの理由について、1つずつ解説していきます。

重要なデータを保持しているから

企業の規模に関わらず、どの企業も重要なデータを保持しているため、ランサムウェア対策が必要です。
もし、保持している重要なデータが暗号化されたり漏洩されたりして利用できなくなったら、不利益が出てしまいます。

ランサムウェア攻撃を受けた際の被害が大きいから

ランサムウェア対策が必要なのは、攻撃の被害が広範囲に及ぶケースがあるからです。
攻撃を受けた際には、以下の4つの被害が発生してしまいます。

  • 業務停止による得られるはずだった利益の損失
  • 顧客や取引先企業からの信頼低下
  • 情報漏洩による賠償金の請求
  • 被害を受けたストレスによる従業員の士気の低下

また、ランサムウェア攻撃を受けると被害額も非常に大きいです。

警察庁の調べによると、2021年に発生した149件のランサムウェア攻撃のうち、1,000万円以上の被害額が42件確認されています。

ランサムウェア攻撃を受けてから後悔しないためにも、事前の対策が必要です。

参照令和3年におけるサイバー空間をめぐる脅威の情勢等について/警察庁

個人情報の漏洩が起きて多くの人に被害が及ぶから

個人情報が漏洩してしまうと従業員や顧客など、多くの方々に被害が及ぶため、ランサムウェア対策が必要です。

サイバー犯罪者は、標的が保持している個人情報を窃取した後、窃取した情報と引き換えに身代金を支払うように脅迫します。サイバー犯罪者が開設したWebサイト上で顧客や従業員の個人情報が開示されてしまうと、漏洩による被害も発生してしまいます。

自社の損失だけでなく取引先にも被害が及ぶから

被害が取引先にも及び、自社へ被害請求されるのを避けるためにもランサムウェアの対策が必要です。

多くの企業では、取引先がサイバー攻撃を受けた影響で、自社に被害が及んだ経験があります。大阪商工会議所の経営情報センターが実施した調査によると、調査対象の118社のうちの25%にのぼります。

参照「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」結果について/大阪商工会議所

企業の信頼をなくすから

企業の信頼をなくさないためにも、ランサムウェア対策は必要です。

被害の規模や身代金を支払ったか否かに関わらず、ランサムウェアの被害を受けた際には事実を報告する義務があります。その報告が、ランサムウェアの被害に遭った企業の顧客や取引先の企業に伝わった信頼を失いかねません。「セキュリティ面で問題がある企業」とレッテルを貼られて、信頼されなくなってしまいます。

そのため、セキュリティ面において対外的な信頼を維持するためにも、ランサムウェアの対策は重要です。

ランサムウェア攻撃をうけない為の対策方法

ランサムウェア攻撃を防ぐための対策方法は以下の通りです。できていない対策方法があれば、すぐにでも取り入れてみましょう。

  • 定期的に複数の外部ストレージへのバックアップをしておく
  • OSやソフトウェアを最新のバージョンにしておく
  • OSのバックアップ機能を設定しておく
  • 仕事に関係のないサイトへのアクセス制限をかける
  • 見覚えのない電子メールをむやみに開封しない
  • 安易にリンクをクリックしたり、添付ファイルを開いたりしない
  • 出所のわからないUSBメモリを使用しない

ランサムウェアの多種多様な攻撃から企業の重要データを守るためには、特に「複数の外部ストレージへのバックアップ」が重要です。

なお、ランサムウェアの対策方法の詳しい解説は、『ランサムウェア対策方法を徹底解説!被害に遭わないように今知っておくべきこと』をご覧ください。

よくある質問

最後に、ランサムウェア攻撃に関する、よくある質問を2つ紹介します。

  • ランサムウェア攻撃で身代金を要求された場合の対処法を教えて下さい。
  • ランサムウェアを駆除する手順を教えて下さい。

それぞれの質問に対して、1つずつ答えていきます。

Q1. ランサムウェア攻撃で身代金を要求された場合の対処法を教えて下さい。

身代金の支払いには応じずに、ランサムウェアの駆除に取り掛かりましょう。

身代金を支払ってしまうと、旨味を感じたサイバー犯罪者は、更に多くの企業にランサムウェアを仕掛けてしまうからです。

また、社内の情報セキュリティ管理者への速やかな報告も重要です。

Q2. ランサムウェアを駆除する手順を教えて下さい。

まずは、感染した端末を速やかにインターネットから隔離してください。例えば、Wi-FiをOFFにし、有線のLANケーブルがつながっているのであれば引き抜きます。

次に、セキュリティ対策ツールを利用して、潜伏しているランサムウェアを駆除してください。セキュリティ対策ツールの利用後は、復号ツールでファイルとデータを復号しましょう。

最後にバックアップからファイルを復元すれば、駆除は完了です。

まとめ

ランサムウェアの攻撃手法や主な感染経路、攻撃を受けやすい企業の特徴や対策の必要性について解説しました。

ランサムウェアの攻撃に遭ってしまうと、情報の流出や暗号化により、広範囲に大きな被害が及びます。金銭面の損失だけでなく、顧客や取引先企業からの信用も失いかねません。

だからこそ、セキュリティ対策ソフトの導入や、定期的なバックアップ、OS等のバージョンアップなど対策をする必要があります。

自社のセキュリティは万全なのか振り返り、不十分な点は見直すのが大切です。

本記事を参考に、ぜひ定期的なセキュリティの見直しを行い、ランサムウェアの攻撃に遭うリスクを減らしましょう。


SNSでもご購読できます。