無料会員登録
このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、仮に被害を受けた場合は、感染経路や被害全容の調査を行わなくてはいけません。
しかしランサムウェアがどのようにシステムに侵入して感染するか知らなければ、侵入経路となる脆弱性を修正することができず、セキュリティ対策があるのか整理できていない状況も少なくありません。そこで、この記事では、ランサムウェアの感染経路を7つ紹介し、適切なセキュリティ対策方法についても解説します。
まずは慌てずに、適切な対応を取りましょう。もし「ランサムウェアに既に感染している」「情報漏洩など実被害が出ている」「ランサムウェア感染調査の依頼先がわからない」という場合、ランサムウェア感染調査に対応した専門会社まで相談してください。
また、下記の記事では、ランサムウェアの感染調査ができる会社を一覧にしてまとめています。本記事と併せて参考にしてみてください。
目次
ランサムウェアの主な感染経路7選
ランサムウェアに感染した時には、感染経路を正確に特定しなければ、ランサムウェアを駆除しても、再度同じ感染経路から感染させられる可能性があります。ランサムウェアの感染経路を把握したうえで、セキュリティの強化をすることが今後の被害を抑えるために重要になります。ここでは、ランサムウェアの主な感染経路を紹介します。ランサムウェアの主な感染経路は、以下の7つです。
- VPN機器の脆弱性を突かれた
- RDP(リモートデスクトップ)の脆弱性を突かれた
- メールの添付ファイルやリンクをクリックした
- 改ざんされた偽サイトを閲覧した
- 悪意ある拡張機能(アドオン/プラグイン)の有効化してしまった
- ソフトウェアやOSの脆弱性
- USBメモリから感染した
心当たりがある場合は、ランサムウェアに限らず、マルウェアに感染している可能性がありますので、感染の有無を確認することを推奨します。インシデントの報告が上がった場合、「ファスト・フォレンジック」という技術を使って、まずはネットワーク全体をスキャンし、サイバーインシデントの有無や調査しましょう。
≻ランサムウェアに感染するとどうなる?確認方法と適切な初動対応まとめ
VPN機器の脆弱性を突かれた
VPN(Virtual Private Network)は、インターネット上に暗号化された安全なトンネルを構築し、遠隔から社内ネットワークに安全に接続できる技術です。フリーWi-Fiと比べて情報漏えいやウイルス感染などのセキュリティリスクを抑えることができます。手軽にネット環境を形成できることから、多くの企業でVPN機器の利用が進んでいます。
その反面、サイバー攻撃のターゲットとして、VPN機器を狙った攻撃の被害が拡大しています。VPN機器へのサイバー攻撃では、認証に利用するアカウント情報や、VPNのセキュリティ脆弱性を利用してネットワークや組織内部に侵入して攻撃を行います。何の対策も行われていない場合には、インターネット上からVPN機器のベンダーやソフトウェアのバージョンを確認され、特定されてしまうため、攻撃可能なVPN機器を発見次第、サイバー攻撃を仕掛けてきます。そのほかにも、VPNの設定ミスにより、ログイン情報が漏れてしまえば、外部からのアクセスを許してしまいます。
実際に警視庁のデータによると、令和6年上期のランサムウェア感染被害のうち、感染経路で最も多かったのはVPN機器からの侵入でした。
出典:警視庁
RDPの脆弱性を突かれた
RDP(リモートデスクトッププロトコル)は、遠隔地のPCにログインして操作できるMicrosoft製のリモート接続用プロトコルで、リモートワークやサーバ管理に多用されています。。コロナ感染ウイルスの影響でリモートワークを導入している企業も増加している中で、頻繁に利用されるようになった利便性の高い通信規格です。
しかし、RDPは、パスワード管理の甘さやポートの設定ミスが多く、攻撃者に狙われやすい構成になりがちです。セキュリティ対策をしていないと、攻撃者のリモート接続を狙ったをブルートフォース(総当たり)攻撃やクレデンシャルスタッフィング(漏洩パスワードの使い回し)攻撃に対しての侵入を許し、パスワードが盗まれる可能性があります。問題は、このRDPのリモートログインと、デスクトップPCで同じパスワードを利用していると、簡単にデバイス内に侵入されてしまう事です。
そのほかにも、インターネット上に公開されたポート3389が攻撃対象となり、ブルートフォース攻撃や不正アクセスの踏み台として悪用されるケースもあります。リモート環境を推奨しているような企業にとってRDPのサイバー攻撃対策を行うことは必須ですので、専門業者に依頼して脆弱性がないか調査しましょう。
メールの添付ファイルやリンクをクリックした
フィッシングメールやスパムメールなどの添付ファイルには、マルウェアが添付されていることがあります。心当たりのないメールに添付されている悪質なファイルやURLにアクセスすると、ランサムウェアに感染する可能性があります。
フィッシングメールやスパムメールの悪質化は進行しており、公式のサービスと限りなく類似したホームページやメールフォームを使用したものが多く登場しています。特に最近はメールだけでなく、SNSのダイレクトメールを通してスパムのメッセージが届く被害も多く発生しています。中には、HTMLの中に悪質なスクリプトを埋め込むことで、メールを開封したことで、ウイルスに感染するような仕掛けが施されている可能性もあります。
もしこれらのメール添付のファイル・リンクを開いてしまうと、ランサムウェアに限らず多数のマルウェアに感染させられることも考えられます。見知らぬアドレスから届いたメールは絶対に開封しないようにしてください。もしフィッシングメールやスパムメールを開封した際には、すぐにネットワークから切り離し、専門会社に依頼してランサムウェアに感染していないか調査しましょう。
改ざんされた偽サイトを閲覧した
詐欺SMSや詐欺リンクなどを経由して、 改ざんされた偽のウェブサイトにアクセスすると、ランサムウェアに感染する可能性があります。WindowsやGoogleなどから「ウイルスが検出されました」や「~記念で〇〇様は~に当選しました」というような内容のページが表示されることがありますが、これらを「偽警告(Fake Alert)」や「偽当選サイト」と呼びます。これらに仕掛けられたURLなどのトリガーを起動させることによって、ランサムウェアに感染するというような攻撃手法です。
ランサムウェアの感染被害だけでなく、個人情報やクレジットカード情報などを入力させるフォームが表示されることで情報が盗まれ、金銭被害や情報漏えい被害が発生することも考えられます。アラートや偽当選サイトが表示された時点では特に問題ないので、ブラウザを閉じ、無視するようにしてください。改ざんされた偽サイトは、本物のWEBサイトそっくりに作成されているので、誘導されてしまうケースが多いです。見知らぬSMSやサイトのURLは絶対にクリックしないようにしましょう。
悪意ある拡張機能(アドオン/プラグイン)を有効化してしまった
Googleブラウザ上では、拡張機能を導入することで、効率的に作業を行うことが出来るため、多くの人が機能の追加・拡張をしているでしょう。Google Chrome、Microsoft Edge、Safariなどのブラウザで各ブラウザに合わせた拡張機能が提供されており、誰でも簡単にインストールできます。
しかし、この拡張機能の仕組みを利用したサイバー攻撃が発生しています。通常は広告が表示されないはずのWebサイトに不自然な広告が出てきた場合は、悪質な拡張機能が動作している可能性があります
この広告をクリックすると、ランサムウェア感染などのサイバー攻撃の被害が発生する可能性があります。ブラウザの拡張機能を悪用し、ランサムウェアの感染を誘導するサイバー犯罪も多いので、提供元不明の拡張機能は導入しているものを定期的に管理することが重要になります。
ソフトウェアやOSの脆弱性
ソフトウェアやOSの開発・販売の時点で、脆弱性があるものをダウンロードしている場合には、セキュリティ対策をしていないと攻撃者のターゲットにされる可能性があります。ランサムウェアの攻撃者にソフトウェアやOSのセキュリティに脆弱性が特定された場合には、PCの社内ネットワークやクラウドシステム内部に容易に侵入されてしまいます。
ネットワークやクラウドシステムに侵入され、ランサムウェア感染させるのはよくある手法の一つです。そのほかにもデータを盗まれ、情報漏えいによる被害が発生するリスクもあります。セキュリティの脆弱性を管理するためには、導入しているソフトウェアやOSを常に最新にアップデートすることが最重要です。
USBメモリから感染した
ランサムウェアは、USBメモリに保存して持ち運びが可能で、別の機器に接続したり、ファイルにアクセスすることによってトリガーが発動し、攻撃者は、USBメモリを利用してランサムウェアを仕込み、接続したPCを感染させる手口を用いることがあります。中には通販を装って「攻撃用USBメモリ」が届き、内部を確認しようとアクセスしたPCがランサムウェアに感染させられたという事例もあります。
これは外部接続が可能な外付けHDDなども同じ可能性があります。デバイスからの感染拡大は、社内に急速な感染拡大を起こす可能性があるためとても危険です。また、オフラインのメディアからもランサムウェアに感染するリスクがあると、常に念頭に置きましょう。また、見知らぬ外付けデバイスを安易に接続したりデータにアクセスしないようにしましょう。
これらの感染経路が明確でなければ、ランサムウェアを駆除したとしても同じ脆弱性を狙ったサイバー攻撃の被害が発生しかねないです。ランサムウェアに感染した際は、感染経路を調査することは必須になりますので、被害が拡大する前に信頼できる調査会社にすぐに相談しましょう。
ランサムウェアの特徴・手口
画像:ランサムウェアLockBit2.0の脅迫画面
ランサムウェアとは、身代金要求に特化したソフトウェア(マルウェア)です。もし感染すると、上記のような警告ダイアログが画面上に表示されることもあります。
同時に、端末内のすべてのデータが暗号化され、復号キーと引き換えに暗号通貨で身代金を要求されます。なお、被害が端末だけでなくネットワーク全体に及ぶと、数億円規模の身代金を要求されるケースも報告されています。
かつてランサムウェアの攻撃対象は、一般ユーザーでした。しかし、現在のランサムウェアは、より多くの身代金を窃取するため、民間企業や団体、とくにグループ系列の企業や、サプライチェーンの脆弱性を狙ったものが目立つようになりました。
2020年に入ると、攻撃手口は「二重恐喝」に移り変わり、攻撃支援サービス「RaaS」が普及したことで、技術力のないサイバー犯罪組織でも手軽にランサムウェアを購入することが可能となりました。
現在は二重恐喝が主流
かつては身代金を要求するだけでしたが、現在は、データの暗号化と情報漏えいを組み合わせた「二重恐喝型」のランサムウェアが多数を占めます。これは身代金を支払わない企業に金銭を支払わせるために、ダークウェブ上の「リークサイト(被害情報を晒すための専用サイト)」に盗んだデータが公開されます。もし身代金を支払ったとしても追加の要求が発生し、脅迫行為が複数回繰り返される可能性があります。身代金は絶対に支払わないようにしましょう。
一方で近年は「ノーウェアランサム」と呼ばれるデータを暗号化せずに情報を盗み、盗んだ情報の公開と引き換えに金銭を要求する新しいランサムウェアの被害も見られます。ノーウェア型ランサムウェアも同様に、金銭を支払ってはいけません。
ランサムウェアの被害件数
警視庁の発表によれば、ランサムウェアの被害件数は2020年代以降、右肩上がりで増加しています。たとえば2021年時点で、136件だった被害件数は、以降高水準で推移し、2024年には222件まで増加しています。
要因として、コロナ禍によるテレワーク普及により、VPNやリモートデスクトップのぜい弱性、認証情報を利用した侵入が増加したことや、前述した「二重恐喝」や「RaaS」により、手口が悪質化していることが背景にあると考えられています。
出典:警視庁
バックアップからの復旧だけでは不十分
これまでランサムウェア被害を受けた企業の多くは、バックアップをもとにデータ復元したあと、暗号化された端末・サーバーを初期化することで、応急処置を行ってきました。しかし、二重恐喝がランサムウェア感染の常となった現在は、ランサムウェアがネットワークに侵入する過程で個人情報や認証情報などを入手している傾向にあるため、情報漏えいのリスクもあるため、バックアップだけでは対策として不十分です。
特に2022年には「改正個人情報保護法」が施行され、情報漏えいの報告・通知が原則として義務化されました。つまり、被害調査を怠った法人は、法令違反となります。ランサムウェア感染調査が遅れることで被害の長期化や信用問題に発展し、企業の存続にも大きく影響しますので、ランサムウェア感染の疑いが少しでもある場合は、必ず調査を行い、被害実態を把握しましょう。
ランサムウェア感染時に起こりうる被害
ランサムウェアに感染してしまった場合は、データが暗号化されてしまうというのが一番最初の被害ですが、その後も複数の深刻な被害が発生する可能性があります。被害を想定していないと、初動対応が遅れ、さらなる被害拡大を招く恐れがあります。ここでは、ランサムウェア感染時に起こりうる被害を紹介しますので、ランサムウェア感染時に被害を確認して、どのように対策すべきか選択しましょう。
- データ暗号化による業務停止
- 身代金要求による金銭被害
- 法的な罰則・賠償金
- 情報漏えいの発生・信用低下
データ暗号化による業務停止
まず第一に発生する被害は、保存されているデータの暗号化です。今まで当たり前にアクセスできていたデータにアクセスできなくなります。中でも、社内サーバーなどの業務運用にかかわるようなデータが暗号化されると、必然的に業務停止を強いられる状況に陥る可能性があります。
もし、企業が一日業務停止すると、被害は大きいです。人件費や損失額を考えると、その影響は計り知れません。この場合でも、まず最初にランサムウェアの感染調査の専門会社に相談することが先決になります。
身代金要求による金銭被害
データの暗号化被害の次に発生するのが、「身代金要求による金銭被害」になります。攻撃者はまず最初に、ランサムウェアの暗号化を解除することを条件に、身代金を要求してきます。その後、ランサムウェアの感染を知らせるアラートと同時に支払いを要求するランサムノートが表示されます。
暗号化データをダークウェブ上に公開するといった脅迫メッセージが表示され、何としても身代金を支払わせようとします。ただし、身代金を支払ったとしてもデータを復号化してもらえる保証はありません。
また、身代金を支払う行為は世間から見ると、悪質な組織に対して金銭的な支援をしていると捉えられかねません。つまり、被害者にとってデータを復号化してもらえる確証がない以上、身代金を支払う行為はデメリットしかありません。絶対に支払わないようにしてください。
法的な罰則・賠償金
情報漏えいが発生した場合に、公的機関や被害者に対しての報告を怠った場合には、個人情報保護法の罰則が発生する可能性があります。報告は以下の2度必要になります。
- 速報:発覚から3~5日以内
- 確報:原則30日以内(不正取得が疑われる場合は60日以内)
2022年4月に改正された個人情報保護法では、違反した企業の情報漏えいにおける罰金の金額が「最低50万円~最高1億円以下」に引き上げられました。たった二度の報告を怠ることで、信用だけでなく金銭的な被害も発生します。情報漏えいの可能性がある場合には、必ず真っ先に各方面への報告の準備をするために、早急に被害範囲や感染経路などの必要な情報を調査し、個人情報保護委員会や被害者に対して報告するようにしましょう。
情報漏えいの発生・信用低下
ランサムウェアに感染した事で、企業で所有していた個人情報や企業秘密の情報が漏えいした場合には、適切に個人情報が管理できないとして世間から企業ブランドの信用が下がることが予想されます。もし情報漏えいが起きてしまった場合には、改正個人情報保護法に基づき、個人情報保護委員会及び本人に速やかに通知しましょう。
そのためにはランサムウェア感染によってどのような情報が何件漏えいしたかなど被害範囲や侵入経路を特定するための調査を行い、今後のセキュリティ方針を正式に公表することが重要です。
少しでも信頼を回復させるためにも、専門会社に相談して情報漏えいが発生しているかどうかを正確に調査し、各方面への報告を怠らないことが重要になります。公的機関への報告には、証拠能力を持った正確な調査結果を記したレポートの作成・提出が必須になります。専門の調査会社に依頼するとスムーズに進みますので、いち早く相談するようにしましょう。
ランサムウェア感染時の注意点
ランサムウェア感染時は以下の点に注意しましょう。
- 身代金は支払わない要求には従わない
- 感染機器と別の機器を接続しない
- メールアドレス・パスワードを変えない
- ランサムウェアのファイルを削除しない
- バックアップを更新しない
- 機器を初期化しない
身代金は支払わない/要求には従わない
身代金を支払ったとしても、攻撃者が約束通りにデータを復号化する保証はありません。また、その他さまざまな脅迫や要求がされる可能性がありますが、こちらも同様です。
身代金を支払う行為が反社会勢力への支援だと捉えられる可能性もあります。基本的に攻撃者からの指示や要求には従わないようにしてください。
感染機器と別の機器を接続しない
感染機器を別の機器にアクセス可能な状態で放置してしまうと、別の機器までランサムウェアの感染被害が拡大する可能性があります。感染機器はネットワークから隔離し、電源を切らずスリープモードで保管してください。
メールアドレス・パスワードをそのまま利用しない
ランサムウェアに感染した時は、その機器で利用していたメールアドレス・パスワードが流出している可能性が高いです。放置すると第三者にアカウントを乗っ取られ、被害がさらに広がる危険性があります。メールアドレスはすぐに変更し、パスワードは新しく複雑なものに設定するようにしましょう。
ランサムウェアのファイルを削除しない
ランサムウェアに感染した時は、そのランサムウェアが含まれている可能性が高いファイルを削除してはいけません。以下のようなリスクが発生します。
- ファイルの暗号化を解除できなくなる
- ランサムウェア感染調査が難航する
- 感染拡大のリスクがある
ランサムウェアのファイルは、感染していることを裏付ける重要な証拠になります。削除すると、ランサムウェア感染の調査の難易度が上がります。感染した以上ファイルを削除したとしてもシステムに侵入されている事実は変わらないため、ファイルを削除しないようにしてください。
バックアップを更新しない
ランサムウェアの感染状況がバックアップに上書きされてしまうと、過去のデータを復元するたびにランサムウェアの感染状況も復元されてしまう可能性が高いです。ランサムウェア感染時はバックアップを更新しないようにしてください。
機器を初期化しない
ランサムウェア感染被害が発生した時に機器を初期化することで、データは削除されてしまう代わりに機器を通常通りに使用できる可能性があります。しかし、感染していたすべての状況が初期化されてしまうため、感染経路や被害範囲の特定のための調査ができなくなります。
情報漏えいなどの被害が発生していた場合には致命的な状況になりますので、初期化する際にはまず専門会社で調査をし、事実調査が完了してから初期化するようにしましょう。
ランサムウェアに感染した場合の対処・調査方法
ランサムウェアに感染した際には、初動対応を徹底しているかによって被害の範囲に大きく差が出ます。適切に対処することでランサムウェアの拡散を防止できることがあります。。ランサムウェアに感染した時の初動対応と調査方法は以下の通りです。
- 感染機器をオンライン上から隔離する
- バックアップからデータを復元する
- 暗号化されたデータを復号化する
- OSをアップデートする
- セキュリティソフトでランサムウェアを駆除する
- 専門会社へ相談する
感染機器をオンライン上から隔離する
ランサムウェア感染時、周囲への二次感染を防ぐため、感染端末は速やかにネットワークから切り離し、そのまま隔離しておく必要があります。有線ネットワークの場合は、ケーブルとの接続をやめ、無線ネットワークの場合、Wifiはオフラインにしておきましょう。
ただし、機器の電源を落としてしまうと、RAMなどのメモリに一時的に保存されているデータが完全に削除される可能性があります。電源は切らず、スリープモードで管理するようにしてください。
バックアップからデータを復元する
ランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除するか、サーバーの初期化を行った後、バックアップからファイルの復元を試みましょう。
ランサムウェアに感染した場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏えいにより、顧客にも被害が及ぶ可能性があります。
暗号化されたデータを復号化する
暗号化されたデータを復号化することで、データにアクセスできるようになりますが、ランサムウェア感染時は基本的に復号化キーと引き換えに身代金を支払うことを要求してきます。しかし、専門家に相談すれば、感染状況の調査に加えて技術的な復旧支援を受けられる可能性もあります。
たとえ身代金を支払ったとしても、復号化キーを渡してもらえる保証はないので、絶対支払わないでください。まずはランサムウェア感染調査の専門家で復号化可能か確認しましょう。
OSをアップデートする
ランサムウェアに感染した端末が古いOSを使っている場合、すぐに更新しておきましょう。アップデート前のOSには脆弱性(セキュリティ・ホール)が多数存在しており、それを悪用して不正侵入が行われるケースが多いからです。感染が疑われる端末には、すぐにアップデートを適用するのではなく、まず被害調査を優先してください。調査が完了したあとにOSを更新し、再発防止策を講じるのが望ましいです。
セキュリティソフトでランサムウェアを駆除する
セキュリティソフトは、ランサムウェア被害を受けている機器からランサムウェアを除去する機能を持つものがあります。感染経路や被害範囲の調査が完了した場合は、以下の手順でセキュリティソフトを利用し、ランサムウェアを駆除しましょう。
- 最新のセキュリティソフトをインストールする
- システムスキャンを実行
- 検出されたランサムウェアの削除
- システムの復元
- セキュリティ強化
ただし、セキュリティソフトによって使用用途や手順が異なります。セキュリティソフトは万能なものではないため、ソフトを導入しただけで満足せずに、定期的なアップデートとバックアップの作成を行いましょう。
ランサムウェア感染調査の専門家へ相談する
感染の疑いがある場合には、「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。
しかし、個人での原因特定には限界があるため、ランサムウェアの感染経路を適切に調査するには、ランサムウェア感染の専門家に相談することをおすすめします。ランサムウェアの対応実績がある調査会社であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。
フォレンジック調査とは?
サイバー犯罪の調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、警察や裁判所でも法的な捜査方法として取り入れられており、ランサムウェアの被害調査において最も有効な調査手法のひとつとなっています。
おすすめランサムウェア被害調査会社
ランサムウェアの調査を行いたい場合には、どのような基準で会社を選べばいいのでしょうか?
正確な調査結果を得るためには、会社が専門知識と調査技術を持っているかどうかを確認しましょう。おすすめの調査会社として、累計相談件数3万9,000件以上で大手企業・警察の捜査協力などの実績を持つ「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応会社です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
| 費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
|---|---|
| 調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
| 調査実施事例 | ランサムウェア・マルウェア感染調査など、警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元 |
| 特長 | ■大手企業や警察を含む累計39,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
代表的なランサムウェアとその種類
最後にここ数年で流行し、大きな被害を与えたランサムウェアを4つ紹介します。
LockBit2.0/3.0
LockBitは、2022年現在、最も活発なランサムウェアの一つで、感染するとネットワークを通じ、アクセス可能な端末を一瞬で暗号化するなど甚大な被害を及ぼします。とくに、これはビジネスに特化したランサムウェア製品(RaaS)のひとつで、たとえ技術力の乏しいサイバー犯罪集団でも安易に使えること、盗んだデータを晒すことを交換条件に出す「二重脅迫」を採用していることなどによって、被害規模が大きく、被害件数・被害額ともに、今では世界有数のランサムウェアとなっています。
なお、2024年にLockBitの開発者とされる人物が国際捜査により逮捕され、リークサイトは現在閉鎖されています。
出典:日本経済新聞
8base
8baseランサムウェアは中小企業をターゲットにしているランサムウェアの一種です。感染すると「.8Base」拡張子がファイル名に追加され、データが暗号化されます。二重恐喝などの手口は近年のランサムウェアの手口と同様ですが、感染経路にフィッシングメールが選ばれているのが特徴的です。この手口はメールの受信者が添付ファイルを開いたり、リンクをクリックしたりすることで、ランサムウェアがダウンロードされます。
国内の感染事例としては、2024年5月に官公庁や企業の印刷業務を請け負っていたイセトーのサーバーに8baseランサムウェアが感染しました。このランサムウェア感染により約150万件の個人情報が漏えいしました。現在は8baseの中枢メンバーは警察に逮捕され、リークサイトも閉鎖されています。
出典:日本経済新聞
出典:日本経済新聞
Akira
Qilin
「Qilin」は、ダークウェブ上で活動するRaaS(Ransomware as a Service:ランサムウェアのサービス化)型の犯罪グループが使用するランサムウェアです。VPNの脆弱性やフィッシングメールなどから企業ネットワークへ侵入し、「.qilin」などの拡張子を付与してデータを暗号化して二重恐喝を行います。
WindowsとLinuxの双方に対応しており、幅広い業種を標的とするのが特徴です。攻撃にはCobalt Strikeなど、侵入後の権限昇格・横展開に使われる高度なツールも使用されます。
ランサムウェアに感染しないための対策方法
ランサムウェアの対策法は、主に次の6つです。
- 不審なメール、および添付ファイルを開かずマクロを無効化する
- 複雑なパスワードを設定する
- 企業内でのセキュリティへの危機感を高める
- OSやソフトウェアのアップデートを怠らない
- 定期的なバックアップを心掛ける
- ランサムウェアに適したセキュリティ製品を導入する
不審なメール・添付ファイルを開かずマクロを無効化する
不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送会社を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。
とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。
複雑なパスワードを設定する
簡単なパスワードや、推測しやすいパスワードを特定され、ランサムウェアに感染させられたケースの場合は、複雑なパスワードを設定することで、ある程度の対策ができます。複雑なパスワードは以下のようなものが挙げられます。
- 可能な限り長い(12桁以上を推奨)
- 英数字記号が混在している
- 使いまわさない
用途によって使い分けることによって、もしパスワードが流出したとしても被害を最低限に抑えることができます。
企業内でのセキュリティへの危機感を高める
現状はセキュリティに対して危機感を持っていない企業は少なくないため、テレワークの実施などのセキュリティの脆弱性を突かれたランサムウェアの感染被害が多く発生しています。企業内で、ランサムウェア被害の周知だけでなく、管理者側である程度デジタル機器の使用環境を管理することが重要になります。
OSやソフトウェアのアップデートを怠らない
ランサムウェアは脆弱性を攻撃してウイルス感染させるという特徴を持つことから、ご使用のOS、ソフトウェア、デバイスのバージョンを常に最新のものにアップデートしておくことが効果的です。
定期的なバックアップを心掛ける
定期的にデータのバックアップをとってデータを安全な場所に保管しましょう。万が一ランサムウェアに感染してしまったとしても、復旧までの時間が短くすみます。
ランサムウェアに適したセキュリティ製品を導入する
ランサムウェア感染対策のセキュリティソフトを導入することで、感染被害を抑えることができます。また、セキュリティソフトの働きによって、データが全て暗号化されてしまうのをなるべく早く止められる可能性があります。
まとめ
今回はランサムウェアの感染経路から対策方法、感染してしまった際の対処法について紹介しました。
コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。
感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。万が一感染してしまった際は焦らずにネットワークの接続を切り専門会社に相談しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
