このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、仮に被害を受けた場合は、感染経路や被害全容の調査を行わなくてはいけません。
しかし、具体的にどのような調査方法やセキュリティ対策があるのか整理できていない状況も少なくありません。そこで、この記事では、ランサムウェアの特徴や手口、具体的な被害調査方法からセキュリティ対策まで一通り紹介いたします。
まずは慌てずに、適切な対応を取りましょう。もし「確実に感染している」「実被害が出ている」「調査依頼先がわからない」という場合、サイバー攻撃の調査に対応した専門会社まで相談してください。
目次
ランサムウェアの特徴・手口
ランサムウェアとは、身代金要求に特化したソフトウェア(マルウェア)です。もし感染すると、上記のような警告ダイアログが画面上に表示されます(「LockBit2.0」というランサムウェアによる脅迫画面)。
同時に、端末内のデータも全て暗号化され、データの復号と引き換えに、身代金を暗号通貨などで支払うように要求します。なお、端末のみが暗号化されるだけでなくネットワーク全体が暗号化されると、数億円もの身代金を要求されるケースがあります。
かつてランサムウェアの攻撃対象は、一般ユーザーでした。しかし、現在のランサムウェアは、より多くの身代金を窃取するため、民間企業や団体、とくにグループ系列の企業や、サプライチェーンの脆弱性を狙ったものが目立つようになりました。
2020年に入ると、攻撃手口は「二重恐喝」に移り変わり、攻撃支援サービス「RaaS」が普及したことで、技術力のないサイバー犯罪組織でも手軽にランサムウェアを購入することが可能となりました。
現在は二重恐喝が主流
かつては身代金を要求するだけでしたが、現在は「二重恐喝」を併用したランサムウェア被害が7割近くを占めています。これは身代金を支払わない企業に金銭を支払わせるために、ダークウェブ上に存在するサイバー犯罪者が集う掲示板「リークサイト」に盗んだデータを暴露・売買するという攻撃手法です。もし身代金を支払ったとしても、別の脅迫行為が複数回繰り返される可能性があります。身代金は絶対に支払わないようにしましょう。
ランサムウェアの被害件数
警察庁の発表によれば、ランサムウェアの被害件数は2020年代以降、右肩上がりで増加しています。たとえば、2020年下半期の時点で、わずか21件に過ぎなかった被害件数は、2022年は過去最多の230件にまで急増しています。
要因として、コロナ禍によるテレワーク普及により、VPN(遠隔から社内ネットワークにアクセスできるネットワーク機器)のぜい弱性を狙った不正侵入が増加したことや、前述した「二重恐喝」「RaaS」により、手口が悪質化していることが背景にあると考えられています。
バックアップからの復旧だけでは不十分
これまでランサムウェア被害を受けた企業の多くは、バックアップをもとにデータ復元したあと、暗号化された端末・サーバーを初期化することで、応急処置を行ってきました。しかし、二重恐喝によるデータ漏えいなどの可能性を想定すれば、応急処置だけでは不十分です。
特に2022年には「改正個人情報保護法」が施行され、情報漏えいの報告・通知が原則として義務化されました。つまり、被害調査を怠った法人は、法令違反となります。信用問題はもちろん、企業の存続にも大きく影響しますので、被害状況を把握するためにも感染の疑いが少しでもある場合は、必ず調査を行い、被害実態を把握しましょう。
ランサムウェアの主な感染経路7選
ランサムウェアに感染した時には、感染経路を正確に特定しなければ、ランサムウェア自体を駆除したとしても再度同じ攻撃手法で感染させられる可能性があります。専門会社に相談して機器の調査を行い、ランサムウェアの感染経路を把握したうえで、セキュリティの強化をすることが今後の被害を抑えるために重要になります。ここでは、ランサムウェアの主な感染経路を紹介します。ランサムウェアの主な感染経路は、以下の7つです。
- VPN機器の脆弱性を突かれた
- RDP(リモートデスクトップ)の脆弱性を突かれた
- メールの添付ファイルやリンクをクリックした
- 改ざんされた偽サイトを閲覧した
- 悪意ある拡張機能(アドオン/プラグイン)の有効化してしまった
- ソフトウェアやOSの脆弱性
- USBメモリから感染した
心当たりがある場合は、ランサムウェアに限らず、マルウェアに感染している可能性がありますので、感染の有無を確認することを推奨します。インシデントの報告が上がった場合、「ファスト・フォレンジック」という技術を使って、まずはネットワーク全体をスキャンし、サイバーインシデントの有無や調査しましょう。
≻ランサムウェアに感染するとどうなる?確認方法と適切な初動対応まとめ
VPN機器の脆弱性を突かれた
VPNとは特定のユーザーしか利用することができない、限定的な仮想のネットワークでデータをやり取りする技術です。フリーWi-Fiと比べて情報漏えいやウイルス感染などのセキュリティリスクを抑えることができます。手軽にネット環境を形成できることから、多くの企業でVPN機器の利用が進んでいます。
その反面、サイバー攻撃のターゲットとして、VPN機器を狙った攻撃の被害が拡大しています。VPN機器へのサイバー攻撃では、認証に利用するアカウント情報や、VPNのセキュリティ脆弱性を利用してネットワークや組織内部に侵入して攻撃を行います。何の対策も行われていない場合には、インターネット上からVPN機器のベンダーやソフトウェアのバージョンを確認されてしまうため、攻撃可能なVPN機器を発見次第、サイバー攻撃を仕掛けてきます。そのほかにも、VPNの設定ミスにより、ログイン情報が漏れてしまえば、外部からのアクセスを許してしまいます。
そのため、VPN機器を利用する場合には、企業のシステム管理者による利用時のルール徹底や適切なパスワード管理などが重要となるのです。VPN機器を利用する場合には、サイバー攻撃対策のためのセキュリティーの準備が必須になります。
RDP(リモートデスクトップ)の脆弱性を突かれた
RDP(リモートデスクトッププロトコル)とは、デスクトップPCに対して別のデバイスからアクセスするための「リモートデスクトップセッション」に利用される通信規格の1つです。コロナ感染ウイルスの影響でリモートワークを導入している企業も増加している中で、頻繁に利用されるようになった利便性の高い通信規格です。
しかし、RDPはセキュリティの脆弱性が露見しやすいため、サイバー攻撃のターゲットにされやすいです。セキュリティ対策をしていないと、攻撃者のリモート接続を狙ったをブルートフォース攻撃やクレデンシャルスタッフィング攻撃に対しての侵入を許し、RDPのリモートログインのパスワードが盗まれ可能性があります。問題は、このRDPのリモートログインと、デスクトップPCで同じパスワードを利用していると、簡単にデバイス内に侵入されてしまう事です。
そのほかにも、ポート上のセキュリティ対策が行われていない場合には、RDP機器で通常使用されている制限されていないポート「ポート3389」を狙ったオンパス攻撃を仕掛けられることも考えられます。リモート環境を推奨しているような企業にとってRDPのサイバー攻撃対策を行うことは必須ですので、専門業者に依頼して脆弱性がないか調査しましょう。
メールの添付ファイルやリンクをクリックした
フィッシングメールやスパムメールなどの添付ファイルには、Emotetなどのマルウェアが添付されていることが多いです。心当たりのないメールに添付されている悪質なファイルやURLにアクセスすると、ランサムウェアに感染する可能性があります。
フィッシングメールやスパムメールの悪質化は進行しており、公式のサービスと限りなく類似したホームページやメールフォームを使用したものが多く登場しています。特に最近はメールだけでなく、SNSのダイレクトメールを通してスパムのメッセージが届く被害も多く発生しています。中には、HTMLの中に悪質なスクリプトを埋め込むことで、メールを開封したことで、ウイルスに感染するような仕掛けが施されている可能性もあります。
もしこれらのメール添付のファイル・リンクを開いてしまうと、ランサムウェアに限らず多数のマルウェアに感染させられることも考えられます。見知らぬアドレスから届いたメールは絶対に開封しないようにしてください。もしフィッシングメールやスパムメールを開封した際には、すぐにネットワークから切り離し、専門会社に依頼してランサムウェアに感染していないか調査しましょう。
改ざんされた偽サイトを閲覧した
詐欺SMSや詐欺リンクなどを経由して、 改ざんされた偽のウェブサイトにアクセスすると、ランサムウェアに感染する可能性があります。WindowsやGoogleなどから「ウイルスが検出されました」や「~記念で〇〇様は~に当選しました」というような内容のページが表示されることがありますが、これらを「偽警告(Fake Alert)」や「偽当選サイト」と呼びます。これらに仕掛けられたURLなどのトリガーを起動させることによって、ランサムウェアに感染するというような攻撃手法です。
ランサムウェアの感染被害だけでなく、個人情報やクレジットカード情報などを入力させるフォームが表示されることで情報が盗まれ、金銭被害や情報漏えい被害が発生することも考えられます。アラートや偽当選サイトが表示された時点では特に問題ないので、ブラウザを閉じ、無視するようにしてください。改ざんされた偽サイトは、本物のWEBサイトそっくりに作成されているので、誘導されてしまうケースが多いです。見知らぬSMSやサイトのURLは絶対にクリックしないようにしましょう。
悪意ある拡張機能(アドオン/プラグイン)の有効化してしまった
Googleブラウザ上では、拡張機能を導入することで、効率的に作業を行うことが出来るため、多くの人が機能の追加・拡張をしているでしょう。Google Chrome、Microsoft Edge、Safariなどのブラウザで各ブラウザに合わせた拡長機能が提供されており、誰でも簡単にインストールできます。
しかし、この拡張機能の仕組みを利用したサイバー攻撃が発生しています。ふとした時に、本来広告が表示されることがないWebサイトを閲覧している際に広告が表示された場合は、「広告のアドオン機能」を有効化されている可能性があります。
この広告をクリックすると、ランサムウェア感染などのサイバー攻撃の被害が発生する可能性があります。ブラウザの拡張機能を悪用し、ランサムウェアの感染を誘導するサイバー犯罪も多いので、提供元不明の拡張機能は導入しているものを定期的に管理することが重要になります。
ソフトウェアやOSの脆弱性
ソフトウェアやOSの開発・販売の時点で、脆弱性があるものをダウンロードしている場合には、セキュリティ対策をしていないと攻撃者のターゲットにされる可能性があります。ランサムウェアの攻撃者にソフトウェアやOSのセキュリティに脆弱性が特定された場合には、PCの社内ネットワークやクラウドシステム内部に容易に侵入されてしまいます。
ネットワークやクラウドシステムに侵入され、ランサムウェア感染させるのはよくある手法の一つです。そのほかにも。データを盗み出されてしまい、情報漏えい被害が発生することも考えられます。セキュリティの脆弱性を管理するためには、導入しているソフトウェアやOSを常に最新にアップデートすることが最重要です。また、セキュリティパッチなどのセキュリティソフトを導入し、対策しておくことが重要になります。ソフトウェアやOSの脆弱性はWEB上で公表されている場合も多いので、特に導入しているものは管理を徹底しておきましょう。
USBメモリから感染した
ランサムウェアは、USBメモリに保存して持ち運びが可能で、別の機器に接続したり、ファイルにアクセスすることによってトリガーが発動し、ランサムウェア感染させることができます。中には通販を装って「攻撃用USBメモリ」が届き、内部を確認しようとアクセスしたPCがランサムウェアに感染させられたという事例もあります。
これは当然ですが、USBメモリだけでなく外部接続が可能な外付けHDDなども同じ可能性があります。デバイスからの感染拡大は、社内に急速な感染拡大を起こす可能性があるためとても危険です。また、オフラインのメディアからもランサムウェアに感染するリスクがあると、常に念頭に置きましょう。また、見知らぬ外付けデバイスを安易に接続したりデータにアクセスしないようにしましょう。
これらの感染経路が明確でなければ、ランサムウェアを駆除したとしても同じ脆弱性を狙ったサイバー攻撃の被害が発生しかねないです。ランサムウェアに感染した際は、感染経路を調査することは必須になりますので、被害が拡大する前に信頼できる調査会社にすぐに相談しましょう。
ランサムウェアに感染した時の初動対応
ランサムウェアに感染した際には、初動対応を徹底しているか同課によって被害の範囲に大きく差が出ます。そもそもランサムウェアに感染した事を放置していると、情報漏えいの被害や法的な罰金が発生する可能性があるので、絶対に放置しないでください。そのうえで初動対応を行っておくことで、今ランサムウェアに感染している機器以外の機器への拡散を防止できます。ランサムウェアに感染した時の初動対応は以下のようなものがあります。
- 感染機器をネットワークから隔離する
- 感染経路・被害範囲を特定する
感染機器をネットワークから隔離する
ランサムウェア感染時、周囲への二次感染を防ぐため、感染端末は速やかにネットワークから切り離し、そのまま隔離しておく必要があります。有線ネットワークの場合は、ケーブルとの接続をやめ、無線ネットワークの場合、Wifiはオフラインにしておきましょう。
感染経路・被害範囲を特定する
ランサムウェアに感染時に一番重要なのが、感染経路・被害範囲の特定です。ランサムウェアの感染経路を特定しておかなければ、たとえランサムウェアを駆除できたとしても、同じ方法で侵入される可能性があり、再度感染する可能性が高いです。また、ランサムウェア感染では、情報漏えいの被害が発生している可能性が高いため、被害範囲を特定する必要があります。被害範囲を調査した後は、個人情報保護委員会や被害を受ける可能性がある個人に対してその事実を報告する義務が生じます。これらの調査はランサムウェア感染時の対処として必須ですので、できるだけ早く専門会社に相談しましょう。
ランサムウェア感染経路の調査には、フォレンジック調査という技術が必要になります。しかし、ランサムウェアのフォレンジック調査では、高度なログ解析技術など専門技能やノウハウが要求されるため、社内の担当者が自力で行うことは困難です。まずはランサムウェアのフォレンジック調査に対応している会社への相談を検討しましょう。
フォレンジック調査とは?
サイバー犯罪の調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、最高裁や警視庁でも法的な捜査方法として取り入れられており、ランサムウェアの被害調査において最も有効な調査手法のひとつとなっています。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2021年)
こちらのデジタルデータフォレンジックは、累積ご相談件数32,000件以上を誇る、対応件数で国内最大級のフォレンジック調査会社です。マルウェア感染・情報漏えい・社内不正といったインシデント調査からデータ復元技術を活用した証拠復元まで幅広くサービス展開しています。
ランサムウェア感染時に起こりうる被害
ランサムウェアに感染してしまった場合は、データが暗号化されてしまうというのが一番最初の被害ですが、その後にいくつもの被害を被る可能性があります。この被害を想定しておかなければ、本当に被害が発生した時に適切な対処をすることができず、さらに被害の範囲が広がるような悪循環になってしまいます。ここでは、ランサムウェア感染時に起こりうる被害を紹介しますので、ランサムウェア感染時に被害を確認して、どのように対策すべきか選択しましょう。
- データ暗号化による業務停止
- 身代金要求による金銭被害
- 情報漏えいの発生・信用低下
- 法的な罰則・賠償金
データ暗号化による業務停止
まず第一に発生する被害は、保存されているデータの暗号化です。今まで当たり前にアクセスできていたデータにアクセスできなくなります。中でも、社内サーバーなどの業務運用にかかわるようなデータが暗号化されると、必然的に業務停止を強いられる状況に陥る可能性がります。
もし、企業が一日業務停止すると、被害は大きいです。人件費や損失額を考えると、その影響は計り知れません。この場合でも、まず最初にランサムウェアの感染調査の専門会社に相談することが先決になります。
身代金要求による金銭被害
データの暗号化被害の次に発生するのが、「身代金要求による金銭被害」になります。攻撃者はまず最初に、ランサムウェアの暗号化を解除することを条件に、身代金を要求してきます。その後、ランサムウェアの感染を知らせるアラートと同時に支払いを要求するランサムノートが表示されます。
もしも身代金を支払わなければ暗号化したデータをダ-クウェブ上で公開するなどの主旨のメッセージで脅迫し、何としても身代金を支払わせようとします。ただし、身代金を支払ったとしてもデータを復号化してもらえる保証はありません。
また、身代金を支払う行為は世間から見ると、悪質な組織に対して金銭的な支援をしていると捉えられかねません。つまり、被害者にとってデータを復号化してもらえる確証がない以上、身代金を支払う行為はデメリットしかありません。絶対に支払わないようにしてください。
法的な罰則・賠償金
情報漏えいが発生した場合に、公的機関や被害者に対しての報告を怠った場合には、個人情報保護法の罰則が発生する可能性があります。報告は以下の2度必要になります。
- 速報:発覚日から3~5日以内
- 確報:発覚日から30日以内(不正な目的で行われた可能性がある場合は60日)
2022年4月に改正された個人情報保護法では、違反した企業の情報漏えいにおける罰金の金額が「最低50万円~最高1億円以下」に引き上げられました。たった二度の報告を怠ることで、信用だけでなく金銭的な被害も発生します。情報漏えいの可能性がある場合には、必ず真っ先に各方面への報告の準備をするために、早急に被害範囲や感染経路などの必要な情報を調査し、個人情報保護委員会や被害者に対して報告するようにしましょう。
情報漏えいの発生・信用低下
ランサムウェアに感染した事で、企業で所有していた個人情報や企業秘密の情報が漏えいした場合には、世間から企業ブランドの信用が下がることが予想されます。もし情報漏えいが起きてしまった場合には、起きてしまったことを受け止め、ランサムウェアに感染した事実や被害の範囲、今後のセキュリティ対策をどのように運用していくかなどを誠心誠意で公表することが重要です。
少しでも信頼を回復させるためにも、専門会社に相談して情報漏えいが発生しているかどうかを正確に調査し、各方面への報告を怠らないことが重要になります。公的機関への報告は、証拠能力を持った正確な調査結果を記したレポートの作成・提出が必須になります。専門の調査会社に依頼することが必須になりますので、いち早く相談するようにしましょう。
ランサムウェアに感染した場合の対処・調査方法
一文化二分ランサムウェアに感染した場合、次の対処・調査方法をとりましょう。
- 感染機器をオンラインから隔離する
- バックアップからデータを復元する
- 専門会社へ相談する
- 不正アクセスで漏えい時、1件でも本人に通知する
- NASをアップデートする
- セキュリティソフトでランサムウェアを駆除する
- 暗号化されたデータを復号化する
感染機器をオンライン上から隔離する
ランサムウェア感染時、周囲への二次感染を防ぐため、感染端末は速やかにネットワークから切り離し、そのまま隔離しておく必要があります。有線ネットワークの場合は、ケーブルとの接続をやめ、無線ネットワークの場合、Wifiはオフラインにしておきましょう。
ただし、機器の電源を落としてしまうと、RAMなどのメモリに一時的に保存されているデータが完全に削除される可能性があります。電源は切らず、スリープモードで管理するようにしてください。
バックアップからデータを復元する
ランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除するか、サーバーの初期化を行った後、バックアップからファイルの復元を試みましょう。
ランサムウェアに感染した場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏えいにより、顧客にも被害が及ぶ可能性があります。
ランサムウェア感染調査の専門家へ相談する
感染の疑いがある場合には、「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。
しかし、個人での原因特定には限界があるため、ランサムウェアの感染経路を適切に調査するには、ランサムウェア感染の専門家に相談することをおすすめします。ランサムウェアの対応実績がある調査会社であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。
暗号化されたデータを復号化する
暗号化されたデータを復号化することで、データにアクセスできるようになりますが、ランサムウェア感染時は基本的に復号化キーと引き換えに身代金を支払うことを要求してきます。しかし、ランサムウェア感染調査の専門家に相談することで、調査だけでなく、データの暗号化解除が可能な場合もあります。
たとえ身代金を支払ったとしても、復号化キーを渡してもらえる保証はないので、絶対支払わないでください。まずはランサムウェア感染調査の専門家で復号化可能か確認しましょう。
不正アクセスで漏えい時、1件でも本人に通知する
2022年春、改正個人情報保護法が施行されました。これにより、不正アクセス発生時は、本人への通知および監督官庁への報告が義務化されました。今後は、公表控えが許されなくなり、不適切な被害調査をおこなうと、処罰を受ける可能性があります。そのため、ランサムウェア感染時は、被害の全容について、正確・迅速に調査することができるランサムウェア調査会社まで対応を依頼する必要があります。
NASをアップデートする
NASで古いバージョンのOSを使っている場合、すぐに更新しておきましょう。アップデート前のOSには脆弱性(セキュリティ・ホール)が多数存在しており、それを悪用して不正侵入が行われるケースが多いからです。ただし、感染被害の調査前にアップデートを行うと、ログが上書きされるなどし、適切な調査ができなくなる恐れがあるため、端末を隔離したあとは、極力手を加えずに保管しておきましょう。
セキュリティソフトでランサムウェアを駆除する
セキュリティソフトは、ランサムウェア被害を受けている機器からランサムウェアを除去する機能を持つものがあります。感染経路や被害範囲の調査が完了した場合は、以下の手順でセキュリティソフトを利用し、ランサムウェアを駆除しましょう。
- 最新のセキュリティソフトをインストールする
- システムスキャンを実行
- 検出されたランサムウェアの削除
- システムの復元
- セキュリティ強化
ただし、セキュリティソフトによって使用用途や手順が異なります。セキュリティソフトは万能なものではないため、ソフトを導入しただけで満足せずに、定期的なアップデートとバックアップの作成を行いましょう。
おすすめランサムウェア被害調査会社
ランサムウェアの調査を行いたい場合には、どのような基準で会社を選べばいいのでしょうか?
正確な調査結果を得るためには、会社が専門知識と調査技術を持っているかどうかを確認しましょう。おすすめの調査会社として、累計相談件数1万4,000件以上で大手企業・警察の捜査協力などの実績を持つ「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応会社です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | ランサムウェア・マルウェア感染調査など、警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元 |
特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
ランサムウェア感染時の注意点
ランサムウェア感染時は以下の点に注意しましょう。
- 身代金は支払わない要求には従わない
- 感染機器と別の機器を接続しない
- メールアドレス・パスワードを変えない
- ランサムウェアのファイルを削除しない
- バックアップを更新しない
- 機器を初期化しない
身代金は支払わない/要求には従わない
身代金を支払ったとしても、攻撃者が約束通りにデータを復号化する保証はありません。また、その他さまざまな脅迫や要求がされる可能性がありますが、こちらも同様です。
身代金を支払う行為が反社会勢力への支援だと捉えられる可能性もあります。基本的に攻撃者からの指示や要求には従わないようにしてください。
感染機器と別の機器を接続しない
感染機器を別の機器にアクセス可能な状態で放置してしまうと、別の機器までランサムウェアの感染被害が拡大する可能性があります。感染被害を察知した時点で別の機器からは隔離し、電源は切らずにスリープモードで補完するようにしてください。
メールアドレス・パスワードをそのまま利用しない
ランサムウェアに感染した時は、その機器で利用していたメールアドレス・パスワードが流出している可能性が高いです。そのまま使用し続けると、第三者に悪用され、被害が拡大する可能性があります。メールアドレスはすぐに変更し、パスワードは新しく複雑なものに設定するようにしましょう。
ランサムウェアのファイルを削除しない
ランサムウェアに感染した時は、そのランサムウェアが含まれている可能性が高いファイルを削除してはいけません。以下のようなリスクが発生します。
- ファイルの暗号化を解除できなくなる
- ランサムウェア感染調査が難航する
- 感染拡大のリスクがある
ランサムウェアのファイルは、感染していることを裏付ける重要な証拠になります。削除すると、ランサムウェア感染の調査の難易度が上がります。感染した以上ファイルを削除したとしてもシステムに侵入されている事実は変わらないため、ファイルを削除しないようにしてください。
バックアップを更新しない
ランサムウェアの感染状況がバックアップに上書きされてしまうと、過去のデータを復元するたびにランサムウェアの感染状況も復元されてしまう可能性が高いです。ランサムウェア感染時はバックアップを更新しないようにしてください。
機器を初期化しない
ランサムウェア感染被害が発生した時に機器を初期化することで、データは削除されてしまう代わりに機器を通常通りに使用できる可能性があります。しかし、感染していたすべての状況が初期化されてしまうため、感染経路や被害範囲の特定のための調査ができなくなります。
情報漏えいなどの被害が発生していた場合には致命的な状況になりますので、初期化する際にはまず専門会社で調査をし、事実調査が完了してから初期化するようにしましょう。
ランサムウェアに感染しないための対策方法
ランサムウェアの対策法は、主に次の4つです。
- 不審なメール、および添付ファイルを開かない
- 複雑なパスワードを設定する
- 企業内でのセキュリティへの危機感を高める
- OSやソフトウェアのアップデートを怠らない
- 定期的なバックアップを心掛ける
- ランサムウェアに適したセキュリティ製品を導入する
不審なメール・添付ファイルを開かず、マクロを無効化する
不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送会社を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。
とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。
複雑なパスワードを設定する
簡単なパスワードや、推測しやすいパスワードを特定され、ランサムウェアに感染させられたケースの場合は、複雑なパスワードを設定することで、ある程度の対策ができます。複雑なパスワードは以下のようなものが挙げられます。
- 可能な限り長い(12桁以上を推奨)
- 英数字記号が混在している
- 使いまわさない
用途によって使い分けることによって、もしパスワードが流出したとしても被害を最低限に抑えることができます。
企業内でのセキュリティへの危機感を高める
現状はセキュリティに対して危機感を持っていない企業少なくないため、テレワークの実施などのセキュリティの脆弱性を突かれたランサムウェアの感染被害が多く発生しています。企業内で、ランサムウェア被害の周知だけでなく、管理者側である程度デジタル機器の使用環境を管理することが重要になります。
OSやソフトウェアのアップデートを怠らない
ランサムウェアは脆弱性を攻撃してウイルス感染させるという特徴を持つことから、ご使用のOS、ソフトウェア、デバイスのバージョンを常に最新のものにアップデートしておくことが効果的と言えます。
定期的なバックアップを心掛ける
定期的にデータのバックアップをとることで、万が一ランサムウェアに感染してしまったとしても、失ってはならないデータを退避させておくことが可能です(仮に身代金を払っても、データが復号されないケースがあります)。
ランサムウェアに適したセキュリティ製品を導入する
ランサムウェア感染対策のセキュリティソフトを導入することで、感染被害を抑えることができます。また、セキュリティソフトの働きによって、データが全て暗号化されてしまうのをなるべく早く止められる可能性があります。
まとめ
今回はランサムウェアの感染経路から対策方法、感染してしまった際の対処法について紹介しました。
コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。
感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。万が一感染してしまった際は焦らずにネットワークの接続を切り専門会社に相談しましょう。
よくある質問
ここでは、ランサムウェアに関するよくある質問を紹介します。
- 代表的なランサムウェアとその種類
- ランサムウェアに感染して身代金を支払わないとどうなる?
代表的なランサムウェアとその種類
ここ数年で流行し、大きな被害を与えたランサムウェアを以下4つ紹介します。
- LockBit2.0/3.0
- deadbolt
- Sodinokibi/REvil
- eCh0raixランサムウェア
LockBit2.0/3.0
LockBitは、2022年現在、最も活発なランサムウェアの一つで、感染するとネットワークを通じ、アクセス可能な端末を一瞬で暗号化するなど甚大な被害を及ぼします。とくに、これはビジネスに特化したランサムウェア製品(RaaS)のひとつで、たとえ技術力の乏しいサイバー犯罪集団でも安易に使えること、盗んだデータを晒すことを交換条件に出す「二重脅迫」を採用していることなどによって、被害規模が大きく、被害件数・被害額ともに、今では世界有数のランサムウェアとなっています。
LockBit2.0の感染経路や被害全容の調査方法については、下記の記事でも詳しく紹介しています。
deadbolt
deadboltは、台湾製NAS「QNAP」「ASUSTOR」を標的にしているランサムウェアです。感染すると拡張子が「.deadbolt」に書き換わり、データが開けなくなります。専門家の見立てでは「ファームウェアの脆弱性を悪用した可能性が高い」とされており、少なくとも、セキュリティを強化することで対処が可能なため、QNAPユーザーの方は速やかにQTSを更新し、設定を変更しましょう。
deadboltについては、次の記事でも詳しく解説しています。
Sodinokibi/REvil
Revilは「二重脅迫型(暗号化+暴露)」のRaaS型ランサムウェアです。これに感染すると、一定期間内に身代金を振り込まないと、暗号化したデータが独自のリークサイトに暴露される恐れがあります。ただし、2021年に開発者が逮捕されたことで、REvilの脅威は去りました。しかし、同じRaaS型ランサムウェアとして、Lockbitが台頭してきており、まだ安心することはできません。
Sodinokibi/REvilについては、次の記事でも詳しく解説しています。
eCh0raixランサムウェア
QNAPやSynology製のNASをターゲットとしたランサムウェアに「eCh0raix」があります。このランサムウェアに感染すると拡張子が「.encrypt」に書き換わり、データが暗号化され、次のような警告画面が表示されます。QRコードを読み込むと、身代金を支払うための決済画面が表示されますので、QRコードのスキャンは控えましょう。
eCh0raixランサムウェアについては、次の記事でも詳しく解説しています。
WannaCry
WannaCryは、世界規模で感染を拡大させたランサムウェアであり、これをきっかけにランサムウェアが流行するきっかけとなりました。WannaCryは、2017年頃に登場し、ごく短期間で世界150か国以上、30万台を越えるPCで被害が確認されました。これはWindowsの脆弱性を悪用したもので、1台感染してしまうと、ネットワークでつながっているすべてのPCに感染してしまうのが被害拡大の要因です。
ランサムウェアに感染して身代金を支払わないとどうなる?
ランサムウェアに感染して身代金を支払わないことによって、暗号化したデータをダークウェブ上のリークサイトで公表するというようなランサムウェアが多く存在します。ただ、だからといって身代金を支払ったとしてもデータが公開されない保証はないです。
攻撃者の目的はあくまで身代金ですので、あらゆる手で支払いを要求してくることが予想されますが、絶対に支払わないようにしましょう。