従来のランサムウェアは、安全な接続を担保するVPN機器の脆弱性をついて攻撃する手口が主流ですが、近年はメールを介したランサムウェア感染の手口がしばしば報告されます。

本記事では、メールを介したランサムウェア感染の手口や適切な対応方法について解説します。ランサムウェアは企業の端末を中心に感染するため、被害規模が膨大となるだけでなく、長期間の業務停止に追い込まれる場合もありますので、万が一ランサムウェアに感染した場合は迅速に対応しましょう。

ランサムウェアの解説

ランサムウェアは感染したシステムのファイルを暗号化し、元に戻すための身代金を要求するマルウェアです。一度システムに侵入すると、ランサムウェアはネットワークを通じて拡散し、重要なデータやファイルの拡張子を変更してアクセスできなくします。攻撃者はこれらのファイルの暗号を解除するために、ビットコインなどの暗号通貨での支払いを要求することが一般的です。

ランサムウェアによる被害

電子端末がランサムウェアに感染すると以下の被害を受ける場合があります。

• 保存データやファイルの暗号化
• 個人情報の漏えい
• データ復旧やシステムの再構築までの業務中断

ランサムウェアが社内ネットワークに侵入した際に、データを暗号化させるだけでなく、認証情報や個人情報も一緒に盗み、ダークウェブ（一般的な検索エンジンで検索できないインターネット領域）上に漏えいさせる、あるいは個人情報を盾に脅迫を試みる場合もあります。これは二重恐喝と呼ばれ、身代金を支払わせる手口として使われます。

一方で身代金を支払っても、必ずしもデータが復旧したり、個人情報がダークウェブ上に流出しない保証はありません。支払った金銭は全て犯罪グループの資金源となるため、企業の信頼性が損なわれることもあります。

ランサムウェアの被害に遭ったら、犯人の交渉には応じず、専門家のもと適切な調査を行ったうえで再発防止策を実施しましょう。

メールを利用したランサムウェアの手口

近年のランサムウェアはVPN機器の脆弱性を狙うだけでなく、メールに添付されたリンクやファイルを開くことでランサムウェアに感染する場合があります。

警察庁の資料によると、令和5年度に発生した感染経路が判明したランサムウェア被害のうち、約5パーセントがメールや添付されたファイルから感染しています。

出典：令和５年におけるサイバー空間をめぐる脅威の情勢等について

しかし、2024年8月現在、8baseをはじめとしてメールから感染した事例もみられているため、メール経由の感染にも注意が必要です。

メールを利用したランサムウェアの手口は以下の通りです。

• フィッシングメール
• 標的型メール

フィッシングメール

フィッシングメールは、ユーザーを欺いて個人情報やログイン情報を入力させるメールです。攻撃者は銀行やオンラインサービスなどを装ったメールを送り、リンクをクリックさせて偽のログインページに誘導します。ユーザーが情報を入力すると、そのデータが攻撃者に送信されます。ランサムウェアはメールのリンクやファイルなどに仕込まれていることがあり、クリックした瞬間に感染が拡大します。

標的型メール

標的型メール（スピアフィッシング）は、特定の個人や企業を狙ったメールです。攻撃者は企業の社長や取引先の担当者名など、信頼できる送信者を装ってランサムウェアが添付されたメールを送ります。ターゲットにされた受信者は、なりすましに気づかずにメールのリンクをクリックしたり添付ファイルを開いてしまい、ランサムウェアに感染します。

このようなメールを利用したランサムウェア攻撃に遭った場合は、すぐにネットワークを切断し、専門家に相談して感染経路や情報漏えいの有無などを詳細に調査してもらいましょう。ランサムウェアの初動対応が遅れると、最悪の場合、復旧まで業務停止となる恐れがあります。

メールを利用したランサムウェアに感染しないための注意点

メールを利用したランサムウェアに感染しないために、以下の点に注意しましょう。

• 不審なメールは開かない
• 添付されたリンクやファイルは開いたりクリックしない
• VPN機器やOSは最新のバージョンにする

不審なメールは開かない

メールの日本語がおかしい、送信者が不明、またはメールアドレスが送信者のものと異なるなど、少しでもおかしい点があれば、メールを開かないようにしましょう。即座に削除するのがはばかられるようであれば、送信者本人に確認を取り、内容が正しいか確認しましょう。

添付されたリンクやファイルは開いたりクリックしない

少しでも不審と感じたメールに添付されたリンクやファイルは不用意にクリックしないようにしましょう。リンク先に悪意あるサイトを仕込んだり、ファイルにランサムウェアなどが埋め込まれている可能性があります。一見普通の文書でも、中にマクロ機能を使って作成されたマルウェアが仕込まれている場合があり、ファイルを開くと感染する場合もあります。「.docm」「.xlsm」などのファイルを開く際は十分注意しましょう。

VPN機器やOSは最新のバージョンにする

安全な接続を確立するVPN機器や端末のOSは、常に最新バージョンにアップデートしておきましょう。脆弱性を対策することができ、ランサムウェアなど不正アクセスのリスクを減らすことができます。脆弱性の情報は利用している機器のメーカーのお知らせやセキュリティ企業などが発表していますので、定期的に確認しておくことをおすすめします。

ランサムウェアの感染経路7選と感染時の調査手法や対策を徹底解説

2024.3.11

このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、

ランサムウェアに感染した時の対応

電子端末がランサムウェアに感染した場合、以下の通り対応しましょう。

• 機器をネットワークから切断する
• バックアップデータを確認して復旧する
• ランサムウェアによる被害の調査を行う

機器をネットワークから切断する

ランサムウェアに感染した場合、速やかに感染した機器をWi-Fiや社内ネットワークから切断しましょう。ランサムウェアによってはリモートで個人情報の盗難や端末の侵入ができるものもあるため、ネットワークを切断することで情報の流出や、他のデバイスへの感染を食い止められる場合があります。

バックアップデータを確認して復旧する

バックアップデータがランサムウェアに感染していない場合、システムや暗号化されたデータを一部だけでも復旧できる可能性があります。ただし、ネットワークに接続している場所に保存されたバックアップは、ランサムウェアが侵入に成功した際に感染してしまう恐れがあります。バックアップはネットワークに接続されていない場所に保存しておきましょう。

ランサムウェアによる被害の調査を行う

ランサムウェアに感染した後は、被害の範囲を特定し、重要なデータの損失や情報漏洩の有無を確認することが必要です。法人の場合は情報漏えいの恐れがある場合、個人情報保護委員会に報告義務があります。近年のランサムウェアは、ログなどに痕跡を残さない巧妙な手口のものも増えているため、専門家に相談して調査してもらうと良いでしょう。

専門家は「フォレンジック」と呼ばれる、端末内のデータを保全・解析する専門技術を用いて調査を行います。ランサムウェアの場合は、感染経路や被害の範囲、情報漏えいの有無などが調査の対象です。

フォレンジック調査会社の中には、個人情報保護委員会や警察にそのまま提出できる報告書を作成してもらえるところもあります。大幅な業務効率化に活用できるので、相談する際はレポート作成についても相談すると良いでしょう。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

まとめ

メールを利用したランサムウェアの感染を防ぐには、不審なメールや添付ファイルを開かないこと、システムを最新の状態に保つことが重要です。メールを開く前にメールアドレスや用件の内容を必ず確認しましょう。もしもランサムウェアに感染してしまった場合は、身代金は支払わずに専門家によるランサムウェア感染調査を行い、再発防止につながる具体的な対策を講じましょう。