• 2022.11.11 (金)
    Posted by NTT東日本

拡大するランサムウェアの脅威とは。知っておくべき手口や対策

ランサムウェアはマルウェアの一種で、感染するとデータを暗号化、その解除を見返りに金銭の要求を行う攻撃です。個人から大企業、公的機関まで、大小さまざまな標的を対象に被害が拡大しています。

1.ランサムウェアとは

画像_ランサムウェアとは

ランサムウェアはマルウェアの一種類で、感染させた端末のデータの暗号化を行い、デバイスを利用できなくします。この制限を解除するために攻撃者は被害者に身代金の支払いを要求するのです。

①ランサムウェアの目的

ランサムウェアは他のマルウェアとは異なり、金銭の取得が目的におかれています。電子決済や暗号資産の普及で、インターネット上での金銭のやり取りが容易にできるようになりました。それがランサムウェアの普及の一因とも言われています。

ランサムウェアの被害から身を守るためには、端末を保護するウイルス対策ソフトの導入が有効です。

②ランサムウェアの仕組み

ランサムウェアは他のマルウェア同様に添付ファイルやWebサイトを経由して感染します。感染するとファイル内のプログラムが実行されて、ハードディスク内のデータの暗号化が行われます。

そして、暗号化されたファイルを開こうとすると、身代金の要求を求められるのです。また、近年のランサムウェアは暗号化とは別に、重要情報を攻撃者に送信するプログラムも内包しています。暗号の解除に加えて、窃取したデータの公開を脅迫材料に、金銭の要求を行います。

2.拡大するランサムウェアの脅威

画像_拡大するランサムウェアの脅威

ランサムウェアの脅威は年々高まっています。新たな攻撃手法が増え続け、その被害も過去とは比べ物になりません。

①2021年10大脅威のトップに

IPA(独立行政法人 情報処理推進機構)の調査によると、2021年の情報セキュリティ脅威でランサムウェアが1位です。この5年間で見てもはじめてのことです。

参考・出典:

情報セキュリティ10大脅威 2021

②企業や自治体などあらゆる組織が狙われている

企業や自治体など、あらゆる場所でインターネットの利用が進んでいます。そのためインターネットで管理・運用されているシステムがランサムウェアに感染すると、大規模な被害が発生します。石油パイプラインの停止、病院や大学ネットワークの乗っ取りなど、大小さまざまな組織が攻撃の対象となってきました。デジタル化が普及する中で、今後もこの傾向は増え続けることが予想されます。

③仕組み化されるランサムウェア攻撃

インターネットとハッキング技術の向上は攻撃者にとっても専門性が求められます。そのため技術力のない攻撃者でも攻撃を可能するために、RaaS(Ransomware as a Service)というランサムウェア攻撃のための仕組みが登場、普及しています。RaaSにより攻撃者のハードルが下がったこともあり、ランサムウェア攻撃が増えているとも言われているのです。RaaSは一般的にダークウェブと呼ばれる匿名性のサイトにおいて、数千円〜数万円程度で提供されています。

3.ランサムウェアの種類

画像_ランサムウェアの種類

ランサムウェアは今までに、さまざまな種類が確認されています。ここでは代表的な5つのランサムウェアについてその特徴や被害内容を紹介します。

①WannaCry

WannaCryWindowsを標的に、ビットコインを要求するランサムウェアです。20175月から大規模なサイバー攻撃が行われ、150カ国23万台のパソコンが感染しました。WannaCryWindowsのファイルサーバー共有に使われるSMB v1という機能の脆弱性から被害が拡大しました。対策としてWindowsからアップデートプログラムの配布が行われているものの、現在までWannaCryの亜種は増え続けています。

②CryptoWall

CryptWall2014年に確認されたランサムウェアです。Windowsを標的に、特定の拡張子ファイルを暗号化し、復号プログラムであるCrypto Wall Decryptorの購入を要求します。

2015年に登場したバージョン4では、ファイルの中身だけでなくファイル名の書き換えや、ファイアウォール検知の回避機能が強化されていました。残念ながらバージョン4では復号ツールが開発されていません。そのため対処としてはCryptWallを削除後に、バックアップデータを復元するしかありません。(※202110月現在)

③KeRanger

KeRangerMacを攻撃対象とした初のランサムウェアで、2016年に7000人以上の被害が確認されました。KeRangerLinux向けのランサムウェア「Linux.Encoder 1」の亜種と考えられています。感染するとMac内の300種類のファイルの検索と暗号化を行い、1ビットコインの支払いを要求します。

④TeslaCrypt

TeslaCrypt2015年に登場したランサムウェアです。特定のコンピューターゲームのプレイヤーを攻撃対象としていました。感染するとパソコン内のファイル拡張子をvvvに変更することから、vvvウイルスとも日本では呼ばれます。TeslaCrypt2016年に開発者が突然復号鍵を公開しており、現在ではその脅威が終息しています。

⑤Locky

Locky2016年に登場したランサムウェアです。Lockyの特徴はスパムキャンペーンであることで、24時間で2300万通にも及ぶ添付メールが送信されました。2016年のスパムキャンペーンでは全体の45%が日本を標的に送信されました。スパムは請求書通知を装っており、zipファイルが添付されています。感染するとデータが暗号化され、ファイルの拡張子が「locky」に書き換えられます。

4.ランサムウェアの感染経路

ランサムウェアの主な感染経路はメールとWebサイトです。ここでは4つの感染経路について仕組みや注意するべきポイントを紹介します。

①メール+添付ファイル

メール内の添付ファイルに直接ランサムウェアが添付されているケースです。万が一、添付ファイルを開いてしまうと、ランサムウェアが実行されてしまいます。攻撃者は添付ファイルを開かせるべく、メールの件名や本文を巧妙に偽装します。感染防止を行う上では、差出人不明のメールは開かない、また日常的なメールでも添付ファイルを開く際には送信元の確認を行いましょう。

②メール+本文内のリンク

メール+添付ファイルのリンクと基本的な仕組みは同じです。メール本文に記載されたリンクをクリックすることでマルウェアがダウンロードされます。万が一リンクをクリックしてしまった場合に備えて、ウイルス対策ソフトの導入がオススメです。ウイルス対策ソフトにより、危険性のあるWebサイトについては遷移時に許可と確認が行われます。

③Webサイトの閲覧

ランサムウェアをダウンロードさせるために、攻撃者は大手ECサイトや公的機関のサイトに巧妙に似せたWebサイトを公開しています。このようなWebサイトには、ボタンやテキストリンク内にランサムウェアのダウンロードボタンが隠されています。

このようなWebサイトは巧妙に作られているものの、URLは公式サイトと一致していません。Webサイトを開く際には、ブックマークやブラウザの履歴から辿るようにするなど、日常的にURLアドレスが正しいものかどうか確認しましょう。

④ソフトウェアのダウンロード

ランサムウェアには、特定のアプリケーションに隠され配布されているケースもあります。たとえば、P2Pのファイル共有ソフトBitTorrentに、Mac向けのランサムウェアであるKeRangerが含まれて配布されていました。インターネット上に出回っているソフトウェアをダウンロードする場合には、公式サイトのものを利用しましょう。

5.ランサムウェアの対策

ランサムウェアに感染しないためためにできる予防策について紹介します。また万が一感染した場合に備えて、日常的にするべき対策についても紹介します。

①定期的なバックアップ

感染したランサムウェアに復号ツールがない場合、コンピューター上からランサムウェアを除外した上で、データを復元する必要があります。そのためバックアップの頻度が少ない場合、一部のデータについては消失するリスクが高くなります。クラウドストレージなどを活用して、バックアップはできる限り高頻度で行うようにしましょう。

②不要なサービスの無効化

日常的に利用することが少ない機能は、それが脆弱性につながることもあります。たとえばSMBServer Message Block)は実際に古いバージョンが脆弱性となり、マルウェア感染の被害が拡大しました。企業によってはUSBポートやBluetoothについても利用不可としているケースもあります。

このような外部ネットワークとの接続口となりうる機能で普段使わないものは、できる限り無効化しておきましょう。

③ウイルス対策ソフト

ウイルス対策ソフトを入れておくことで、被害を受ける前にランサムウェアを検知できる可能性が高まります。近年のウイルス対策ソフトでは、「ファイル変更可能なプログラムの制限」や「疑いのある変更に対する自動バックアップ」機能などが備わっています

関連リンク:

複数端末のセキュリティを一括管理「おまかせアンチウイルス」

セキュリティのプロが通信を監視・サポート「おまかせサイバーみまもり」

④OSの定期更新

ランサムウェアはOSの脆弱性を狙った攻撃も多くあります。そのためMicrosoftAppleから、定期的にOSの更新プログラムが配布されています。これらの更新で、システムの脆弱性が減少し、マルウェアに感染する確率が低くなるのです。

6.感染した場合の対処法

万が一ランサムウェアに感染した場合の対処法について説明します。感染した直後に、金銭の支払いには応じないように気をつけましょう。金銭を支払っても暗号化が解除されないケースがほとんどです

ランサムウェアは画面上に脅迫文が表示されることもあり、焦って行動をしてしまいがちです。事前に被害が発生した場合を想定しておくことで、攻撃者の意図通りに被害が拡大することを防ぎましょう。

①ネットワークの遮断

ランサムウェアへの感染が確認されたら、2次被害を防ぐためにコンピューターをネットワークから切り離します。想定される対処としては、Wi-Fiの無効化や物理ケーブルの取り外しです。また外部ストレージについても、ランサムウェアの暗号化対象に含まれる可能性があるため、ネットワークを切断しましょう。

②ランサムウェアの種類の特定

ネットワークの切断が完了したら、ウイルス対策ソフト等を利用してランサムウェアの種類を特定しましょう。ランサムウェアによっては無料の複合ツールが提供されていることもあります。

一方で複合ツールがない場合は、コンピューターの初期化が必要になります。このようにランサムウェアによって対処方針は変わってきますので、種類の特定は非常に大事なステップです。

③ランサムウェアの駆除

ランサムウェアが特定できたら、コンピューター内からランサムウェアの駆除を行います。駆除についてはウイルス対策ソフトを利用したり、場合によってはコンピューターを初期化することで駆除するケースなどが考えられます。

④復号ツールの利用

復号ツールが開発・公開されているランサムウェアも一部あります。ランサムウェアが特定できたら、復号ツールの有無についてNo More Ransomeのウェブサイトで検索してみましょう。もし復号ツールが見つからない場合は、コンピューターの初期化を行い、バックアップからデータを復旧しましょう。

参考:

No More Ransome

7.まとめ

ランサムウェアの脅威は今後も拡大することが予想されます。被害を避けるためにも、ランサムウェアの手口や種類を個々人が理解し、普段から注意することが重要です。

NTT東日本の「おまかせサイバーみまもり」は、ランサムウェアの防止にも有効です。ぜひ自社のサイバー攻撃対策を検討する際に、弊社サービスをご覧いただければと思います。

  • おまかせサイバーみまもり

    セキュリティのプロが通信を監視・サポート「おまかせサイバーみまもり」

  • お申し込み

    NTT東日本ビジネス向けストアで、いますぐ、簡単にお申し込みいただけます。

  • ご相談・お問い合わせ

    料金詳細、導入にあたり不安なことなど、いつでもお気軽にご相談ください!

    お電話でのお問い合わせ

    受付時間:平日9:00~17:00(年末年始を除きます)

    フォームでのお問い合わせ

    お問い合わせフォーム別ウィンドウで開きます

ページの先頭へ

おまかせアンチウイルスEDRプラス・おまかせアンチウイルスのトップに戻る

おすすめコラム

  • おまかせクラウドアップセキュリティ

    クラウドメール、クラウドストレージ上でセキュリティ脅威を検知・遮断する機能に加え、導入支援をセットでご提供。
    セキュリティサポートオプションの追加でセキュリティレポートのご提供やウイルス感染時の駆除支援等もご利用いただけます。

    おまかせクラウドアップセキュリティ
  • おまかせサイバーみまもり

    不正な通信を検知・遮断する機器に加え、社内ネットワークのモニタリング、ウイルス感染時の駆除・復旧支援を提供。

    おまかせサイバーみまもり

ページ上部へ戻る