ランサムウェアの4つの感染対策とは？代表的な感染経路についても解説

• 2023.3.07 (火)
  Posted by コワークストレージ窓口

「ランサムウェア感染対策を知りたい」
「ランサムウェア感染対策にはどんなものがあるんだろう？

ランサムウェア感染対策には、大きく分けて以下の4つの種類があります。

ランサムウェアの侵入を防ぐことができれば理想ですが、いつどのような状況からサイバー攻撃が行われるのか分かりません。そのため、そもそもランサムウェアを完全に遮断できると考えるのはリスクです。

現実的には、ランサムウェアが侵入しない対策と、侵入した場合の対策を行っておく必要があります。それぞれの種類での対応策は以下の通りです。

このうち「未然に防ぐ対策」と「備える対策」はまだウィルス感染が起こっていない場合の対策です。もしも既にランサムウェアに感染した可能性がある場合は「4.ランサムウェアに感染してしまった場合の初期対策」以降をご参考にしてみてください。

この記事をお読みいただくことで、ランサムウェアの被害を最小限にする対策を網羅できます。ぜひこの記事を参考に、ランサムウェア対策を行ってみてください。

それではまず最初に、ランサムウェアの代表的な感染経路についてお伝えします。ランサムウェアにどのような特徴があり、どのような感染経路があるのかを具体的にイメージすることで、対策が練りやすくなるためです。

それぞれ、見ていきましょう。

まずはランサムウェア感染を具体的にイメージしてみましょう。ランサムウェアとは、端末内のデータを暗号化し使用できない状況を作った上で、身代金を要求する不正プログラムのことです。

ランサムウェアに感染すると、多くの場合はデータが暗号化されるか操作ができなくなり、身代金を要求するポップアップが表示されます。以下は、代表的なランサムウェアWannaCryのポップアップの例です。

出典：ランサムウェアにご注意！｜大阪府警察

ランサムウェアに感染すると、このようなポップアップにて身代金の支払いを期限付きで要求されます。それだけでなく、期限内に支払わなかった場合には機密情報を公開するなどと言って、二重で脅迫されることもあります。

身代金を支払ってデータが復旧することもありますが、実は身代金を支払ったとしてもデータが復旧しない場合もあります。そのため、「身代金が要求されても支払わない」というのが一般的な見方です。

ランサムウェア感染の代表的な経路としては、主に以下の3つがあります。

これらを理解しておくと、ランサムウェア対策に役立ちます。それぞれ、見ていきましょう。

1-2-1.VPN機器から侵入するケース

まずは、VPN機器から侵入するケースです。VPNとは「Virtual Private Network （仮想プライベートネットワーク）」の頭文字を取ったものです。

VPNを利用すると通常、通常のインターネット接続よりもセキュリティ効果が高くなります。そのため多くの企業でVPNを導入しているのですが、実はこのVPN機器の脆弱さを狙ってランサムウェアが侵入するケースも増えてきているのです。

VPNは脆弱性が見出されると、アップデート用のデータが配られます。通常はアップデートを行うことで解決します。

しかし、そうしたアップデートをこまめに行って常に最新版にしておかないと、VPN機器は脆弱なままになってしまいランサムウェアの侵入を許してしまうケースが多いのです。

1-2-2.リモートデスクトップから侵入するケース

リモートデスクトップから侵入するケースも比較的多いケースです。リモートデスクトップとは、社外から社内のコンピューターにリモートでアクセスし遠隔操作できる仕組みのことです。

リモートデスクトップは、リモートのシステム管理者用のパスワードやID情報を不正に入手し、リモートデスクトップ機能を活用してログイン。コンピューターを遠隔操作してランサムウェアをダウンロードしてしまう方法です。

実はこの方法はランサムウェア感染だけでなく別のマルウェア感染や情報漏えいの可能性もあるため、被害が大きくなる危険性の高いケースです。

近年はリモートワークが普及している影響で、リモートデスクトップを活用する企業が増えつつあります。深刻な状況に陥る可能性もあるため、リモートデスクトップを行う場合にはセキュリティを万全にしておく必要があります。

1-2-3.メールや添付ファイルから侵入するケース

メールや添付ファイルから侵入するケースも一般的です。例えばランサムウェアを仕込んだメールを受信し、それに気づかずに開いてしまったり、添付ファイルをダウンロードし感染してしまうケースです。

取引先企業になりすます等、巧妙な手口でメールを開いたりダウンロードさせようとします。またはランサムウェアに感染するURLをクリックしてしまうこともあるでしょう。

以前はメールからのランサムウェア感染が最も一般的でした。しかし近年はユーザーのリテラシーも上がりつつあり、不審なメールにアクセスするケース自体が減少しています。

とはいえ、依然としてメールからのランサムウェア感染は無くなっているわけではありません。従業員に十分に周知して危機的状況にならないよう対策を取っておく必要があるでしょう。

ここからは、ランサムウェアを未然に防ぐための対策として以下の3つを紹介します。これらのうちどれかを導入するのではなく、3つともすべてを行うように心がけましょう。

それぞれについて解説します。

もしもいまだにセキュリティソフトを導入していなかったら、なるべく早く導入しましょう。セキュリティソフトの導入は、全ての企業にとって急務と言えます。

セキュリティ対策ソフトの種類としては、主に以下のふたつがあります。

EPPは、そもそもマルウェア（ランサムウェア）がコンピューターに入り込まないように予防するソフトです。それに対しEDRはマルウェア（ランサムウェア）の侵入をいち早く検知し、削除などの対応を行うソフトです。

結論として、これら2つはどちらも導入する必要があります。セキュリティ対策をまず万全にしたいのであれば、EPPとEDR双方の導入がおすすめです。

ちなみに、どちらもあわせもつツールも販売されています。例えば、セキュリティ対策ソフトの世界的大手であるトレンドマイクロが法人向けに出している「Trend Micro Apex One™ SaaS」は事前予防と事後対処に対応しています。

ソフトのアップデートをこまめに行うことも重要な対策です。

OSやソフトウェア、アプリは脆弱性に対応すべく日々アップデートのデータが配布されています。こうしたアップデートを行わずにそのままデバイスやソフトウェアを利用していた場合、脆弱性の高い状況が続き、ランサムウェアの侵入が起こりやすい状況となってしまいます。

そのようなことが起こらないよう、ソフトやOSのアップデートはこまめに行うようにしましょう。

ランサムウェア感染対策のもう一つが、感染経路を遮断するルールを従業員に周知するということです。

ここまでにも解説してきた通り、ランサムウェアの多くがメールから感染しています。ユーザーの不注意や知識不足により、不審なURLをクリックしてしまったり、ファイルのダウンロードによる感染が起こっているのです。

こうした被害をなくすためには、感染経路を完全に遮断するためのルールを周知する必要があります。具体的には、以下のような内容のルールを徹底しましょう。

• 不審なリンクをクリックしない
• 不審な送信元からの添付ファイルを開かない
• 不審なサイトからファイルをダウンロードしない
• メールで安易に個人情報を提供しない
• 不審なUSBメモリをPCに接続しない

ここで重要となるのが、どのようなものが「不審」であるかを判断する方法も明確化することです。ランサムウェアを含むマルウェアが仕込まれたメールには以下のような特徴があります。

• 件名の日本語が不自然である
• 送信者のドメインの「＠」以前がランダムな文字列
• 送信者の氏名が書かれていない・署名がない
• 添付ファイルの名前がランダムな文字列になっている　など

近年のウィルスメールは巧妙に作り込まれているため、実は誰にでも簡単に見破れるとは限りません。例えば、取引先になりすましてメールを送りつける場合もあります。そのため従業員には、少しでも気になることがあれば誰かに相談することを徹底しましょう。

具体的な周知の方法ですが、一斉メールで周知して終わらせるのではなく、勉強会や研修を行って十分に理解してもらうことが重要です。

この章では、ランサムウェアが侵入した場合に備える対策として、以下の2つを解説します。

それぞれについてみていきましょう。

ランサムウェア感染対策を行う上で、データのバックアップは重要です。安全度の高い方法を取り入れて、定期的にバックアップを行うようにしましょう。

ランサムウェアは、どのような対策を行っても100％防げるものではありません。どんなに性能の高いウィルス対策ソフトを利用しても、従業員にルールを徹底しても、いつどこからシステムが脅威にさらされるかはわからないのです。

データのバックアップは、万が一ランサムウェアに感染してしまった際にデータ復元の唯一の道と言っても過言ではありません。逆に言えば、バックアップさえ取っておけばランサムウェアに感染したとしても、復旧することができます。

データのバックアップの方法を考える時には以下のふたつを考慮しましょう。

• 同一ネットワーク内でバックアップデータを管理しない
• クラウドサービスでバックアップを行う

例えばバックアップサーバーを社内に導入して管理していたとしても、同一ネットワークで管理してしまっては意味がありません。ランサムウェアを含むマルウェアは同一ネットワークに感染を広げる性質のあるものが存在します。

そうした特徴のあるマルウェアに感染してしまうと、ネットワーク上にあるバックアップデータも破損してしまう可能性があるのです。

そのため、データをバックアップする際には必ずネットワークからは切り離して保管するようにしましょう。具体的には外付けHDDなどを活用して定期的にバックアップを取り、ネットワークから遮断する方法がおすすめです。

また、データをバックアップする際にはクラウドサービスを活用することもおすすめです。クラウドサービスにバックアップを取ることで、社内のデータとは物理的に切り離された状態でデータを保管することが可能となります。

クラウドバックアップについてより詳しくは「クラウドバックアップは利用すべき！おすすめする理由とサービス10選 」を参考にしてみてください。

重要なデータへのアクセス権限を限定的にすることも、ランサムウェア感染の対策としては重要となります。

ランサムウェアは、PCに侵入した後に共有フォルダに侵入して暗号化を試みます。そのためもしも、重要なデータへのアクセス権限を付与するなどで編集ができない状況にしておけば、暗号化を防ぐことが可能となります。

重要なデータやファイルに関してはアクセス権限を設定することで、被害を最小限にすることも可能なのです。

具体的には、以下の方法でアクセス権限を付与します。（Windowsの場合）

以上の手順で、後はポップアップに従ってアクセスを許可するユーザーを指定して設定を行います。

この章では、万が一ランサムウェアに感染してしまった場合の対策についてみていきます。具体的には、以下の2つの工程全てを順番に行います。

その前に、大前提として身代金にすぐに応じることはやめましょう。攻撃者はさまざまな手口で身代金をすぐに支払うよう要求します。データの暗号化だけでなく、応じなかった場合は情報を外部に流すといって脅す二重脅迫もあるでしょう。

しかし、ランサムウェアは場合によっては自分で解除できる可能性があります。さらに、たとえ身代金を支払ったとしてもデータが復旧できない場合もあるのです。まずはセキュリティ担当者や外部の専門家に問い合わせるなどして対策を仰ぐことをおすすめします。

ランサムウェアに感染してしまったら、まずはコンピューターをネットワークから遮断します。ここまでにも何度も解説した通り、マルウェア（ランサムウェア）は同一ネットワーク内に感染を広げる特徴のあるものがあります。

そのようなマルウェア（ランサムウェア）に感染してしまうと、同じネットワーク上の他の端末に危害が及ぶ可能性があるのです。まずはネットワークから遮断して、マルウェア（ランサムウェア）と該当のコンピューターの中に封じ込めましょう。

ネットワークから遮断するには以下のような方法があります。

• LANケーブルで繋がっている場合には、物理的にコンピューターから抜く
• Wi-Fiで繋がっている場合、Wi-Fi接続設定から「切断」をクリックする

感染したコンピューターを物理的に遮断したら感染したランサムウェアの種類を特定し、駆除を行います。

セキュリティ対策ソフトを既に導入している場合には、ランサムウェア感染対策を行っていないか問い合わせて見ましょう。ランサムウェアを特定・駆除し、さらにデータを復号するツールがあれば、ツールを使って一連の対処を行います。

セキュリティ対策ソフトを導入していなかったり、セキュリティ対策ソフトを導入しているが駆除・復号を行えないなどの場合には、ランサムウェアの特定を無料で行えるサイト「No More Ransom」にアクセスして活用します。

「No More Ransom」はランサムウェア被害者に対して情報を提供しているサイトです。ランサムウェアの特定や復号ツールは以下のように活用します。

1. 1.トップページ上部の「ランサムウェアの特定」をクリック
2. 2.暗号化されたファイルをアップロードして「結果を見る」をクリック

3. 以上の工程で、ランサムウェアの種類が分かります。そのあとは同サイトの「復号ツール」にランサムウェアの種類を入力し、ツールを探します。

   「No More Ransom」は警察庁が運営する「警察庁サイバー犯罪対策プロジェクト】にもリンクが張られているくらい信頼性の高いサイトです。ぜひこの無料ツールを活用してみてください。

5. それでも対策ができない場合には、ランサムウェア復旧サービスの活用も検討してみてもいいかもしれません。ただし、ランサムウェア復旧サービスの中には悪質な者もあるため注意が必要です。聞いたことのないサービスではなく、大手のセキュリティベンダーのサービスを利用すると良いでしょう。

それでは最後に、ランサムウェアに感染した後の再発防止対策についても見ていきましょう。ここでは、以下の2つの方法について解説します。どちらも再発を防ぐという意味では重要となります。

それぞれ、見ていきましょう。

ランサムウェア感染からデータ復旧まで自社で行えた場合の対策ですが、感染が確認されなかったデバイスに関しても一度調査することをおすすめします。

その理由としては、もしもランサムウェアへの感染が確認されていなかったとしても、他のマルウェアなどの影響を受けている可能性を完全には否定できないためです。例えば脆弱性を突かれてランサムウェアの侵入を許した場合は、もしかしたら他のマルウェアが既に侵入しているかもしれないのです。

調査の方法としては、セキュリティ対策ソフトのフルスキャンの実行がおすすめです。ウィルスが検出されたら削除して対応します。

ランサムウェアに感染し、もしも自力でデータ復旧ができた場合でも、セキュリティの専門家に一度相談することをおすすめします。その理由としては、ランサムウェアへの感染リスクを最小限に抑えるためです。

相談すべき企業としては、以下の3つが挙げられます。

• 付き合いのあるシステム会社
• セキュリティサービス会社
• クラウド導入サービス会社

もしもすでに付き合いのあるシステム会社があるようでしたら、まずはそちらに相談することがおすすめです。場合によってはおすすめのセキュリティ支援サービスを紹介してくれる可能性があります。

そうした付き合いのある企業がない場合は、セキュリティサービス会社に相談してみましょう。ランサムウェアやマルウェアからのデータ保護を専門としている企業に相談すれば間違いないでしょう。

最後にご紹介したいのが、クラウド導入サービス会社です。

ランサムウェア対策を行うにあたって、データのバックアップは重要事項となります。データバックアップ方法としては近年、クラウドの活用が一般的となっています。しかし、場合によってはクラウドのセキュリティに不安があって導入に踏み切れないといった方も多いでしょう。

多くのクラウドサービスは、企業のセキュリティ強化やデータ保護のために導入されています。サービスによってセキュリティの状況は異なりますが、ランサムウェア対策にはどのような対応をすればいいのかといった提案もしれくれる企業もあるでしょう。

そうした企業に相談し、クラウド導入など適切な対応を検討することをおすすめします。

ランサムウェア対策にデータのバックアップを行いたいのであれば、ぜひNTT東日本のクラウドストレージ「コワークストレージ」をご検討ください。コワークストレージは主に中小企業向けのオンラインストレージサービスです。

コワークストレージの特徴としては、以下の3つが挙げられます。

それぞれについてみていきましょう。

コワークストレージの特徴としては、データを国内保管しているという点があります。その他にもセキュリティ面の特徴としては以下が挙げられます。

• 最高水準の暗号技術を使用
• 端末のキャッシュも暗号化
• データの機密性を保護
• 自動的に暗号化・復号化
• セキュリティ強化のための2段階認証

コワークストレージのもうひとつの特徴として、きめ細やかに権限設定ができるという点もあります。第3章でも解説した通り、データの保護にはセキュリティ権限の付与が必要です。

コワークストレージは階層に制限がなく、自社サーバーと同等のアクセス権限の付与も可能です。また、操作ログや管理者の操作に至るまで、すべてのログを保持できます。後から必要に応じて確認したり、利用することが可能です。

直感的に操作しやすいインターフェースになっているのも、コワークストレージの大きな特徴と言えます。

ストレージサービスを選ぶ時の重要な点として、「操作しやすさ」は実は上位に上がります。せっかくストレージサービスを導入しても、使いにくいかったりインターフェースが分かりにくい場合には、従業員にストレスを与えてしまうためです。

その点コワークストレージはデスクトップやローカルドライブと同じような感覚で直感的に操作が可能です。

以上のように、コワークストレージは中小企業が使いやすい設計となっています。興味がありましたら、ぜひ以下より詳細をご覧ください。

お問合せはこちら

以上、この記事ではランサムウェア対策について詳しく解説してきました。今回ご紹介した対応策は以下の通りです。

この記事をお読みいただいたことで、ランサムウェアの被害を最小限にする対策を網羅できたかと思います。ぜひこの記事を参考に、ランサムウェア対策を行ってみてください。

ページの先頭へ

コワークストレージのトップに戻る