ランサムウェアの危険性について紹介。感染してしまった時の対策も解説

• 2024.3.29 (金)
  Posted by NTT東日本

「ランサムウェアによる被害が知りたい」「ランサムウェアに対してどのような対策を行えばいいのか」とお悩みの方もいらっしゃるのではないでしょうか。

ランサムウェアは年々被害件数も増えており、企業にとっても無視できない脅威です。個人・企業はもちろん、自治体や公的機関なども国外問わず被害を受けています。

そこで本記事では「ランサムウェアの被害例」について紹介し「感染しないための防止策」について解説します。また、万が一ランサムウェアに感染してしまった際の対策も紹介します。

ランサムウェアの脅威や危険性について、取るべき対策をまとめた内容になっていますので、ぜひ最後までお読みください。

ランサムウェアとは、ウイルスに感染したコンピュータからデータを暗号化し、身代金を要求するサイバー攻撃の手口です。暗号化したデータの解除を条件に、身代金を要求します。

ランサムウェアは、個人や企業を問わずメールやWebサイト経由でパソコンやスマートフォンにウイルス感染して、使用している端末をブロックします。企業を狙う場合は、あらかじめ組織のネットワークに侵入し機密情報を搾取した上で、サーバーやパソコンを操作不能にして、身代金を要求する手口です。

攻撃者がランサムウェアを行う主な目的は、金銭的利益を得ることと、悪意を持った相手への嫌がらせです。最近では身代金を仮想通貨で要求するケースが多く、より攻撃者は特定されにくい傾向にあります。

ランサムウェアは国外問わず、被害が年々拡大しています。理由としては、AIを活用した高度なサイバー攻撃が増加しているのと、リモートワークの普及により、セキュリティ上の脆弱性を突いたウイルス感染が増えているからです。

個人や企業だけでなく、自治体や公的機関もランサムウェアの被害を受けています。被害事例を、国内と海外でそれぞれ解説します。

警視庁の発表によると、国内のランサムウェアの被害は令和4年度が230件で前年度比57.5%と増加しています。国内での被害事例を2件紹介します。1件目は、病院が被害を受けた事例です。ランサムウェアによる被害で、診療報酬の計算や電子カルテに使用するシステムが停止しました。

新規患者の受け入れを、一旦止める事態にまで発展しています。2件目は、製造業が被害を受けた事例です。ランサムウェアによる被害で、システム障害が起き、業務停止状態に陥りました。他にも大手企業やECサイトがランサムウェアの被害に遭っています。

海外は日本よりも早くランサムウェアが発見され、被害も拡大しています。海外の事例を2件紹介します。

1件目は、大手公共インフラの事業会社がランサムウェアの被害に遭い、システムを停止した例です。インフラのシステムが停止したため、市民の生活にも影響が出ました。最終的にこのインフラ事業会社は、システム復旧のために仮想通貨で身代金を支払う事態に陥っています。

2件目は個人が狙われたケースを紹介します。メッセンジャーアプリからウイルス感染し、使用していたパソコンがロックされ身代金を支払いました。スマートフォンの普及に合わせて、個人を狙った被害も多発しているのでセキュリティには注意が必要です。

主な感染経路は以下の3つです。

• VPN機器
• リモートデスクトップ
• メール

2022年のランサムウェアの感染経路は、VPN機器からの侵入が68%、リモートデスクトップが15%、その他にも不審なメールからが9%というデータがあります。(出典:内閣サイバーセキュリティセンター)

従業員を含めた組織全体でセキュリティに対する意識を高める必要があるでしょう。それぞれの感染経路について解説します。

ランサムウェアで最も多い感染経路がVPN機器です。VPN機器とは、インターネット上で安全にデータ通信を行うための装置です。ネットワークを利用して、仮想の専用回線で通信を行います。

VPN機器を導入すると外部からのサイバー攻撃の侵入を防げます。しかし、テレワークの普及などの背景からセキュリティを最新の状態に保てておらず、脆弱性を突かれてランサムウェアの被害に遭う企業が増えています。

また、VPN機器の恐ろしい所は、企業で使用されるネットワークのため、一度侵入すると社内の複数のシステムを攻撃できる点です。セキュリティ強化のために設置する企業が多いですが、脆弱性を突かれてウイルス感染するため、感染経路としては1番被害が多いです。

感染経路の1つであるリモートデスクトップは、遠隔操作で離れたパソコンを操作して作業できるものです。例えば、自宅のパソコンから会社のパソコンにアクセスして遠隔操作を行います。

自宅のインターネット接続環境は会社よりも情報セキュリティ対策が弱く、ここが侵入経路になっています。また、リモートデスクトップを利用したまま公衆のWi-Fiを利用して、ウイルス感染するのもよくある原因です。

リモートワーク増加に伴い、セキュリティ面の脆弱性を狙った攻撃により、感染経路として被害が広がっています。

メールからの感染経路も被害が増えています。スパムメールに添付されている、URLやファイルをクリックして感染するのが原因です。また、メールを開いただけでウイルスに感染するスパムメールもあり、手口が巧妙化しています。

実在する大手ECサイトや企業を装って送られてくるため、見分けがつかず、誤ってクリックしてしまう人が増えています。

SNSのダイレクトメッセージを利用した被害報告も増えており、知らない宛先や、利用した覚えのない企業からのメールなど、少しでも違和感を覚えたら開かずに削除しましょう。

ランサムウェアは大きく分けて2種類あります。不特定多数に送られるばらまき型と、組織を狙った標的型があり、手口も複雑化しています。それぞれの特徴を知り、情報セキュリティ対策を強化しましょう。

不特定多数の人にウイルスが組み込まれたメールを大量に送る手口です。攻撃側は、プログラムで自動生成したメールを大量に送るので、作業コストがかかりません。そのため、日々新種のウイルスが作られ、メールやインターネット上から侵入しようと試みています。

1度侵入してしまうと、ネットワーク内の脆弱性を見つけ、さらに増殖するウイルスもあります。ばらまき型が企業内の端末に感染した場合は、第三者に広がり二次被害が出るケースもあり、経済的な損失と、社会的信用の失墜につながるでしょう。

感染後の復帰対応にも時間を要するので、日頃からの情報セキュリティ対策が必要です。

標的型は、特定のターゲットに狙いを定めてウイルス感染する手口です。標的を決めたら、ネットワークに侵入して機密情報を窃取します。その組織専用のランサムウェアを開発して、サイバー攻撃を仕掛ける事例もあります。

また、サプライチェーンを狙ったランサムウェアの被害も増加中です。情報セキュリティ対策が薄い中小企業を狙ってサイバー攻撃を仕掛け、そこを足がかりとしてビジネスパートナーを辿り、標的である組織まで辿り着く手口です。

ランサムウェアの被害で流出した情報の内訳は、顧客情報が最も高く、次にビジネスパートナーとサプライチェーン情報でした。ランサムウェアでは、顧客や取引先情報が狙われているといってもいいでしょう。(出典:TREND MICRO)

攻撃側は組織的な犯行を行うケースもあるため、身代金の要求金額も高い傾向があります。狙ったターゲットに対して、用意周到に犯行を行うのが標的型の特徴です。

ランサムウェアの対策には従業員個人での対策と、組織全体で取り組めるものがあります。ランサムウェアは、組織だけが情報セキュリティ対策を強化しても防ぎきれません。

従業員も常日頃からセキュリティ意識を高く持ち、対策を行う必要があります。従業員個人と組織が行える対策をそれぞれ解説します。

従業員は、メールやSNS経由からのウイルス感染への対策をしなければいけません。企業が情報セキュリティ対策を強化していても、従業員個人がスパムメールを開封してウイルスに感染してしまうと、社内のネットワーク経由でランサムウェアの被害に遭います。

スパムメールに添付されているリンクやファイルからだけでなく、メールを開いた時点で感染するウイルスもあるため、従業員1人1人のセキュリティ意識を高く持つ必要があります。定期的にリテラシー教育を実施して、組織全体でセキュリティに対して意識を高める必要があるでしょう。

使用している機器や、ウイルス対策ソフトのOSを最新の状態にしましょう。少しでも脆弱性を残さないのが、ランサムウェアを未然に防ぐ鍵です。また、定期的にバックアップを取り、データはネットワークと切り離した媒体に保存しましょう。

万が一ランサムウェアの被害に遭った際に、ネットワークから切り離して保存しておけば、データを普及できます。未然に防ぐ対策も必要ですが、万が一ランサムウェアの被害に遭った際の対応も準備しておけば、被害を最小限に抑えられます。

ランサムウェアに感染した時の対策を4つ紹介します。ランサムウェアによっては、復号ツールがインターネット上に公開されていますが、自分で解決しようとしてはいけません。適切な対処を行えば最小限に被害を抑えられます。それぞれ解説します。

ランサムウェアに感染したらインターネットから遮断しましょう。2次被害を防ぐためです。ウイルスに感染したら、自分の端末を経由してネットワークに侵入し、個人情報やパソコンにロックをかけられます。

そのため、ランサムウェアの疑いがある場合は有線LANの場合はケーブルを抜き、Wi-Fiで接続しているなら通信をオフにしましょう。迅速に対応すれば、被害を最小限に抑えられます。ネットワークから切り離して、ファイルやデータが暗号化される前に迅速な対応を取りましょう。

ランサムウェアに感染して、身代金を要求されても金銭を支払ってはいけません。支払ったとしても、暗号化したファイルやデータが復元する保証はないからです。実際に、ランサムウェアの被害を受けて金銭を支払ったにも関わらず、暗号化が一部しか解除されなかったケースもあります。

さらに金銭を要求される可能性も否定できません。また、支払った金銭が新たな犯罪の資金に使われる可能性もあります。身代金を支払って解決した事例もありますが、良い選択とは言えないので、常にセキュリティ強化に努めましょう。

ランサムウェアに感染した疑いがある場合は、電源を切ってはいけません。電源を切れば一次的に感染は抑えられますが、再起動した際にランサムウェアの進行を早めてしまいます。電源を入れたらすべてのファイルが見られなくなったという被害事例もあります。

復元できる可能性もあるため、電源を落とすのではなく、ネットワークから切り離したら休止状態にしましょう。電源を切っても、ウイルスの進行は止まりません。

ネットワークから切り離したら専門家に見せて指示を仰ぎましょう。専門家とは、会社の専門部署や、警察のサイバー犯罪窓口です。ランサムウェアの種類数は多く、日に日に手口も巧妙化しているため、専門家でないと正しい判断が出来ません。

暗号化されたファイルを無事に復号した場合も、侵入経路や脆弱性を調べる必要があります。専門家に依頼して、検証や改善をまとめてもらいましょう。

社内のセキュリティ強化をしなければいけないのはわかるけれど、何からはじめたらよいのかわからないとお悩みの企業担当者の方も多いのではないでしょうか？

ランサムウェアの対策には、複数の手段を組み合わせることをおすすめします。

「おまかせサイバーみまもり」は、プロによる通信状況のモニタリングや、不正通信のブロックによって脅威から守るサービスです。不正なネットワーク通信を発見した際にはすぐにお客さまへ電話で連絡します。該当端末の隔離や、ウイルス駆除の遠隔サポートも可能です。さらに、サイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。

「おまかせアンチウイルスEDRプラス」を併用して導入すれば、さまざまな経路から侵入するウイルスやランサムウェアなどの感染を端末上で防げます。また、感染時の早期発見・早期対応まで対応可能です。万が一ウイルス感染が疑われる際には、NTT東日本のセキュリティ人材が、調査・復旧支援を行います。

さらに、フィッシングメールや標的型攻撃メールなどを、クラウド上で検知し防御できるのが「おまかせクラウドアップセキュリティ」です。セキュリティサポートオプションの追加で、セキュリティレポートの提供やウイルス感染時の駆除支援も可能です。

「必要なセキュリティ対策がわからない」「時間や手間をかけずにセキュリティ対策を強化したい」とお考えの方は、ぜひNTT東日本にご相談ください。

「おまかせサイバーみまもり」「おまかせアンチウイルスEDRプラス」「おまかせクラウドアップセキュリティ」を併用すれば、より社内の情報セキュリティ対策を強化できるでしょう。

ページの先頭へ

おまかせサイバーみまもりのトップに戻る