ランサムウェア

ランサムウェアとは

ランサムウェア (Ransomware) は、感染したコンピュータのファイルを暗号化し、復号と引き換えに身代金 (Ransom) を要求するマルウェアです。身代金は追跡が困難な暗号通貨 (ビットコインなど) で要求されるのが一般的です。

近年のランサムウェアは単なるファイル暗号化にとどまらず、「二重脅迫 (Double Extortion)」が主流になっています。暗号化に加えてデータを窃取し、「身代金を払わなければデータを公開する」と脅迫する手口です。さらに、被害者の取引先や顧客にも連絡して圧力をかける「三重脅迫」も確認されています。

IPA の「情報セキュリティ 10 大脅威」では、ランサムウェアが組織向け脅威の 1 位を複数年連続で占めています。

主な感染経路

• フィッシングメール: 最も一般的な感染経路。請求書や配送通知を装った添付ファイル (マクロ付き Office ファイル、ZIP 内の実行ファイル) を開かせる。近年は OneNote ファイルや ISO イメージを悪用するケースも増加。
• VPN 機器の脆弱性: パッチが適用されていない VPN 機器やリモートデスクトップ (RDP) の脆弱性を突いて侵入する。日本国内の病院や企業への攻撃で多く確認されている経路。
• サプライチェーン攻撃: ソフトウェアの更新機能やマネージドサービスプロバイダー (MSP) を経由して、一度に多数の組織に感染を広げる。2021 年の Kaseya 事件では 1,500 以上の組織が被害を受けた。
• ソーシャルエンジニアリング: 電話やチャットで IT サポートを装い、リモートアクセスツールのインストールを誘導する手口。技術的な脆弱性ではなく人間の心理を突く。

効果的な予防策

ランサムウェアの被害を防ぐには、多層的な対策が必要です。

1. 3-2-1 バックアップルールの実践: データのコピーを 3 つ、2 種類の媒体に、1 つはオフサイトに保管する。ランサムウェアはネットワーク上のバックアップも暗号化するため、オフラインバックアップ (ネットワークから切り離した媒体) が不可欠。
2. パッチ管理の徹底: OS、VPN 機器、リモートアクセスツールのセキュリティパッチを速やかに適用する。既知の脆弱性を放置することが最大のリスク。
3. メールセキュリティの強化: 添付ファイルのサンドボックス検査、マクロの実行制限、不審な送信元のフィルタリングを導入する。
4. ネットワークセグメンテーション: 感染が広がる範囲を限定するため、ネットワークをセグメントに分割する。重要なサーバーやバックアップは別セグメントに隔離する。
5. 従業員教育: フィッシングメールの見分け方、不審な添付ファイルの扱い方を定期的に訓練する。技術的対策だけでは人間の判断ミスを完全には防げない。

感染時の対処手順

ランサムウェアに感染した場合は、パニックにならず以下の手順で対処してください。

1. ネットワークから即座に切断: 感染端末の LAN ケーブルを抜く、Wi-Fi を無効にする。感染の横展開を防ぐ最優先の行動。
2. 身代金を払わない: 支払っても復号キーが提供される保証はなく、支払いが攻撃者の資金源となり次の攻撃を助長する。FBI や警察庁も支払いを推奨していない。
3. 証拠を保全する: 身代金要求画面のスクリーンショット、暗号化されたファイルのサンプル、ログファイルを保存する。
4. インシデント対応チームに連絡: 社内の CSIRT やセキュリティベンダーに連絡し、専門家の支援を受ける。個人の場合は警察のサイバー犯罪相談窓口に相談。
5. 復号ツールの確認: No More Ransom プロジェクト (nomoreransom.org) で、該当するランサムウェアの無料復号ツールが公開されていないか確認する。

感染後の復旧には数週間から数か月かかることもあります。事前の備え (バックアップと対応計画) が被害の大小を決定的に左右します。

よくある誤解

ランサムウェアは大企業だけが狙われる

中小企業や個人も頻繁に標的になっています。むしろセキュリティ対策が手薄な中小企業は「狙いやすいターゲット」として攻撃者に好まれます。日本国内でも病院、自治体、中小製造業の被害が多数報告されています。

身代金を払えばデータは必ず戻る

身代金を支払っても、復号キーが提供されない、復号に失敗する、一部のファイルしか復元できないケースが報告されています。また、一度支払った組織は「支払い実績のあるターゲット」として再攻撃される傾向があります。

関連用語

関連記事