-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ランサムウェアはマルウェアの一種で、感染した機器のデータを暗号化してアクセスできない状態にし、データの復旧と引き換えに金銭(身代金)を要求する不正プログラムです。日本国内でも被害が急増しており、2025年9月の大手飲料メーカー、同年10月の小売・物流事業者のケースなど、業務に深刻な支障を及ぼす事例が数多く報告されています。
ランサムウェアに感染すると、感染した機器にあるデータが暗号化されて使用できなくなります。その後、感染機器の画面に身代金を要求する文書の「ランサムノート」が表示され、暗号化されたデータを復旧(復号)する対価として金銭を要求されるのが一般的です。また、暗号化される前にデータを抜き取られているケースや、最初に感染した機器からネットワークで繋がれた機器へ感染が広がり、最終的には組織全体に広がる場合もあります。
ランサムウェアの歴史は古く、トロイの木馬「AIDS trojan」を利用した1989年の事例がランサムウェアを使った初めての攻撃とされています。その後はしばらく大きな進展がなかったものの、2005年に再び姿を現すと、2009年にはコンピューターを暗号化して復号ツールを販売するウイルス「Vundo」が登場しました。
それ以来、ランサムウェアはさまざまな亜種が開発されています。ランサムウェアのコードを作成するグループと、システムの脆弱性を発見するハッカーとの協力関係で運営される「ランサムウェア・アズ・ア・サービス(RaaS)」も台頭しました。ランサムウェアの進化は止まらず、その後もファイルを盗んでロックする機能が加わったほか、身代金の支払いを強要するために被害者データを公開する新たな手口が定着し、リークサイトの設立という流れにつながりました。
ランサムウェアを使う攻撃者は従来、ウイルスメールをばらまくといった方法で無差別に攻撃を仕掛けていましたが、近年では特定のターゲットを狙い撃ちする標的型攻撃が多くなっています。暗号化する前にデータを盗んでおき、これを公開する、あるいは攻撃された事実を報道機関や顧客に通知してさらに恐喝することを「二重恐喝」「三重恐喝」と呼び、こうした攻撃は数年前から増加傾向にあります。
日常的に利用するデータが暗号化されれば、データを使えなくなったことで業務に大きな支障が生じます。また、盗まれたデータがインターネット上に公開されれば、被害者にとっては大きな痛手となります。このように、攻撃者はデータを「人質」に取ることで、身代金を支払うよう被害者に圧力をかけるのです。
しかし、ファイルの復元が保証されていないことや、復号できても今後の攻撃に使われるマルウェアが被害者のシステム内に残っている可能性があること、そして「ランサムウェアは儲かる」との印象を与えないためにも、基本的に身代金を支払うべきではないとされています。日本のJPCERT/CCや米CISA、英NCSCといった各国サイバーセキュリティ機関も、攻撃者の要求には応じないことを推奨しています。
狙われる業界は多岐に富み、大小さまざまな組織がターゲットにされています。過去の国内での事例を見てみると、ある医療機関が攻撃されたケースでは、通常診療や外来診療、緊急以外の手術、救急患者の新規受け入れができなくなったほか、会計や薬の処方にも問題が発生しました。一方、小売業者が攻撃を受けた際は受発注が行えなくなり、プリペイドカードやクレジットカード、スマホ決済でのレジ精算がストップしています。
教育業界が狙われたケースでは、小中学校で通知表の配布が間に合わなくなるなどの被害が発生しました。そのほか、自動車部品企業ではシステム障害による間接的影響が海外子会社にまで及んだ上、被害の拡大を防ぐためにITシステムを遮断した結果、生産や販売といった事業活動にも一時的な支障が生じています。
復旧には通常で1週間以上かかることが多く、サービスの再開までに数か月を要することも多々あります。さらに、データの復旧だけでなく、情報漏洩の有無や原因究明の調査に費用が必要になるほか、個人情報が漏洩、または漏洩した可能性が判明することで追加の対応を求められる場合もあります。
ランサムウェアに感染すると、次のような対応が必要になります。
- 感染機器をネットワークから隔離する:バックアップがあれば、バックアップもネットワークから切り離す。
- 損害の範囲・程度を把握する:暗号化されたファイルやデータ、影響を受けたシステムに格納されているデータの種類、使用されたランサムウェアの種類、損害の範囲や程度を確認する。
- 関係各所に連絡し、証拠を保全する:経営陣やJPCERT/CC、警察、セキュリティベンダーなど外部機関に報告し、協力してインシデント対応に当たる。攻撃に関する証拠は収集・保存し、フォレンジック調査に活用して原因を究明する。
- 完全に駆除してからデータを復元する:パスワードのリセットや脆弱性への対処、データの復元は、ランサムウェアが完全に駆除されるまで行わない。すでに組織内で感染を広げている可能性もあり、駆除が不十分な場合は再感染の恐れがある。データ復元にはバックアップを使うか、各国捜査機関などが主導するプロジェクト「No More Ransom」のWebサイトから復号ツールを入手する方法もある。
- 原因を究明し、再発防止策を検討する:同じ組織が複数回狙われることも珍しくはない。その多くは脆弱性が生まれる根本的な原因を修正していないためで、原因究明と再発防止策を検討することが再被害防止につながる。
感染への備えとしては、バックアップの用意と点検、対応計画の準備、従業員の教育、演習の実施が挙げられます。バックアップを保管する際、外部ストレージのような保存機器をネットワークに接続しないことが重要です。クラウドサービスに保存する場合は、暗号化されたファイルに自動で置き換わらないよう、同期の設定に注意する必要があります。復元の方法や正しく機能しているかどうかも定期的に確認してください。対応計画に「チームや個人の役割と責任の明確な定義」「顧客やユーザーへの影響を最小限に抑える事業継続計画」「コミュニケーションに関する計画」「ベンダーとの協力関係」を盛り込んだり、多用される攻撃手法の教育を徹底したりすることも有効です。
また、使用しているソフトウェア・OSなどの不要なアカウントとサービス、不適切な設定と脆弱性は攻撃者に狙われる危険性があり、そのほかにもフィッシング攻撃や別のマルウェアへの感染がランサムウェア感染につながったケースも多々あります。こうした経路別に対策を講じることは、ランサムウェアの被害を抑えるために効果的です。
ランサムウェアについて、さらに詳しくはこちらの記事もご覧ください:
とは?.jpg)