「ランサムウェア攻撃で○○社のシステムが停止」
「身代金を要求するサイバー攻撃が急増」——。
こうしたニュースを目にする機会が年々増えています。
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」でも、
ランサムウェアは4年連続で組織編の1位に選ばれており、
今もっとも警戒すべきサイバー攻撃と言っても過言ではありません。
でも、「ランサムウェアって結局どういう攻撃なの?」と聞かれると、
具体的に説明できない方も多いのではないでしょうか。
この記事では、ランサムウェアとは何か?を、
業務でパソコンを使うビジネスパーソン向けに、
仕組み・感染経路・被害の実態・具体的な対策まで、まとめて解説していきます。
超コワイ、ヤバイということだけはわかる。
ランサムウェアとは?一言でいうと「データを人質に取って身代金を要求するマルウェア」
ランサムウェア(Ransomware)は、パソコンやサーバーに侵入し、データを暗号化して使えない状態にしたうえで、「元に戻してほしければ身代金を払え」と金銭を要求するマルウェア(悪意のあるソフトウェア)です。
名前の由来は「Ransom(身代金)」+「Software(ソフトウェア)」。
そのまま「身代金ソフト」という意味です。
たとえるなら、こういうことです。
ある日出勤すると、オフィスの書類棚の鍵がすべて付け替えられていて、中の書類が一切取り出せなくなっている。
そしてデスクの上に「鍵を返してほしければ○○万円を指定口座に振り込め」というメモが置かれている——。
ランサムウェアがやっていることは、これのデジタル版です。
暗号化されたデータは、攻撃者が持つ「復号鍵」がなければ元に戻せません。
業務で使うファイル、顧客情報、基幹システムのデータベースなど、
企業にとって命綱ともいえるデータが突然使えなくなるため、被害は甚大です。
実際に日本の企業も攻撃を受けているね。
ランサムウェアの攻撃手法 ── 「二重脅迫」が主流に
実は、ランサムウェアの攻撃手法は年々巧妙化しています。
初期のランサムウェアは「データを暗号化して身代金を要求する」だけでしたが、
現在はさらに悪質な手法が主流になっています。
二重脅迫(ダブルエクストーション)
現在のランサムウェア攻撃で最も多いのが二重脅迫と呼ばれる手法です。
データを暗号化する前に、機密データを攻撃者のサーバーにコピー(窃取)しておき、
「身代金を払わなければ、盗んだデータをインターネット上に公開する」
と脅迫します。
つまり、バックアップからデータを復旧できたとしても、「情報を公開される」という別の脅しが残る仕組みです。
企業にとっては顧客情報の流出による信用の失墜や法的責任のリスクが加わるため、より追い詰められた判断を迫られます。
ノーウェアランサム
さらに最近では、データの暗号化すら行わず、窃取したデータの公開をちらつかせるだけで金銭を要求する「ノーウェアランサム」と呼ばれる手法も増えています。
暗号化という目に見える被害がない分、侵入に気づくのが遅れやすいという厄介な特徴があります。
ランサムウェアの主な感染経路
「どこから感染するのか」を知ることは、対策を考えるうえで最も重要です。主な感染経路は以下の3つです。
VPN機器の脆弱性
実は近年のランサムウェア被害でもっとも多い感染経路が、VPN機器の脆弱性を突いた侵入です。
えっ、VPNって安全じゃないんすか?
リモートワークの普及でVPNを導入する企業が増えましたが、
VPN機器のファームウェア(内部ソフトウェア)を古いまま更新していないと、
既知の脆弱性を悪用されて外部から社内ネットワークに侵入されてしまいます。
警察庁の調査でも、ランサムウェアの感染経路のうちVPN機器経由が約6〜7割を占めるという結果が出ています。
フィッシングメール
フィッシングメールは、業務メールを装った偽のメールに、ランサムウェアを仕込んだ添付ファイルや不正なリンクが含まれているケースです。
「請求書をご確認ください」「至急:パスワードの変更が必要です」のような件名で、巧妙に受信者を騙して添付ファイルを開かせたり、リンクをクリックさせたりします。
リモートデスクトップ(RDP)の悪用
リモートデスクトップ接続(RDP)の設定に不備がある場合、インターネット経由で直接パソコンやサーバーに接続されてしまうことがあります。
特に、パスワードが単純だったり、多要素認証が設定されていなかったりすると、総当たり攻撃で突破されるリスクが高まります。
ランサムウェアに感染するとどうなる?
実際にランサムウェアに感染した場合、企業はどんな状況に陥るのか。
具体的な影響を整理しておきましょう。
業務が完全に停止する
基幹システムやファイルサーバーが暗号化されると、メールの送受信、受発注処理、在庫管理、経理業務など、日常業務のほぼすべてが止まります。復旧に数週間〜数ヶ月かかるケースも珍しくありません。
顧客や取引先に被害が波及する
自社のシステム停止が、取引先の業務にも連鎖的に影響を与えます。実際に、大手企業のランサムウェア被害によって関連企業の出荷や物流が停止した事例が複数報告されています。
復旧・対応に莫大なコストがかかる
システムの復旧費用、外部のセキュリティ専門会社への調査依頼費用、顧客への通知・対応費用、場合によっては損害賠償など、被害総額が数億円に上るケースもあります。
社会的信用を失う
顧客情報や機密情報が流出した場合、企業としての信用が大きく損なわれます。報道やSNSで拡散されることで、ブランドイメージへのダメージは長期にわたって残ります。
身代金は払うべき?
ランサムウェアに感染した際、もっとも悩ましい判断が「身代金を払うかどうか」です。
結論から言うと、基本的には払うべきではないというのが、国内外のセキュリティ機関や法執行機関の見解です。理由は明確です。
身代金を払ってもデータが戻る保証がない。
攻撃者は犯罪者です。代金を受け取った後に復号鍵を渡さないケースや、渡されたとしても正常に復元できないケースがあります。
「払う企業」と認識されると再び狙われる。
一度支払った企業は「払う企業」としてリスト化され、再攻撃のターゲットになりやすくなります。
犯罪組織の資金源になる。
支払われた身代金は、次の攻撃のための資金に使われます。つまり、間接的に犯罪を支援することになってしまいます。
そんな…一度モロに食らったらどうしようもないですやん…
だからこそ、「感染してから対応する」のではなく、「感染する前に備えておく」ことが何よりも重要です。
今日からできるランサムウェア対策
ランサムウェアの対策は、特別な専門知識がなくてもできるものが多くあります。
重要度の高い順に見ていきましょう。
バックアップを「攻撃されない場所に」取る
ランサムウェア対策として最も効果が高いのは、定期的なバックアップです。
ただし注意点があります。
バックアップ先がネットワーク上にある(常時接続されている)場合、ランサムウェアがバックアップデータごと暗号化してしまう可能性があります。
バックアップは、ネットワークから切り離した外付けHDDやSSD、またはクラウドストレージの別アカウントなど、攻撃者の手が届かない場所に保管することが鉄則です。
「3-2-1ルール」(データのコピーを3つ持ち、2種類の媒体に保存し、1つはオフサイトに保管する)が業界のベストプラクティスとして知られています。
OS・ソフトウェアを常に最新に保つ
VPN機器の脆弱性が最大の感染経路であることからもわかるように、ソフトウェアの更新を怠ることが、ランサムウェアに侵入口を与えることになります。
Windows Update、ブラウザ、VPN機器のファームウェア、業務ソフトなど、更新通知が来たら後回しにせず、速やかに適用する習慣をつけましょう。
ウイルス対策ソフトを導入し、定義ファイルを最新に保つ
ランサムウェアを含むマルウェアの検知・隔離には、ウイルス対策ソフト(セキュリティソフト)が有効です。
Windows標準のWindows Defenderも一定の防御力を持っていますが、法人利用やより高い保護を求める場合は、ランサムウェア保護機能を持つ有料のセキュリティソフトの導入を検討する価値があります。定義ファイル(ウイルスの情報リスト)が古いと新しい脅威に対応できないため、自動更新を有効にしておくことが大切です。
不審なメール・添付ファイルを開かない
フィッシングメールはランサムウェアの主要な感染経路のひとつです。以下のようなメールには特に注意してください。
「心当たりのない請求書や見積書の添付ファイル」「”至急””緊急”を強調して焦らせる件名」「差出人のメールアドレスが微妙におかしい(例:@amazon.co.jp → @amaz0n.co.jp)」
少しでも違和感を感じたら、添付ファイルを開いたりリンクをクリックしたりせず、送信者に別の手段(電話など)で確認するのが安全です。
長く使っていないサービスなどになりすまして「長期間のログインがないためアカウントが削除されます、アカウントの認証をしてください」みたいなメールを送ってくる事案もあるので、注意しよう。
送信元アドレスをよくみると「Annazon」になっていたり「WhatasApp」になっていたりするよ。もちろんそれだけで判別できない巧妙なパターンもあるけどね。
多要素認証(MFA)を導入する
VPNやリモートデスクトップ、クラウドサービスなど、外部からアクセスできるサービスには多要素認証を必ず設定しましょう。
パスワードが漏洩しても、追加の認証手段がなければ侵入できないため、攻撃のハードルを大幅に上げられます。
よくある質問
- 個人のパソコンもランサムウェアに狙われる?
-
狙われます。大規模な組織を狙った攻撃がニュースになりやすいですが、個人のパソコンに対するランサムウェア攻撃も依然として多く発生しています。セキュリティソフトの導入、OSの更新、不審なメールを開かないといった基本的な対策は、個人でも必ず行いましょう。
- ランサムウェアに感染したらまず何をすべき?
-
最も重要なのは、感染した端末をすぐにネットワークから切り離す(LANケーブルを抜く、Wi-Fiを切る)ことです。ネットワークに接続されたままだと、他のパソコンやサーバーに被害が拡大する可能性があります。その後、社内のIT部門やセキュリティ担当者に速やかに報告してください。
- ランサムウェアとウイルスは同じもの?
-
厳密には異なります。ランサムウェアは「マルウェア(悪意のあるソフトウェア)」の一種で、その中でも「データを暗号化して身代金を要求する」という特定の目的を持ったものです。ウイルスもマルウェアの一種ですが、自己増殖して他のファイルに感染する特性を指す言葉です。ランサムウェアはマルウェアの「下位分類」にあたります。
- スマートフォンもランサムウェアに感染する?
-
感染する可能性はあります。特にAndroid端末では、公式ストア以外からアプリをインストールすることで感染するケースが報告されています。アプリのインストールは公式ストアから行う、OSを最新に保つ、不審なリンクをタップしないといった基本対策が有効です。
- ランサムウェア攻撃をする側は、何を目的にしているの?
-
ほぼすべてのケースで目的は「金銭」です。ただし、ターゲットによって狙い方が異なります。
個人を狙う場合は、数万円程度の少額の身代金を暗号資産(ビットコインなど)で要求するのが典型的です。「少額なら払ってしまおう」という心理を突くばらまき型の攻撃が多く、技術的にはそこまで高度ではありません。
中小企業を狙う場合は、セキュリティ対策が手薄な企業を「入りやすい標的」として狙い撃ちします。専任のIT担当者がいない会社はVPN機器の更新やバックアップ体制が不十分なことが多く、攻撃者にとっては効率のよいターゲットです。数百万〜数千万円規模の身代金を要求されるケースが多く報告されています。
大企業を狙う場合は、数億円〜数十億円規模の高額な身代金を目的とした組織的な攻撃になります。入念な偵察を行ったうえで侵入し、二重脅迫(暗号化+データ公開の脅し)で最大限のプレッシャーをかけます。攻撃者側も「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれる分業体制で組織化されており、開発者・侵入担当・交渉担当が別々に動いているケースもあります。
まとめ
ランサムウェアとは、データを暗号化して身代金を要求するマルウェアです。近年は暗号化に加えて「データを公開する」と脅す二重脅迫が主流になっており、被害の深刻さは増しています。
主な感染経路はVPN機器の脆弱性、フィッシングメール、リモートデスクトップの悪用の3つで、特にVPN経由の侵入が全体の6〜7割を占めます。
対策としてもっとも重要なのは、ネットワークから切り離した場所へのバックアップです。加えて、OS・ソフトウェアの更新、セキュリティソフトの導入、不審なメールへの警戒、多要素認証の設定を組み合わせることで、感染リスクを大幅に下げられます。
「ランサムウェアって何?」と聞かれたら、「パソコンのデータを暗号化して使えなくしたうえで、元に戻す代わりに身代金を要求してくるサイバー攻撃だよ」と答えれば、ひとまず的を得た回答になりますね。
セキュリティ、ちゃんとやろ。
