ランサムウェアとは? 攻撃の実態と効果的な対策方法
ランサムウェア攻撃の実態と対策法を紹介します。
ランサムウェアとは
ランサムウェア(ransomware)は「ransom(身代金)」と「software(ソフトウェア)」を掛け合わせた造語です。
不正なプログラムによって端末内にある文書や画像などのファイルを暗号化、または操作ができないようにロックをかけてしまうマルウェア(ソフトウェア)を指します。
端末をウイルス感染させると同時に、暗号もしくはロックの解除と引き換えに金銭を要求する脅迫が行われます。
ウイルスに感染した場合、データを自力で復旧することは困難であり、被害者は身代金の要求に応じるしかありません。そのため、ランサムウェアは別名、身代金要求型不正プログラムとも呼ばれています。
IPA(情報処理推進機構)が毎年発表している情報セキュリティ、情報セキュリティ10大脅威2023」でも、ランサムウェアによる被害は法人では第1位となっています。
このページでは、ランサムウェアの攻撃の実態と効果的な対策方法について、HENNGE Oneの機能を交えて解説します。
情報セキュリティ10大脅威 2023 個人・組織向け脅威の順位
主なランサムウェアの種類
ランサムウェアにはいくつかの種類があり、それぞれ異なる手法で被害をもたらします。以下に主なランサムウェアの種類を説明します。
Cryptoランサムウェア
Cryptoランサムウェアは、ファイルを暗号化し、復号のための身代金を要求します。暗号化されたデータはユーザー自身では復元できず、復号鍵がなければ元に戻せません。代表的な例に「WannaCry」や「Locky」があります。このタイプは、特に企業の重要データを狙うことが多いです。
Lockerランサムウェア
Lockerランサムウェアは、システム全体をロックし、ユーザーがコンピュータにアクセスできないようにします。ファイル自体は暗号化されず、システムの使用が制限されます。通常、デスクトップに身代金メッセージが表示され、ロック解除のための支払いが求められます。
Doxware(Leakware)
Doxwareは、データを盗み出してから暗号化し、身代金を支払わなければデータを公開すると脅迫します。このタイプは、個人情報や企業機密を標的にすることが多く、データ漏洩のリスクが高まります。被害者は、公開されたデータによる信用失墜を避けるために支払いを考慮します。
ランサムウェア攻撃の実態 -影響と被害-
ランサムウェアの手口は日々巧妙化しており、常に最新の対策を講じることが重要です。
フィッシングメール / 標的型攻撃メール
信頼できる送信者を偽装したメールや、件名や本文が業務連絡や請求書など、一見すると正規のメールが送られ、添付ファイルやリンクをクリックすると、ランサムウェアに感染します。不審なメールは安易に開かず、送信元や内容を慎重に確認しましょう。
WEBサイトによる感染
脆弱性のあるWebサイトを閲覧するだけで、ランサムウェアが自動的にダウンロードされる攻撃です。OSやソフトウェアは常に最新の状態に保ち、セキュリティ対策ソフトを導入して、感染リスクを低減しましょう。
リモートデスクトッププロトコル(RDP)攻撃
RDPの脆弱性を悪用し、ランサムウェアを侵入させる攻撃です。RDPのポートは不用意に公開せず、強固なパスワードを設定し、多要素認証を導入するなど、セキュリティ対策を徹底しましょう。
サプライチェーン攻撃
ソフトウェアの開発や流通過程にランサムウェアを仕込み、多数の組織や個人に感染させる攻撃です。ソフトウェアは信頼できる提供元から入手し、アップデートは速やかに行いましょう。
影響と被害
データの喪失
ランサムウェアは、重要なファイルやシステムを暗号化し、アクセス不能にします。バックアップがない場合、データ復旧は困難になり、業務停止や情報漏えいに繋がる可能性があります。
経済的損失
身代金の支払いだけでなく、システム復旧やセキュリティ対策の費用、業務停止による損失など、多大な経済的負担を強いられます。中小企業にとっては、経営を圧迫するほどの打撃となる場合もあります。
信頼の喪失
ランサムウェア被害は、顧客や取引先からの信頼を失墜させる可能性があります。情報漏えいにより、個人情報や企業秘密が流出すれば、社会的信用も失墜し、事業継続が困難になることも考えられます。
ランサムウェア対策
ランサムウェア対策のなかでも特に重要なのが、「ネットワークへの侵入対策」になります。 情報セキュリティ白書 に『ランサムウェア攻撃は、攻撃者が企業・組織内のネットワークへ侵入するところから始まる』と解説されており、ネットワークへの侵入さえ防げれば被害を受ける確率は格段に低下します。 ネットワークへの侵入対策として有効な手段には、「攻撃メール(フィッシングメール / 標的型攻撃メール)対策」「アクセス制御と認証の強化」「攻撃対象領域 (アタックサーフェス) の最小化」「脆弱性対策」があげられます。
対策01
攻撃メール対策その1
HENNGE Cloud Protection(フィッシングメール / 標的型攻撃メール)
HENNGE Cloud Protectionは、メールセキュリティを強化するためのさまざまな機能を提供し、フィッシングメール/ 標的型攻撃メール対策に効果的です。以下の3つの主要機能を通じて、フィッシングメールから組織を守ります。
※Microsoft 365上のメールをはじめとしたExchangeアイテムを脅威から保護するサービスです。
1. 「振る舞い検知」
振る舞い検知機能は、メールに含まれる添付ファイルなどの動作を監視し、通常とは異なる挙動を検出することで、フィッシングメールを特定します。悪意のあるメールは、受信者を騙して機密情報を入力させたり、マルウェアをダウンロードさせたりするため、異常な振る舞いをすることが多いです。HENNGE Cloud Protectionはこれらの異常な振る舞いを検出し、フィッシングメールを自動的にブロックします。これにより、ユーザーが誤ってフィッシングメールに応答するリスクを大幅に低減します。
2. 「レピュテーションチェック」
レピュテーションチェックは、メールの送信元ドメインやIPアドレスの信頼性を評価する機能です。HENNGE Cloud Protectionは、信頼性の低い送信元からのメールをフィルタリングし、フィッシングメールを事前にブロックします。これにより、受信者が疑わしいメールを受け取る前に排除できるため、フィッシング攻撃のリスクを低減します。また、リアルタイムで更新されるデータベースを使用することで、最新の脅威にも迅速に対応することが可能です。
3.「サンドボックス」
サンドボックス機能は、メールの添付ファイルやリンクを隔離環境で実行し、その挙動を分析することで、マルウェアやフィッシング攻撃を検出します。HENNGE Cloud Protectionは、この機能を利用して、安全な環境でメールを検査し、悪意のあるコンテンツが含まれているかどうかを確認します。これにより、ユーザーが危険なリンクをクリックしたり、感染したファイルを開いたりする前に、脅威を未然に防ぐことができます。
対策02
攻撃メール対策その2
HENNGE Tadrill(標的型攻撃メール訓練)
標的型攻撃メール訓練のHENNGE Tadrillは、従業員のリテラシー向上を実現することで、ウイルス対策だけでは完全に防ぐことは難しいと言われているメールを介した攻撃への対策を行い、ランサムウェア攻撃などのリスクを下げることができます。リアルタイムのフィードバック、最新の攻撃手法への対応、組織のセキュリティレベルの向上を実現します。
HENNGE Tadrillについてさらに詳しく知りたい方は、ぜひ「標的型攻撃メール訓練サービスのTadrill」のページをご覧ください。
対策03
アクセス制御と認証の強化
HENNGE Access Control
外部からの不正なアクセスを防止するには、アクセス制御を使ったアクセス可能範囲の制限が有効です。HENNGE Access Controlは、多要素認証(MFA)やシングルサインオン(SSO)により、ユーザー認証を強化し、不正アクセスを防止します。特に多要素認証は、パスワードだけではなく、追加の認証要素を必要とするため、セキュリティが大幅に向上します。 HENNGE Access Controlについてさらに詳しく知りたい方は、ぜひ「オンプレミスセキュアゲート」のページをご覧ください。
対策04
攻撃対象領域(アタックサーフェス)
HENNGE Connect
ランサムウェアは、VPN 機器やリモートデスクトップサービス、インターネットアクセスが可能なサーバーなどから侵入を減らす必要があります。HENNGE Connectはゼロトラストモデルに基づき、各アクセスを厳密に認証および検証します。これにより、不正なアクセスやランサムウェアがネットワークに侵入するリスクを大幅に削減します。 HENNGE Connectについてさらに詳しく知りたい方は、ぜひ「脱VPNソリューション」のページをご覧ください。
対策05
脆弱性対策
ランサムウェアは、機器類やサービスの脆弱性を突いて攻撃をしかけてきます。そのため、利用している製品については、ハードウェア・ソフトウェアともに定期的なバージョンアップを実施し、最新の状態を保つことが推奨されます。
近年のランサムウェアは、データに対する身代金の要求が成功したのちに「二重、三重、四重の脅迫」が行われるケースもあり、その被害はさらに深刻化しています。背景には、RaaS (Ransomware-as-a-Service) により専門知識や高度な技術がなくても誰にでも容易にランサムウェア攻撃が実行できる環境が提供されてしまっている状況などが挙げられます。 しかし、ランサムウェアに代表されるサイバー攻撃の侵入経路や攻撃の糸口は、いずれも「クラウドサービスの設定ミスや脆弱性を突く」手法であることがほとんどです。裏を返せば、こちら側がとるべき対策も、実は基本的には共通しているのです。 サイバー攻撃対策にはいくつかの種類があるため、まずは基本を抑えた抜本的なセキュリティ対策を実施するか、複数のセキュリティ対策が実施可能なソリューションを1つ導入するなどの対策を講じることがおすすめです。