パソコンやネットワークを使用していると、ウイルスやマルウェアに感染するリスクが常に存在します。中でもランサムウェアは世界中で被害が確認されており、多くの企業でも被害事例があります。システムの脆弱性により感染する例も多く、対策をするにはセキュリティツールを導入することが大切です。
当記事では、ランサムウェアの概要や実際の被害事例を解説します。最近では、HEAT (Highly Evasive Adaptive Threat: 高度に回避的で適応型の脅威)の手法を使ったランサムウェアが急増しています。被害が発生してしまった原因を知ることで適切な対策を行えるため、当記事をぜひ参考にしてください。
目次
ランサムウェアとは?
ランサムウェアによる世界の被害事例
- 半導体製造企業のランサムウェア被害
- 医療関連企業のランサムウェア被害
- パイプラインのランサムウェア被害
ランサムウェアによる日本の被害事例
- 株式会社日立製作所のランサムウェア被害
- 株式会社カプコンのランサムウェア被害
- ホンダ自動車のランサムウェア被害
- つるぎ町立半田病院のランサムウェア被害
ランサムウェアの種類
- CryptoWall
- Locky
- WannaCry
- MAZE
ランサムウェアへの対策方法
- セキュリティ対策ツールの導入
- システムの脆弱性の修正
- セキュリティ教育の実施
- バックアップの作成
まとめ
1.ランサムウェアとは?
ランサムウェアとはパソコンなどの内部にあるさまざまなデータを暗号化して、元に戻すための条件として、身代金を要求するマルウェアです。マルウェアとはウイルス・トロイの木馬・スパイウェアなど、パソコンやタブレット端末などに悪影響を及ぼすプログラムやソフトウェアを意味します。
2022年上半期、警察庁には、114件のランサムウェア被害が報告されました。被害件数は2020年の下半期から右肩上がりに増加しており、規模や業界を問わずにあらゆる企業が、攻撃を受けています。
出典:警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
以下は、ランサムウェア攻撃を受けた場合に懸念される被害の例です。
- 端末内のファイルが改ざんされる
- 機密情報、個人情報などを抜き取られる
- 端末を乗っ取られて、サイバー攻撃の踏み台にされる
近年では金銭を要求するのみならず、「要求に応じない場合は抜き取った情報を公開する」と脅す「二重恐喝」の攻撃手法も確認されています。抜き取った情報の一部を公開した上で「このまま応じなければ、範囲を広げる」と脅すケースもあり、事業継続が難しい事態に陥りかねません。端末がサイバー攻撃の踏み台にされるとサプライチェーン全体に影響が及び、取引先や消費者に迷惑をかけるリスクもあります。
ランサムウェアの手口が多様化する時代において企業経営の安定を図るためには、より一層のセキュリティ対策が不可欠です。ランサムウェアの脅威を正しく把握し、十分な対策を行うことで、被害を未然に防ぎましょう。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(脅威編)」
出典:警察庁サイバー犯罪対策プロジェクト「ランサムウェア被害防止対策」
2.ランサムウェアによる世界の被害事例
ランサムウェアによる被害は世界中で発生しており、多くの外国企業がセキュリティ対策に多額のコストを掛けています。ランサムウェアによる世界の被害事例を知ることで脅威を正しく把握し、自社に必要なセキュリティ対策を考える上での参考にするとよいでしょう。
2-1.半導体製造企業のランサムウェア被害
2018年8月、台湾の半導体製造企業がランサムウェアの被害に遭い、工場の制御システムが停止されました。結果として半導体製造企業は3日間もの間、工場の閉鎖を余儀なくされています。
被害の直接的な原因は、ランサムウェアに感染している端末が工場の制御システムに接続されて、他の端末へも影響が及んだことです。半導体製造企業には新規端末を接続する前にウイルススキャンを行い安全性を確認するルールがあったものの、作業ミスによって省略されたことが問題視されています。制御システム内に古いOSのまま使用している端末があったことも、大きな被害につながった要因の1つです。半導体製造企業では被害の発生から3日後の午後には制御システムを復旧したものの、営業利益ベースで最大190億円の被害が発生したと言われています。
出典:経済産業省「電力分野を巡るサイバーセキュリティ政策の動き」
出典:独立行政法人情報処理推進機構「制御システムのセキュリティリスク分析ガイド補足資料 制御システム関連のサイバーインシデント事例6」
2-2.医療関連企業のランサムウェア被害
2020年5月、ドイツに本社がある医療関連企業はランサムウェアの攻撃を受けて、業務を一時停止しました。攻撃から2週間後にはランサムウェアによって残された脅迫文通り、患者情報の一部がインターネット上に公開される被害を受けています。
この事例では、悪意ある外部者が管理サーバの特権アカウントを利用して患者情報が保存されているサーバへと侵入し、電子カルテを窃取したことが示唆されました。そして、感染した端末をすべて暗号化し、業務の停止を引き起こした可能性があります。
2020年5月頃には世界中で医療関連企業を狙った攻撃が発生しており、イギリスやアメリカは共同で、警戒情報を発表しました。同様の被害を防止するためには電子メールのフィルタをかける・安易なパスワードの使用を避けるなどの対策が必要です。
出典:独立行政法人情報処理推進機構「制御システムのセキュリティリスク分析ガイド補足資料 制御システム関連のサイバーインシデント事例7」
2-3.パイプラインのランサムウェア被害
2021年5月、アメリカの石油パイプライン大手事業者がランサムウェアの攻撃を受けて6日間、操業を停止しました。アメリカの一部地域では操業停止に起因する燃料不足を懸念した市民によるガソリンのパニック買いが発生し、多くの人の生活に影響が及んでいます。
攻撃を受けたパイプラインは十分な量のバックアップを取っており、最終的にはその情報から復旧を行ったものの、問題を早期解決する目的で身代金の支払いに応じました。支払った身代金の金額は、4億円を超えるとも報告されています。
攻撃者はインターネット上からVPNの正規パスワードを使用して、パイプラインの情報システムに侵入しました。使用されたパスワードは比較的複雑であったものの、他のWebサイトで侵害されたものを使い回していたことが問題視されています。
出典:独立行政法人情報処理推進機構「制御システムのセキュリティリスク分析ガイド補足資料 制御システム関連のサイバーインシデント事例9」
3.ランサムウェアによる日本の被害事例
日本においてもランサムウェア被害事例は、数多く確認されています。国内企業の被害事例の中には復旧に5,000万円以上を要するほど大規模なものもあり、経営を揺るがしかねないリスクとして、心構えを持つことが必要です。
以下では、日本におけるランサムウェア被害の代表例を紹介します。
3-1.株式会社日立製作所のランサムウェア被害
日立製作所では2017年5月にランサムウェアの攻撃により、社内システムの一部が停止しました。5月15日以降にはメールシステムにも影響が及び、やり取りやスケジュールのデータが消失する被害を受けています。
以下は、被害を招いた主な原因と解決に向けて取られた対策です。
主な原因脆弱性対策していない端末がランサムウェアに感染したこと対策
- 関係者に連絡して会議を開き、対策方針を決定
- 対策方針に沿い、特定通信の遮断・ウイルス駆除・外部への感染拡大の阻止などを実施
当時の日立製作所は利便性を優先したネットワークを採用していたことも、感染の拡大を招いた原因の1つです。被害を受けた教訓から日立製作所は「24時間稼働が必要なサーバにもセキュリティパッチを適用する」などの事後対策を取り、リスク管理を行っています。
出典:日立「ランサムウェアによる被害および復旧状況について」
3-2.株式会社カプコンのランサムウェア被害
2020年11月、カプコンはサイバー犯罪者グループの不正アクセスにより、最大35万件の顧客情報および従業員の個人情報を流出させた恐れがあります。被害を受けた端末にはサイバー犯罪集団から、身代金を要求する脅迫メッセージが残されていました。
主な原因北米現地法人の旧型VPN(仮想プライベートネットワーク)装置が不正アクセスを受けたこと対策
- 標的になった旧型VPN装置を廃棄
- 侵入された疑いのある端末をクリーニング
- 外部企業の支援を受けて暗号化されたデータを復旧
- 外部との接続を常時監視するシステムを導入
旧型VPN装置から侵入したサイバー犯罪集団はアメリカや日本の端末も乗っ取り、情報を抜き取りました。カプコンでは被害を受けた教訓からセキュリティ監督委員会を立ち上げ、より一層の安全管理に努めています。
出典:カプコン「不正アクセスに関する調査結果のご報告【第4報】」
3-3.ホンダ自動車のランサムウェア被害
2020年6月、ホンダでは外部からのサイバー攻撃によるネットワーク障害が発生し、一部の従業員のパソコンが使用できなくなりました。また、サイバー攻撃の影響は国内外の工場にも及び、生産・出荷が一時停止されています。
ホンダは、サイバー攻撃を受けた原因や詳細なデータ復旧の流れを公表していません。しかし、ホンダの被害では、標的型ランサムウェアによる攻撃が示唆されています。
標的型ランサムウェアとは無差別に攻撃を仕掛ける「ばらまき型」と異なり、特定組織を狙うタイプのランサムウェアです。標的型ランサムウェアは一般的なウイルス対策ソフトによる対策が難しいとも言われており、新しいタイプの攻撃に対応したリスク管理が求められます。
3-4.つるぎ町立半田病院のランサムウェア被害
2021年10月、つるぎ町立半田病院ではサイバー攻撃により、電子カルテや病院内のデータが暗号化される被害を受けました。半田病院の事例ではランサムウェアの感染が発覚してから電子カルテを再稼働するまでに、2か月以上も要しています。
以下は、被害の主な原因と解決に向けて取られた対策です。
主な原因リスクの高いシステム運用を行っていたこと対策
- 感染が疑われる機器や端末などの使用を停止し、初期化
- すべての端末やサーバにウイルス対策ソフトを導入
- 関係会社と協議し、各種データを復旧
被害当時のシステム運用体制には、VPN装置の脆弱性を放置していたこと、サーバの認証用パスワードが単純であったことなどの問題がありました。病院内にセキュリティ関連の専門知識を持つ人材がいなかった点も、大きな被害を引き起こした原因の1つです。
出典:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」
出典:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」
4.ランサムウェアの種類
企業の経営を脅かすランサムウェアには、さまざまな種類があります。そして、種類ごとに攻撃の手口が異なるため、一筋縄で対策を行うことは困難です。自社にとって必要なセキュリティ対策の方向性を見極めるためにも、ランサムウェアの代表的な種類と特徴を正しく理解しておきましょう。
4-1.CryptoWall
CryptoWallは、不正ファイルを添付したメールを送付し、開封した相手のパソコンに感染するタイプのランサムウェアです。CryptoWallに感染したパソコンでは一部のファイルが暗号化されて、身代金を要求されます。その他、CryptoWallの主な特徴は、以下の通りです。
- 暗号化されたファイルの拡張子がランダム文字列になる
- バックアップシステムも暗号化する
CryptoWallの作成者はセキュリティ対策に対抗する目的で次々と、新規バージョンを開発しています。そのため、CryptoWallへの対策を行う際には常に、最新の動向を追うことが必要です。
4-2.Locky
Lockyは、2016年から2017年にかけて世界的に猛威をふるった暗号化型のランサムウェアです。Lockyは多くの場合、請求書通知を装ったメールを送付し、添付ファイルを開封した相手のパソコンに感染します。以下は、その他、Lockyの主な特徴です。
- 暗号化されたファイルの拡張子が「.locky」「.zepto」になる
- 壁紙が身代金を要求する脅迫文に変更される
Lockyは世界を股にかけた攻撃を仕掛けることも多く、国内企業の被害も絶えません。また、近年ではSNSのメッセンジャーを活用して攻撃を仕掛けることもあり、最新手口を踏まえた上での従業員教育が必要です。
4-3.WannaCry
WannaCryは、2017年頃から世界的に流行し、日本においても多くの被害が見られたランサムウェアです。WannaCryはランサムウェアとワームで構成されており、非常に高い感染力を持っています。
WannaCryはOSの脆弱性を狙うタイプのランサムウェアであり、「添付ファイルの開封」などのアクションがなくても、攻撃を仕掛けることが可能です。過去には、イギリスの国民保険サービスやドイツの鉄道会社などの大規模な組織もWannaCryの攻撃を受け、多くの人の生活に影響が及びました。
4-4.MAZE
MAZEは2019年頃に登場し、二重恐喝を行うタイプの先駆けとも言われるランサムウェアです。MAZEがネットワークに侵入すると多くの場合は以下の手順で、攻撃を仕掛けます。
- 攻撃対象になる複数の端末を偵察し、影響を最大化できる対象を特定
- 偵察した情報をもとに自身を拡散し、極力多くの端末に感染
- 管理者権限を奪取して、影響を最大化できる対象に感染
- セキュリティ対策を回避し、自身が存続できる状態を整備
- データを暗号化し、脅迫文を送付もしくは表示
MAZEは2020年9月、自ら運営するWebサイトにおいて、活動停止を公表しました。しかし、二重脅迫スタイルで攻撃を仕掛ける手口は現在でも多数あり、MAZEとの関与も疑われます。
5.ランサムウェアへの対策方法
最新のIT技術を駆使しても、ランサムウェア攻撃を完璧に予想することは困難です。情報漏えいやパソコン・サーバの感染リスクを極力軽減するにはあらゆるリスクを想定した上で、十分な対策を取りましょう。
以下では、ランサムウェアの被害を軽減するための代表的な対策を解説します。
5-1.セキュリティ対策ツールの導入
業務でインターネットを使用する企業にとって、セキュリティ対策ツールの導入は必須です。ランサムウェア用のセキュリティ対策ツールにはさまざまな種類があるため、企業として重視するポイントを意識して、適したものを選択します。
たとえば、パソコンのウイルス侵入を回避したい企業には、エンドポイントでランサムウェアを検知するツールがおすすめです。パソコン内のファイルを重点的に保護したい場合は、ファイルサーバでランサムウェアを検知するタイプを検討してもよいでしょう。
ただし、ランサムウェアの手口は日々進化しており、ツールによる検出が難しいケースもあります。より重点的なリスク管理を考える場合はWEB分離ツール(外部との接続を制限した作業環境を構築するツール)の導入など、別の視点からのアプローチも検討しましょう。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)」
5-2.システムの脆弱性の修正
システムの脆弱性とは、プログラムの不具合や人為的なミスなどによってOSなどに発生するセキュリティ面の欠陥です。開発者がシステムの脆弱性を発見すると問題を解消するためのアップデートを行い、セキュリティパッチを提供します。システムの脆弱性をついた攻撃を回避するには情報収集を怠らず、OSやソフトウェアを最新の状態に維持しましょう。
ただし、近年では、開発者が脆弱性を公表してからセキュリティパッチを提供するまでの期間に攻撃を仕掛ける「ゼロデイ攻撃」も見られます。ゼロデイ攻撃の被害を防止するには「セキュリティパッチが提供されるまでは、リスクの高い行為を避ける」などの対策を取りましょう。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)」
5-3.セキュリティ教育の実施
ランサムウェアは従業員一人ひとりの心理的な弱点をつき、攻撃を仕掛けることもあります。従業員にはセキュリティ対策の重要性を十分に教育し、自覚を持った行動を促すことで、被害を未然に防ぎましょう。
以下は、従業員に教育する内容の具体例です。
- 違和感のある添付ファイルは開封しない
- 推測できるパスワードを設定しない
- メール内のリンクを不用意にクリックしない
従業員の自覚ある行動を促すには企業の統一的な指針として機能する「情報セキュリティポリシー」を策定し、周知徹底を図る方法も一案です。情報セキュリティポリシーに関する教育を行った後、同意書にサインさせる・違反時の罰則規定を策定するなどの方法によっても、自覚ある行動を促せます。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)」
5-4.バックアップの作成
ランサムウェアから脅迫を受けた際、安易に身代金を支払うことはハイリスクです。データが暗号化された場合も慌てずに復旧作業を進めるには、日頃からバックアップを作成しましょう。
しかし、近年ではランサムウェアによってバックアップデータも含めて暗号化されるケースがあります。バックアップデータを守るにはサーバ内のみではなく、外付けハードディスクやUSBメモリを使用して、ネットワークから切り離した場所で保存しましょう。
より万全のセキュリティ対策を取るにはオリジナルのバックアップデータをもとに、2個のコピーを作成します。2個のコピーのうちの1個はネットワークから切り離した場所で保管し、攻撃に備えるのが大切です。
まとめ
ランサムウェアは、端末のデータを暗号化し、暗号を解く代わりに身代金を要求するマルウェアであり、世界中に被害が出ています。企業で使用しているネットワークが感染すると営業に長期的な影響が出る上、金銭的な被害にもつながるため、適切なランサムウェア対策をしておくことが大切です。
社員にセキュリティ教育を実施する他に、システム脆弱性の修正やセキュリティ対策ツールの導入が有効です。セキュリティ対策ツールにはさまざまな種類があり、WEB分離ツールは特に感染の危険性を下げる効果があるため、導入を検討するとよいでしょう。
