最近よく耳にするランサムウェア。
なんとなく概要はわかるけど、具体的に説明はできない、という方も多いのではないでしょうか。

マスメディアで企業のランサムウェアやEmotetによる被害が報じられることも多いため、経営層から『うちの会社は大丈夫なのか？』と言われ、対策方法を確認されている方もいらっしゃるのではないでしょうか。
 
本記事では、ランサムウェアの事例や実際の被害数字をもとに、脅威の内容、そして具体的な5つの対策方法をお伝えします。
 
鍵となるのは、「正しいセキュリティツールを正しい体制で運用する」ことです。

企業規模に関係なく脅威を増すランサムウェア

ランサムウェアとは、感染した各サーバやクライアントPCなどをロックしたり、ファイルを暗号化したりすることで使用不可にさせ、復旧させる代わりに暗号資産などの「身代金」を要求する、不正プログラムの一種です。
 
近年は、企業や団体などの規模を問わず、ランサムウェア被害が発生しています。

警察庁がまとめたランサムウェアの被害状況によれば、令和５年に起こった197件の被害のうち36％が大企業で、52％を中小企業が占めており（その他12％）、その悪意ある影響力には、あらゆる企業が細心の注意を払わなければならない状況です。

▽警察庁によるランサムウェア被害状況まとめ
・企業・団体におけるランサムウェア被害は、令和５年に報告された件数が197件で、前年以降の高水準が続いている。
・ランサムウェア被害の主な感染経路は、脆弱性を有するVPN機器や認証情報の不正利用が挙げられる。
・最近では「ノーウェアランサム」と呼ばれる手法も確認され、令和５年には30件の新たな被害が報告されている。
 
参考：令和５年におけるサイバー空間をめぐる脅威の情勢等について

※ノーウェアランサム：組織からデータを窃取して「入手したデータを公開する」と脅迫することで、相手に金銭を支払わせるサイバー攻撃。

ランサムウェアに感染すると起こりうる2大被害

ランサムウェアに感染してしまった場合、具体的にどのようなことが起こりうるのでしょうか。
大きく以下2つの観点から見ていきましょう。
 
▽インフラ被害
▽金銭被害

▽インフラ被害

デバイス自体がロックされたり、サーバ内などのファイルが暗号化されたりすることで、業務への支障、あるいは攻撃が基盤システムに影響を与える場合には、業務全体を停止せざるをえない状況にまで陥ることもあります。
また、バックアップデータごと被害を受ける場合もあり、復旧が完全に不可能になるケースも少なくありません。
 
病院への被害が確認された事例もありますが、患者のカルテデータが暗号化された場合には、人命にかかわる事態も想定され、最悪の二次被害を引き起こすケースも考えられます。
 
また、近年では、アクセスブローカーと呼ばれる、侵入を手引きして攻撃の横展開を促進する存在によって、ブレイクアウトタイム（攻撃者が初期侵入してから横展開するまでの時間）もかなり短縮されています。
 
アクセスブローカーとは、初期侵入や管理者権限の奪取といった、犯罪集団の一部機能に特化した者たちを指します。
従来の攻撃者は、侵入してからPCの中身をダンプして、管理者を発見し、フィッシングメールを投げるなどしてから権限を奪取して…といった動作をひとつひとつ行っていたため、初期侵入から攻撃の横展開までに時間がかかっていました。

しかし、アクセスブローカーの台頭によって特権IDが売買され、いきなり管理者権限によって攻撃が横展開されることで、ブレイクアウトタイムが大幅に削減されています。

2023年時点で、ブレイクアウトまでにかかる時間は平均で約62分となっており、年々減少しています。
 
▽金銭被害

暗号化されたデータ復旧の代わりに身代金を要求するのが、ランサムウェアの目的です。
金銭被害の合計額は、国内だけでも億を優に超えています。
 
身代金を要求しつつ「暗号化する前のコピーデータを流出させる」といった内容で恐喝し、さらに金銭を要求するケースもあります（二重恐喝＝ダブルエクストーション）。

ランサムウェア被害の主な国内事例

ランサムウェアは国内でも多く報告されています。
いくつかの事例をご紹介します。

▽出版会社K

出版会社Kは、2023年5月に主要なデータセンターがランサムウェア攻撃を受け、多くのサービスとシステムが影響を受けました。攻撃により、主要なデジタルプラットフォームである「動画共有サイト」を含む多くのサービスが停止し、読者やユーザーに大きな影響を与えました。特に、個人情報やサービスデータの一部が暗号化され、一時的にアクセスできなくなるなどの問題が発生しました。現在、全社を挙げての復旧作業が進行中であり、データ復旧とセキュリティ強化に焦点を当てています。また、情報漏洩の調査も進行中であり、顧客のデータが漏洩した可能性についても詳細に調査しています。

▽製粉会社N

製粉大手の製粉会社Nは、2021年7月に本体の主要な基幹システムサーバとファイルサーバ、グループ企業が利用する財務会計システム、販売管理システムなどが同時多発的に暗号化されたことを発表しました。システム復旧に時間がかかったため、同社は4～6月期の四半期報告書の提出期限を延長する事態となりました。

▽地方病院H

2021年10月31日未明、地方病院Hがランサムウェアに感染。約8万5000人分の電子カルテデータが暗号化され、氏名や年齢、治療内容、投薬履歴などの基本情報が失われました。本件では、バックアップデータも被害を受けています。

▽自動車グループT

2022年3月、自動車グループTの大手部品メーカーが、身代金要求型のサイバー攻撃を受けていたことがわかりました。ドイツ拠点で、第三者からの不正アクセスが確認されています。自動車グループTは同年2月にも、取引先の部品メーカーが被害を受けており、国内すべての工場を一時、稼働停止しています。

ランサムウェア被害に遭わないために

ランサムウェア被害に遭わないためには、どうすればよいのでしょうか。
「なぜ起こるのか？」という観点をもとに、ランサムウェア被害に遭わないための対策を見ていきます。

ランサムウェア被害はなぜ起こるのか？

ランサムウェアの要因はいくつか挙げられますが、以下の2点はとくに注意するべき項目です。
・不十分な社内体制/社内教育
・ランサムウェアが新たなランサムウェアを呼ぶ

不十分な社内体制/社内教育

ひとつは社内体制/社内教育が整っていない点です。
最新のセキュリティ製品を導入したとしても、それを運用できる人材の不足などが原因で、脆弱性を攻撃されるケースは少なくありません。

前述の警察庁令和5年度調査によれば、ランサムウェア被害に遭った企業のうち92％がウイルス対策ソフトなどを導入していたにもかかわらず、その内の79％が「ウイルスは検出されなかった」と回答しています。

とくにリモートワークが急ピッチで進められてきた昨今では、つぎはぎ的に新しいモノを導入されているケースが多いため、人やプロセスも併せて再度整備することが重要です。

ランサムウェアが新たなランサムウェアを呼ぶ

ランサムウェア被害そのものも、新たな被害の火種となっています。
ランサムウェアの被害が拡大すると、犯罪集団はより多額の「軍資金」を獲得します。
軍資金を獲得することでマルウェア開発委託も容易になり、結果として多国語への翻訳を依頼したり、より強力な不正プログラムを開発できるようになったりします。
 
被害額を最小限に抑えるために、やむを得ず身代金を支払ってしまうケースもありますが、その金銭が犯罪者集団をより悪意あるものに成長させていることを考慮しなければなりません。
ベストは、ランサムウェア被害に遭わない体制を整えることです。

ランサムウェア対策の具体的なアクション

ランサムウェア被害に遭わないために、今日から検討できる具体的な施策を、5つ紹介します。

・セキュリティソフトの導入
・脆弱性アップデート
・データバックアップ
・パスワード管理強化や多要素認証の導入
・社内啓蒙活動

セキュリティソフトの導入

エンドポイントにセキュリティを施すものから、ログを監視するSIEM製品、あるいはネットワークのふるまいを検知するものなどがあり、それぞれの層に適したセキュリティを施すことで、包括的な安全を手に入れます。

脆弱性アップデート

ランサムウェアは脆弱性を狙った攻撃も多いです。
OSやアプリケーションを常に最新の状態に保つことで、脆弱性をなくすことも重要です。

データバックアップ

データバックアップも、ランサムウェア対策として有効な手段のひとつです。
ただし、サーバなどと同じネットワーク上にバックアップシステムが存在する場合、バックアップシステムごと感染してしまう危険もあります。
書き換え不可なイミュータブルバックアップが可能な製品を導入するか、別のネットワークや物理的に異なる端末などにバックアップすることが望ましいです。

パスワード管理強化や多要素認証の導入

リモートワークが促進されている昨今では、BYOD端末を業務利用する企業も少なくありません。
ただし、パスワード認証のみでVPN接続できてしまうと、パスワードが流出しただけで攻撃を受けてしまう危険性もあります。
特にBYOD端末はパスワードが簡単に設定されている場合も多く、注意が必要です。
パスワードの設定を強力にすることはもちろん、多要素認証の導入も検討するべきでしょう。

※BYODについて詳しくはこちら
※多要素認証について詳しくはこちら

社内啓蒙活動

ランサムウェアは日々高度化しており、ソーシャルエンジニアリング（心理的な隙や行動のミスを突いて機密情報を聞き出す手法）による攻撃も頻繁に発生しています。
日頃から従業員のランサムウェアに対する意識を高めておくことで、このような被害を防ぐことが可能です。
 
弊社でも、従業員のセキュリティリテラシーをより高めるために、怪しいメールやURLなどへの啓蒙を強めています。
「標的型攻撃メール訓練サービスとは？ 自社で利用してみたら、3つの大きな効果があった話」では、実際にメール訓練サービスを活用してセキュリティ意識を高めた事例を紹介しています。
ぜひ参考にしてください。

まとめ

ランサムウェアは日々高度化し、その被害も増加傾向にあります。

今回お伝えしてきた通り、ランサムウェアの具体的な対策としては、貴社に最適なセキュリティソフトの導入や全社員の端末での脆弱性アップデート、確実なデータバックアップ、パスワード管理強化や多要素認証の導入に加え、社内啓蒙活動についても非常に重要となります。

いくら良いセキュリティ製品を利用していても、現場社員の方がOSのアップデートを放置し、情シスで許可していないアプリケーションや端末を会社のネットワーク環境下で利用するなんてことがあれば、ほぼセキュリティ面が機能していないに等しいからです。

そのため、冒頭でも記載したとおり「正しいセキュリティツールを正しい体制で運用する」ことが非常に重要です。
当たり前なことを言われても...と思うかもしれないですが、その当たり前を当然のように対応していくことがセキュリティ対策の第一歩なのです。
 
弊社でも、セキュリティ支援も含めたインフラ構築・運用サービスを展開しています。
「どこから手をつけるべきかわからない」「現在利用している対策が最善かわからない」といった場合には、お気軽にご相談ください。

また、弊社が提供する情報漏えい調査サービス「MIERUPASS（ミエルパス）」では、諜報活動でも利用されているOSINT（オシント）を活用して、企業の情報がサイバー空間にどの程度漏えいしているか調査できます。
まず現状のリスクの可視化をして、セキュリティ対策を強化していきましょう。
 
さらに、セキュリティソリューション「MIERUシリーズ」も提供しています。

• MIERUTRAP: 標的型攻撃を模擬した訓練メールをユーザに送信し、攻撃メールへの対応確認と教育を行います。
•  MIERUDR: マルウェアの侵入を防ぐ次世代アンチウィルス（NGAV）の導入からEDR、運用までを代行し、詳細なレポートを提供します。
• MIERUBASE: 一般社員とエンジニア向けのセキュリティ教育を提供します。

上記MIERUシリーズの資料ダウンロードは以下のページからご確認ください。

MIERUシリーズの資料ダウンロード

※OSINT（オシント）：「オープン・ソース・インテリジェンス」の略で、一般公開されているあらゆる情報を収集・分析し、独自の情報を得る手法。

■関連記事
・情報セキュリティの基本（cia）と3大脅威への対策とは

・情報漏洩どう防ぐ？テレワークにおける企業データの守り方！｜認証・認可

・ゼロトラストセキュリティとは？情シス部員なら知っておきたい基礎知識

※この記事は、公開時点の情報をもとに作成しています。