ランサムウェアとは?感染経路や被害例、被害防止策や感染時の対処法を徹底解説
近年、世界中でランサムウェアによる被害が増加傾向にあります。企業の重要データが盗まれ、復旧のために大金が要求されるというランサムウェアは、多くの企業が恐れる脅威の1つです。
しかし、ランサムウェアの攻撃は未然防止策・被害防止策・対処法を徹底することで、被害を最小限に抑えることができます。
本記事では、ランサムウェアの攻撃から企業を守るための具体的な戦略を徹底解説します。ランサムウェアをはじめとするサイバー攻撃に不安を抱えている方は、ぜひ本記事の内容をご参考ください。
目次
[ 開く ]
[ 閉じる ]
- ランサムウェア(Ransomware)とは
- ランサムウェアによる被害は2021年から3年連続で1位
- 新種のランサムウェアや亜種について
- ランサムウェアの感染経路
- ランサムウェアによる被害例
- ランサムウェアの未然防止策
- 脆弱性情報の収集・修正
- 標的型攻撃の検知・ブロック
- 多要素認証・アクセス制限などの実装
- ランサムウェア侵入を前提とした被害防止策
- 3-2-1ルールに準じたバックアップ
- 管理者権限の適切な管理
- インシデント体制の構築
- ランサムウェアに感染した場合の対処法
- 感染領域と影響範囲の特定
- 感染領域を特定する
- 不審な事象がある端末を特定する
- 流出・盗難された情報を特定する
- 被害拡大・情報漏えいの回避
- ネットワークを切断する
- 感染した端末を隔離する
- GMOサイバーセキュリティ byイエラエでランサムウェアを徹底対策
- まとめ
ランサムウェア(Ransomware)とは
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、情報技術の世界において重大な脅威となるマルウェアのことです。
具体的には、マルウェアを感染させてコンピュータをロックしたり、ファイルを暗号化したりすることで使用不能にし、元に戻すことと引き換えに身代金を要求します。
2019年以降のランサムウェアは、コンピュータを使用不能にするだけでなく、組織が持つ機密情報を盗み出したうえで、「身代金を支払わなければ情報を流出させる」といった脅しとともに、金銭を奪い取る手法が採用されています。
ランサムウェアによる被害は2021年から3年連続で1位
IPA(情報処理推進機構)の調査「情報セキュリティ10大脅威 2023」によると、ランサムウェアによる被害は2021年から3年連続で1位に選ばれています。
ランサムウェアによる被害は世界的に深刻で、企業が安全にWebサービスを運営するためには、マルウェア全般の対策が必要不可欠です。
新種のランサムウェアや亜種について
過去数年間において、ランサムウェアの亜種や新種が次々と出現し、その攻撃手法も高度化しています。新種のランサムウェアは対策が難しく、感染すると企業に多大なる被害をもたらします。
▼最近発見された新たなランサムウェア
- Tycoon:教育機関を攻撃
- Black Basta:WindowsやLinuxを攻撃
- Bad Rabbit:公共交通機関や政府機関に影響
これらのランサムウェアは、従来の防御手段を容易に突破し、システムに深刻なダメージを与えます。そのため、新たなランサムウェアの動向を注視し、特徴を十分に理解した上で適切な対策を講じる必要があります。
ランサムウェアの感染経路
ランサムウェアの感染経路は多岐にわたります。
感染経路を把握しておくことで、感染を未然に防ぐためのヒントが得られます。ランサムウェアの主な感染経路と感染シーンは以下の通りです。
| 感染経路 | 感染シーン |
|---|---|
| VPN機器 | 未更新のVPN機器の脆弱性を突き、社内ネットワークに不正アクセスする |
| Webサイト |
|
| リモートデスクトップ | リモートデスクトップの脆弱性を利用して感染させる |
| メール・添付ファイル | メールの添付ファイルやリンクを開くことで感染させる |
| ファイルのダウンロード | 悪意のあるファイルのダウンロードで感染させる |
| USBメモリ/外付けHDD | USBメモリや外付けHDDなどを利用し、物理的に感染させる |
1つの端末が感染すると、ネットワークを介して企業全体が感染するリスクもあります。上記の感染経路に注意を払い、定期的なセキュリティ対策を行うことが重要です。
ランサムウェアによる被害例
ランサムウェアによる被害は幅広く、企業の業務停止から個人情報の流出まで含まれます。被害の具体例を知っておけば、状況に合った有効な対策が見えてくるはずです。
▼ランサムウェアに感染した具体的な被害例
- ファイルの暗号化
- 個人情報や機密情報の漏えい
- システムや業務の強制停止
- 金銭的な被害(脅迫)など
ランサムウェアの感染は、企業にとって重大な被害をもたらします。最も一般的な被害は、重要なファイルの暗号化です。
これにより、感染した端末やネットワーク上のデータにアクセスできなくなります。
さらに、機密性の高い情報がランサムウェアによって盗み出され、インターネット上に公開されたりする場合もあります。
ランサムウェアの未然防止策
近年におけるランサムウェアは、標的型攻撃(特定の個人や組織を狙った攻撃)の手法を多く採用しているため、未然防止策と侵入を前提とした被害発生の防止策が重要となります。
以下、具体的な未然防止策を紹介します。
- 脆弱性情報の収集・修正
- 標的型攻撃の検知・ブロック
- 多要素認証・アクセス制限などの実装
それぞれの未然防止策を順番に解説します。
脆弱性情報の収集・修正
近年、VPN機器や外部公開サーバの脆弱性が悪用されるケースが増えています。脆弱性情報を早期に収集し、必要な修正やアップデートを行うことが重要です。
▼脆弱性情報の収集方法
- IPA:経済産業省のIT政策実施機関
- JVN:JPCERT/CCとIPAが共同管理している脆弱性情報データベース
- JVNiPedia:国内外問わず公開される脆弱性対策情報データベース
情報源の信頼性を確認し、収集した情報を評価・管理する体制が求められます。深刻な脆弱性に対しては修正プログラムを適用しましょう。
適用が難しい場合は、緩和策の適用やIPS機能による一時的な保護が有効です。
標的型攻撃の検知・ブロック
標的型攻撃は特定の組織や個人を狙い、高度な手法を用いることが特徴です。
具体的な検知方法として、添付ファイルの拡張子やファイルタイプに着目する、受信者への警告やフィルタリングを施す、侵入検知システムや侵入防止システムを活用する、などが挙げられます。
そのほか、セキュリティ対策ソフトウェアによる定期的なスキャンも有効です。
もしも標的型攻撃が検出されたら、外部への不審な通信を見つけて遮断し、その上で情報にアクセスできないようデータを暗号化しましょう。
多要素認証・アクセス制限などの実装
RDP(リモートデスクトッププロトコル)を利用する場合は、パスワードの強化やアクセス制限がポイントとなります。
また、遠隔操作を可能にする機能が不用意に露出していないかも確認しましょう。
▼RDPを利用する場合の具体的な対策
- 多要素認証を導入する
- 必要なサービス以外のポートを閉じる
- アクセス制限を強化する
追加のセキュリティを実装することで、システムがより強固となり、ランサムウェアの感染リスクを抑えられます。
ランサムウェア侵入を前提とした被害防止策
ランサムウェアの侵入を100%防ぐことは困難です。
そのため、侵入を前提とした被害防止策を実施することが大切です。ランサムウェア感染前に、以下の詳細を押さえておきましょう。
3-2-1ルールに準じたバックアップ
3-2-1ルールに従って安全にバックアップを取りましょう。3-2-1ルールとは、少なくとも3つのコピーを作成し、それらを2つの異なるメディアに保存するバックアップ戦略のことです。
- ▼3-2-1ルールの全体の流れ
- まずは3つ以上のバックアップ用コピーを作成し、それを2つの異なるメディアに保存する。そのうちの1つは、ほかの2つとは異なる場所に保存する。
この3-2-1ルールを採用することで、データ暗号化に対して有効な被害防止策となります。
ただし、ネットワーク経由で全てのバックアップが暗号化されるリスクがあるため、同一のネットワーク内での保管・管理は避けましょう。
管理者権限の適切な管理
自社で利用する正規ツール、アプリケーション以外の実行権限を最小限にすることも有効です。攻撃者に管理者権限を取得されるリスクが減り、ランサムウェアによる被害を削減できます。
例えば、通常の利用者には不要だと判断される特定プログラムの実行権限などが該当します。攻撃者による内部活動を阻害するためにも、自社で利用しているツール以外は適切な実行権限に変更しましょう。
インシデント体制の構築
近年のランサムウェア攻撃は、時間をかけてシステムを無効化する傾向にあります。不審な変化に気付き、素早く対応するため、インシデント体制を構築しておきましょう。
インシデント体制とは、セキュリティインシデントが発生した際に、迅速かつ適切に対応するための体制のことです。具体的には、事前に対応方針を策定しておく、適切な人員を配置する、継続的な教育と訓練を行うなどが挙げられます。
インシデント体制を構築しておけば、不審な活動を素早く検知し、適切な対応によりランサムウェアの実被害を抑制できます。
ランサムウェアに感染した場合の対処法
万が一、ランサムウェアに感染してしまった場合は、初期対応の速さと適切性が被害拡大を防ぐ上で重要となります。以下に、その具体的な対処法を解説します。
- 感染領域と影響範囲の特定
- 被害拡大・情報漏えいの回避
各対処法を順番に見ていきましょう。
感染領域と影響範囲の特定
ランサムウェア感染が確認されたら、速やかに感染領域と影響範囲を特定しましょう。素早く特定することで、ランサムウェアによる被害を最小限に抑えられます。
感染領域を特定する
まずは、ランサムウェアに感染しているエンドポイントやデータを特定します。セキュリティツールの警告、システムのパフォーマンス低下、予期しないファイルの暗号化など、ランサムウェア感染の兆候に注意をはらい、感染領域を徹底的にチェックします。
不審な事象がある端末を特定する
通信ログやネットワーク監視ログを確認し、不審な通信を行っている端末を特定します。不正アクセスや異常なデータ転送が行われている場合、ランサムウェアによる感染の可能性があります。プロキシの通信ログ、ネットワーク監視ログも確認しましょう。
流出・盗難された情報を特定する
次に、流出または盗難された情報を特定します。データの送信元と送信先、送信されたデータの種類や量を調査し、外部に送信された情報をご確認ください。また、ランサムウェアの暴露サイト上で情報が出ていないかの調査も考慮しましょう。
被害拡大・情報漏えいの回避
感染範囲が特定できたら、被害を最小限に抑えるための対策を講じます。主な手段として、以下の2つが考えられます。
ネットワークを切断する
組織内で被害が拡大しないように、感染したシステムをネットワークから切断します。影響範囲が明確であれば、特定の部分のみを切断することも可能です。影響範囲をどの程度特定しているかによって、ネットワーク切断の対処方法が異なります。
感染した端末を隔離する
ランサムウェアに感染した端末をネットワークから隔離し、隔離した端末上で不審な操作やセッションを調査します。これにより、感染の原因となったツールや手法を特定できます。再発防止に役立てるためにも、安全な方法で端末の不審情報を調査しましょう。
GMOサイバーセキュリティ byイエラエでランサムウェアを徹底対策
画像引用元:GMOサイバーセキュリティ byイエラエ
ランサムウェアの徹底的な侵入防止、侵入後の迅速な復旧を望む方には、「GMOサイバーセキュリティ byイエラエ」の、デジタルフォレンジック・インシデントレスポンス支援サービスがおすすめです。
▼デジタルフォレンジック・インシデントレスポンス支援とは
- ランサムウェアやウイルス感染などのセキュリティを脅かす事象の原因を究明する
- ランサムウェアやウイルス感染の対応策を分析結果に基づいて行う
- ランサムウェアやウイルス感染後の迅速なサービス復旧も支援する
このプロセスにより、事前の被害防止策だけでなく、侵入後の対応や迅速な復旧も可能となります。安心のセキュリティ対策を講じたい方は、ぜひ本サービスの利用をご検討ください。
まとめ
本記事では、ランサムウェアの攻撃から企業を守るための具体的な戦略を紹介しました。
ランサムウェアに感染すると、システムの利用停止や身代金の要求などにより、企業に多大なる損失が発生します。しかし、本記事で解説した未然防止策・被害防止策・対処法の3つを押さえておけば、ランサムウェアによる被害を最小限に抑えられます。
さらに有効的な対策を講じたい方は、「GMOサイバーセキュリティ byイエラエ」の、デジタルフォレンジック・インシデントレスポンス支援サービスをご利用ください。企業のセキュリティ対策強化にきっと役立つはずです。
文責:GMOインターネットグループ株式会社
