世界中で急速に広まっている身代金要求型マルウェア「ランサムウェア」は、企業にとって深刻なセキュリティ上の脅威です。その手口は年々巧妙化し、被害に遭遇する可能性も高まっています。

このページでは、ランサムウェアに遭遇した場合の仕組みと感染経路から攻撃手法、被害や調査方法など解説します。ランサムウェアの感染経路を特定することで、企業はセキュリティ対策の強化や未来の攻撃への備えを行うことができます。

このページを読むことで、ランサムウェアに対する理解を深め、適切な対応・対策を学ぶことができます。ぜひ参考にしてください。

ランサムウェアの症状とは？

下記のような症状に当てはまる場合、ランサムウェアに感染していると考えられます。

• ファイルの拡張子が全て同じ文字に変更されていた
• 画面に身代金要求の脅迫文が表示された
• アイコンが全て白くなった
• 各フォルダに見覚えのないテキストファイルがある
• ネットワーク上の共有ファイルが全て開けなくなった
• HOW TO~、Decryption INFO~など初めて見るファイルがある
• ファイル名に知らないメールアドレスがついている
• 夜間、休日にファイルが全て書き換わっていた

ランサムウェアとは、端末上のデータを暗号化することで利用者に身代金の支払いを要求するマルウェアの一種です（中には制限時間が設けられているものもあります）。

ランサムウェアは、一般的なウイルスとは異なり、攻撃者が特定の標的を攻撃する強固な意思を持っていることが多く、いわゆる標的型攻撃が目立ちます。

また「近年急速に増加していること」、「拡散力が高く、感染した端末が他の端末に感染を広げること」などにより、この種の攻撃は、企業や個人にとって、非常に深刻なセキュリティリスクとなっています。

ランサムウェアの種類

ランサムウェアは、暗号化したデータの復号化・アクセス権限の付与・窃取した情報を公開しないことを引き換えに被害者へ身代金を要求するために作られたマルウェアの一種です。

一般的なランサムウェアの種類

ランサムウェアには、下記の2種類があります。

暗号化型

システム上のデータや個人情報等の重要な情報を暗号化し、データを閲覧できないようにします。

暗号化型ランサムウェアは、当初個人ユーザをターゲットとしていましたが、今では企業が狙われることが多いです。

画面ロック型

被害者を、デスクトップやアプリケーション、ファイルにアクセスできないようにするものです。

ランサムウェアに感染した瞬間からランサムウェアは暗号化を開始します。データの暗号化が完了した後に、感染端末へ「何をおこなったのか」「身代金についての詳細」などをメッセージとして表示します。

ランサムウェアの配布方法

攻撃者が使用する手口として有名なものは以下のとおりです。

• 不審なURLやファイルを含むメールなSMSなどのメッセージ
• ソフトウェア・OSの脆弱性
• インターネットトラフィックを悪意のあるWebサイトへリダイレクト
• 正規のWebページに悪意のあるコードを埋め込む
• ファイルをダウンロードさせ引き起こす
• 悪意のある広告
• リモートアクセスを実現させるソフトの脆弱性

ランサムウェアの攻撃の流れ

ランサムウェアの攻撃の流れについて解説します。

①ネットワークへの侵入

攻撃者が攻撃の目標を達成するために、事前に内部ネットワークへ侵入します。内部ネットワークへは、ソフトウェア・OSや機器の脆弱性、管理不足のログイン情報、不審なメールの添付ファイルやURLを利用して侵入を試みます。

②攻撃基盤の構築

ネットワークへの侵入が成功したら、攻撃者はネットワークに接続されている端末へ遠隔操作ツールを仕込む・各種ハッキングツールをダウンロードをし、ネットワーク内の権限をはく奪するなど行動の拡大します。

③情報の窃取

ネットワーク内の権限をはく奪し、機密性の高いネットワーク階層にもアクセスできるようになった攻撃者は、重要な情報の窃取・企業を脅迫するために必要な情報を自身のサーバやクラウド上に転送をします。こちらは、近年主流の手口に必ず行われるプロセスです。

④バックアップの破壊

ランサムウェアは、ファイルの拡張子によってバックアップを認識する機能を持っているため、データを暗号化する前にバックアップを破壊しようとします。

クラウド上に保存されているドキュメント等でさえ安全とは言えません。オフラインのバックアップストレージやバックアップファイルの読み取り専用機能によって、バックアップの認識と削除を防げる場合があります。

⑤ランサムウェア実行(暗号化)

最後に、攻撃対象の内部ネットワークに仕込んでおいたランサムウェアを実行し情報を暗号化します。

場合によっては、攻撃者が遠隔操作ツールを用いて攻撃対象のウイルス検知ソフト等の機能をOFFにしてしまうこともあります。

⑥身代金の要求

身代金は通常、追跡が困難な仮想通貨（Bitcoinなど）で要求されますが、身代金は支払わないでください。

被害者がランサムウェアによる身代金要求に応じて支払いを行ったとしても、犯罪者がファイルの暗号化を解除（復号）する保証はありません。むしろ、復号化の手段を提供することなく、さらなる要求を行う場合があります。

また、身代金を支払うことは犯罪者を支援する行為であり、犯罪活動の拡大や他の被害者に影響を与える可能性があります。身代金を支払ったとしても個人情報や機密データが漏えいしているリスクを覆すことは出来ません。被害に遭った場合は、デジタルフォレンジックの専門家や法執行機関に相談し、適切な調査と報告をおこなうことが重要です。

＼サイバーセキュリティの専門家に無料相談できる／

ランサムウェアで想定される影響・被害6選

ランサムウェアで想定される主な影響・被害は次のとおりです。それぞれのリスクと企業の社会的責任について解説します。

≻国内外のランサムウェア被害一覧はこちら

データの喪失や機密情報の漏えいが起こる

企業は、顧客から預かったデータを厳重に保護する責任があります。

顧客情報は企業にとって貴重な資産であり、その責任を果たすことが重要です。しかし、ランサムウェアに感染すると、データが暗号化されたり、アクセスできなくなったりする可能性があり、その責任を果たすことが困難になり社会的信用を落とす恐れがあります。

そのため、企業は情報セキュリティに注力し、最新の対策技術を導入することが求められます。こうした対策を講じることで、企業はデータを安全に保護し、顧客からの信頼を高めることができます。

大きな経済的損失をもたらす／イメージダウン（風評被害）

ランサムウェア攻撃によって、データ漏えいが起きると、「業務停止」、「システムの修復に必要な費用を負担する」などにより、多額の経済的損失を被る可能性があります。しかし、経済的損失はそれだけではありません。

顧客の多くは、データ保護、ないしセキュリティ対策に対する企業の責任感を重視しており、攻撃によって情報漏えいが発生すると、顧客からの信頼を失う可能性があります。

つまり、攻撃によって企業が受ける損失は、定量的に表現できない領域にも及ぶ可能性があるため、企業は顧客の信頼を回復する対策と、情報公開の透明性を示す必要があるのです。

暗号化や端末ロックによる業務・サービス停止

ランサムウェアによって企業のシステムやサーバーが停止、データや端末自体が暗号化けるされると、業務の継続性が損なわれます。これにより、企業は収益の減少や顧客サービスの停止など、重大な経済的影響を受ける可能性があります。

身代金を支払わされる

ランサムウェアは身代金の支払いを要求します。しかし、企業が身代金を支払うことは、攻撃者の行動を助長する可能性があります。なお、身代金を支払ったとしても盗み取られた・暗号化されたデータが戻ってくる保証はありません。

そもそも身代金の支払いが、テロ資金調達や、犯罪行為の支援とみなされることもあり、法的規制を遵守しないことで、法的な問題を引き起こす可能性があります。

法的問題を引き起こす

ランサムウェア攻撃で個人情報が漏れた場合、企業はサービスのユーザーや関係者に通知しなければなりません。なおかつ通知は早急に行われ、情報漏えいの範囲や影響、対処方法などが明確に伝えられなければなりません。

しかし、セキュリティ対策が不十分、不適切な対応や個人情報保護措置が発覚した場合、企業は行政罰金や法的訴訟のリスクがあります。

以上の理由から企業は、適切なフォレンジック調査と対応策の実施を通じ、適切な対応をとる必要があるのです。

供給チェーンに影響を与え、連鎖的な被害が発生する

ランサムウェアの感染は、企業や組織だけでなく、その供給チェーンにも連鎖的な被害をもたらす可能性があります。たとえばサプライヤーが、ランサムウェアによるシステムの停止やデータの暗号化などの影響を受けた結果、製品の供給が遅延し、生産やサービスの停止が発生します。これにより、企業は収益の減少など様々な悪影響を被る可能性があります。

＼サイバーセキュリティの専門家に無料相談できる／

ランサムウェアによる被害の調査を行う場合、専門業者に相談する

＼法人様は現地駆けつけ対応も可能／