お問い合わせ
特定の企業を狙ったランサムウェア攻撃が大幅に増加しており、業界を問わず被害が相次いでいます。
ランサムウェア攻撃が行われた場合、データが流出したり、取引先を含めた第三者に感染が拡大したりする恐れがあるため、迅速な初動対応が求められます。
しかし、ランサムウェアにはどのような特徴があり、攻撃された場合の正しい対応を把握している組織は多くはありません。
正しい知識を身につけることで、被害を未然に防ぎ、損害も最小限に抑えることができるのでしょうか。この記事ではランサムウェア攻撃を受けた場合、どのように対処すればよいのかを解説します。
\相談から最短30分でWeb打ち合わせを開催/
目次
ランサムウェアとは?
ランサムウェアとは、マルウェアの一種で、被害者のデータを暗号化しデバイスをロックした後、身代金を要求してきます。
身代金を支払わない限り、データと端末のロックを解除不可にし、加えて盗んだ情報を流出させるなどと、二重で脅迫してくるケースもあります。
ランサムウェアに攻撃され、社内のデータが使用できなくなる、情報が流出したなどのケースは後を絶ちません。
ランサムウェア攻撃の動向
IPAが発表している情報セキュリティ10大脅威 2022では、ランサムウェアが法人の脅威1位に選ばれています(2022年)。
かつてランサムウェアは、スパムメールを不特定多数に送信する「ばらまき型」が主流でした。しかし現在は、特定の企業や個人を標的にした「標的型」に手口が変化しました。
また従来は、大企業や政府機関がランサムウェア攻撃の標的とされてきましたが、近年では、中小企業や個人もランサムウェア攻撃の標的となりつつあります。
背景としては、セキュリティが脆弱なままテレワークが普及したことや、サプライチェーン攻撃の増加によって、攻撃の標的となる組織が拡大したことを挙げることができます。
出典:IPA
ランサムウェアの攻撃時は専門業者への依頼が推奨される
ランサムウェア感染時、自己対処は時間とコストがかかり、適切な対策が打てない可能性があります。また企業の場合、個人情報保護法により、個人情報の漏えい(または漏えい可能性)がある場合、個人情報保護委員会に速やかにインシデントを報告する義務があります。
したがってランサムウェア感染を検知した場合は、速やかに専門家に相談し、適切な対応を依頼することが重要です。専門業者に相談すれば、正確な実態調査と法的な証拠性を確保した調査報告書の作成が可能。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ランサムウェア感染時に有効なフォレンジック調査とは
ランサムウェアに感染し、適切な対処ができる企業はほとんどありません。むしろ自社だけで対応を判断するのが一番のリスクです。ランサムウェアに感染した場合、情報漏えいや更なるサイバー攻撃被害が疑われるため、まずはサイバーセキュリティの専門家と提携して感染原因の究明や被害範囲の特定を行うことが重要です。
この際、有効なのが「フォレンジック調査」です。
フォレンジック調査とは、コンピュータやネットワークに保存されたデータやログを分析し、インシデントの原因や経緯、影響範囲を解明する調査手法です。ランサムウェアの感染調査では駆除・隔離に加えて、侵入経路や情報漏えいの有無を確認することができます。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。
\フォレンジック調査の専門家に無料相談できる/
フォレンジック調査の詳細については下記の記事で詳しく解説しています。
法人様は最短30分でWeb打ち合せ(無料)を設定
ランサムウェアの攻撃に遭った場合、どうなるのか?
ランサムウェアによって攻撃された場合、以下のことが発生します。
データが暗号化され、身代金を要求される
ランサムウェアに感染した場合、データやファイルを暗号化され、身代金を要求されます。
近年の傾向としては、身代金に支払期限が設けられており、それまでに振り込まないとデータを流出させるといった、「二重脅迫型」が中心です。これは、企業にとっては大きなダメージとなるため、身代金を支払ってしまうケースも少なくありません。
システムがダウンする
ランサムウェアによって、企業のサーバーやパソコンの動作に不具合が発生し、正常に稼働できなくなる場合があります。
社内のシステムが使用できなくなるため、業務が停止し、経営活動に支障が出ることがあります。
この際、業務が滞らないようにするため、感染経路を速やかに究明し、システムの修復を行う必要があります。
バックドアが設置され、他のマルウェアに感染する
攻撃者によってバックドアが設置されると、再度システムに侵入できるだけでなく、他のマルウェアに感染させたり、不正な操作を加えることができます。
バックドア:攻撃者が侵入に成功した後、いつでもシステムに不正に侵入できるように設置された入口
ランサムウェアに感染した場合は、情報漏えいの有無やデータの暗号化の解除だけでなく、バックドアの存在を調査し、再発しないよう防ぐ必要があります。
個人情報が漏えいする(企業は「通報と報告」が義務化)
ランサムウェアに感染すると、機密情報だけでなく個人情報が漏えいする可能性があります。
個人情報が漏えい、または漏えいする可能性がある場合「個人情報保護法」に基づき、被害者や個人情報保護委員会に迅速な通知、ならびにインシデント調査を行う必要があります。
ランサムウェアの攻撃に遭った場合に企業が取るべき行動
ランサムウェアの攻撃に遭い、上記の初動対応が完了したら、以下の2点を実行しましょう。
通報と報告を行う
ランサムウェアの被害を受けた企業は、改正個人情報保護法にのっとり、被害の状況を正確に把握したうえで、行政へ報告をおこなう「義務」があります。
また、感染した場合は、影響を受けた顧客に報告することも重要です。ランサムウェア感染は対応が遅れると被害が大きくなりやすいため、感染したとわかった時点で早急に対応策を決めて実行することで、被害を最小限に抑えることができます。
感染経路の特定・被害範囲を把握する
ランサムウェアに感染した場合、企業は攻撃者がどのような手口でアクセスし、どのデータが流出したのかを特定する必要があります。
専門的なノウハウを持たない中で調査を行っても正確な実態把握をすることはできません。
証拠の収集は法的な手続きや報告にも必要ですが、自社調査だけでは客観性や正確性が担保できないことがあるため、調査を実施する場合は、フォレンジックの専門家と提携することをおすすめします。
ランサムウェアに感染した場合の初動対応や対処方法については、こちらの記事でも解説しているため、併せて確認することをおすすめします。
調査が必要なときは、サイバーセキュリティの専門業者へ依頼する
セキュリティインシデントの被害を最小限に抑えるためには、正確な調査と迅速な対応が必要不可欠です。
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まるだけでなく、取引先や行政等へ報告が必要な場合、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性があります。
もし組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.2万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
緊急性の高いサイバー攻撃被害にも迅速に対応できるよう、24時間365日体制で相談、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もし、マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような情報セキュリティ上の問題が発生した場合、まずは感染経路や漏えいしたデータの有無などを確認することが重要です。
ただ、調査を行うには、デジタルデータの収集・解析などの専門技術が必要です。これは自社のみで対応するのが困難なため、個人情報の漏えいが発生した、もしくは疑われる場合は、速やかにフォレンジック専門家に相談し、調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェアに感染させるための攻撃手口
ランサムウェアに感染させるための攻撃手口としては、以下の方法が考えられます。
- VPNの脆弱性
- RDPの脆弱性
- フィッシングメールや添付ファイル
- ゼロデイ脆弱性を悪用する
- ドライブ・バイ・ダウンロードを実行する
ランサムウェアの感染経路や原因に関しては、こちらの記事でも詳しく解説しています。
VPNの脆弱性
警察庁の調査によると、ランサムウェア感染において、VPN機器からの侵入は全体の71%を占めています。
企業は感染を防止するためにも、テレワークでVPNを使用する際には、適切なバージョンアップを行うことが重要です。またVPN以外のセキュリティ対策としてファイアウォールやアンチウイルスソフトウェアを導入し、強力なパスワードの使用や、適切なアカウント管理をおこなう必要があります。
出典:警察庁
RDP(リモートデスクトップ)の脆弱性
警察庁の調査によると、RDP(リモートデスクトップ)は、ランサムウェアの侵入経路として10%を確保しています。
RDPもVPNも、組織におけるシステム上重要な役割を担っていますが、重大な脆弱性も報告されており、ここから攻撃者はIDやパスワード情報を割り出し、不正ログイン、感染拡大を図っています。
被害を未然に防ぐためにも、パスワード更新、定期的なセキュリティチェックなどが必要です。またVPNも同様に、機密情報の暗号化や不正アクセスの監視などが必要です。
出典:警察庁
フィッシングメールや添付ファイル
フィッシングメールの添付ファイルは、ランサムウェアの感染経路として一般的です。たとえば攻撃者は、実在する企業や個人になりすまして、請求書や領収書、納品書などの偽装ファイルをメールに添付して送信します。
この際、Emotet(エモテット)などの危険なマルウェアが、その手口に利用されることが多いです。
メールに添付されているファイルを開くと、ランサムウェアがインストールされて感染する恐れがあります。
ゼロデイ脆弱性を悪用する
ゼロデイ脆弱性とは、ソフトウェアに存在するセキュリティ上の欠陥のうち、その存在が公表される前や修正プログラムがリリースされる前の脆弱性を指します。
これはソフトウェアの開発者がその存在を認識していないため、防御策やパッチが存在せず、有効な対策をとるために使える時間が「ゼロデイ (0日)」しかないことに由来します。
ゼロデイ脆弱性を悪用して行われるサイバー攻撃は、ゼロデイ攻撃と呼ばれ、攻撃者が脆弱性を悪用してシステムに侵入し、ランサムウェアを感染させたり、機密情報を盗んだりするなどの被害を引き起こす可能性があります。
ドライブ・バイ・ダウンロードを実行する
ドライブ・バイ・ダウンロードとは、Webサイトに存在する脆弱性を悪用して、ユーザーに気付かれずにマルウェアをダウンロードさせる攻撃手法です。
ランサムウェア感染を狙った攻撃手順
ランサムウェア感染を狙った攻撃は、4段階に分かれており、以下の手順で行われます。
ネットワークへ侵入する
ランサムウェアに感染させるため、フィッシングメールやVPNなどの企業のネットワークに侵入します。
ネットワークの脆弱性を悪用した物が代表的ですが、ファイルをダウンロードさせるなど、ユーザーに実行させるケースも多くみられます。
攻撃基盤を構築する
ネットワークの侵入に成功したら、ランサムウェアを実行するための環境を整えます。
具体的には、攻撃者が端末の遠隔操作ができるようツールを仕込んだり、様々なハッキングツールをダウンロードしてネットワーク内の権限を取得し、行動を拡大していきます。
情報の窃盗を行い、暗号化する
ネットワーク内の権限を取得したら、攻撃者は機密性が高いネットワーク階層にもアクセスできるようになります。
そのため、脅迫に十分な情報を取得し、自身のサーバやクラウドに転送します。これは近年増加している「暴露型」において必ず実行される手順になります。
暴露型ランサムウェア:データを暗号化し、身代金の支払いを要求するだけでなく、暗号化されたデータを公開すると脅迫するランサムウェアの一種
情報を取得後、データを暗号化して使用不可の状態にします。
身代金を要求する
情報の暗号化した後は、企業に対して「暗号化の解除をしたい場合は身代金を支払い、払わない場合は情報を公開・流出させる」といった内容のメッセージを送信し、身代金を要求してきます。
また、暗号化の検知や妨げが入らないよう、攻撃者は対象企業のウイルス検知ソフトを遠隔操作でオフにすることがあります。
ランサムウェアを検知した段階で、すでに情報が流出していることも少なくありません。また、個人ないし自社のみでの調査では、被害データや感染経路の特定はほとんど不可能と言われています。
被害の拡大を防ぎ、最小限に抑えるためにも調査会社に依頼し、感染経路の特定から再発防止の対応策まで講じるようにしましょう。
ランサムウェアの攻撃に遭った場合に企業に発生する影響
ランサムウェアの攻撃に遭った場合、企業は以下のリスクが発生することが考えられます。
金銭の損害が発生する
ランサムウェアに感染することによって、身代金を請求されるだけでなく、サーバーがダウンした場合、業務停止による損失や顧客への損害賠償にかかる費用が発生する場合があります。
ランサムウェア感染の対応負担と金銭的な損額は、企業の規模や業種によってばらつきがありますが、一般的に数百万から数億円の損害が発生すると言われています。
取引先や顧客などの信用を失墜する
ランサムウェア感染は、個人情報流出のリスクが非常に高く、取引先や顧客との信頼関係を崩壊させてしまう恐れがあります。
ランサムウェアの対象になってしまった企業は顧客からの信頼を失うことになり、企業側に全ての責任があるわけでなくても、既存顧客や今後利用を検討していた消費者が偏見を持ってしまうことは避けられないでしょう。
法的な問題が発生する可能性がある
個人情報の流出は「改正個人情報保護法」に問われる可能性があります。個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
ランサムウェア攻撃を受け、情報漏えいを疑われる場合が発生する場合、「フォレンジック調査」が有効です。法的に正しい調査方法で、どのように企業のシステムに侵入・感染し、暗号化を行ったかなどを特定でき、被害の状況を具体的かつ正確に把握することができます。
ランサムウェアの感染は、企業の信用問題に関わるため、迅速な対応が求められます。私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査し、対策を提案してきました。
24時間365日体制で相談や見積もりを無料で受け付けておりますので、まずはお気軽にご相談ください。
\サイバーセキュリィ専門家へ24時間365日で無料相談/
ランサムウェアの攻撃を受けやすい企業の特徴と事例
ランサムウェアの攻撃を受けやすい、狙われやすい企業として以下の特徴が挙げられます。
セキュリティ対策を怠っている企業
サイバー攻撃の標的になるのは大企業のイメージがありますが、大企業はセキュリティが分厚く、セキュリティ対策が手薄な中小企業の被害が相次いでいます。警察庁の調査では、ランサムウェア被害の53%が中小企業で約半分を占めています。中小企業は、サイバー攻撃のリスクを認識し、適切な調査とセキュリティ対策を講じることが重要です。
出典:警察庁
大企業の子会社や関連会社
中小企業の中でも、特に狙われやすいのが、大企業の子会社や主要取引先に大企業がある企業です。これは親会社や主要取引先の大企業に被害を拡大させ、機密情報を窃取することを目的としており、サプライチェーン攻撃と呼ばれます。
サプライチェーン攻撃は、セキュリティ対策に投資しており、本来侵入が難しい大企業をターゲットにし、比較的セキュリティレベルの低い取引先や子会社(≒中小企業)を経由することで、侵入を可能にする攻撃手法です。
攻撃を未然に防ぐためにも、最小限に抑えるためにも事前対策と、攻撃時の適切な事後対応を、あらかじめ把握しておく必要があります。
VPN機器やOSの脆弱性を放置している
VPN機器やOSなどを最新の状態にアップデートしておらず、脆弱性を放置していると狙われやすくなります。
2020年、ある大手ゲーム会社ではVPNの脆弱性を悪用され、サイバー攻撃が行われた結果、約16,000人の個人情報が漏えいする事件が発生しました。
VPNやOSの更新はセキュリティ対策の基本となる為、常に最新の状態を保つようにしましょう。
ランサムウェアの攻撃に遭った場合にやってはいけないこと
ランサムウェアの攻撃に遭った場合、以下の行動は避けるようにしましょう。
身代金を支払う
身代金を支払っても、データの復号が保証されるわけではありません。むしろ、身代金を支払ったことで、攻撃者から復号ツールを受け取れなかったケースも多くあります。また、攻撃者は、身代金を支払った企業を再び標的にする傾向があります。そのため、身代金を支払うことは、被害の拡大につながる可能性があります。
したがって、ランサムウェア攻撃を受けた場合は、まず、身代金の支払いはせず、専門家に相談するようにしましょう。
ランサムウェアのファイルを削除する
ランサムウェアに感染した場合、感染した端末でむやみな操作は控えるようにしましょう。
感染した場合、焦ってバックドアやマルウェアを削除・除去しようと思うかもしれませんが、被害調査の際に、感染経路や被害データの証拠を確保できなくなる可能性があります。
感染した端末をメーカーや修理店に持ち込む
感染した端末を、メーカーや修理店に持ち込むと、修理店のネットワークや他の顧客の端末に感染が拡大する可能性があり、非常に危険です。
また、メーカーや機器修理業者では、ランサムウェアの感染調査は専門業務ではないため、対応外になります。
感染端末の適切な対応と復旧は、デジタル証拠の収集解析を目的とした科学的な調査方法ができる業者に依頼する必要があります。
初期化とバックアップからの復旧のみで対応しようとする
ランサムウェアの感染端末を初期化、バックアップするだけでは問題は解決することができません。
初期化は感染したデータを削除できすが、感染手口や被害データの特定が不可能になり、再感染のリスクも残ります。
また、ランサムウェア感染後にバックアップを取ることは推奨されていません。感染したデータをバックアップすると、バックアップ先にも感染が拡大し、正常なデータの復元が困難になる原因にもなります。
感染の根本原因の究明と証拠確保、適切な防止策を今後に立てるためにも、これらの動作は避けるようにしましょう。
ランサムウェアの攻撃に遭った場合の初動対応
ランサムウェア攻撃に遭った場合、焦らずに以下の対応を取るようにしましょう。
攻撃された端末のネットワークを遮断し、システムを停止する
ランサムウェアの感染拡大を防止するために、感染した端末は優先と無線全ての接続から遮断し、システムを停止するようにしましょう。
ネットワークに接続したままだと、同一ネットワーク上にあるバックアップファイルの暗号化がされることがあり、最悪の場合、全ての端末が感染し、企業が稼働できないようになることもあります。
ランサムウェアの種類を調査する
ランサムウェアの種類を調査することで、感染経路や攻撃手法、暗号化方式を把握できる場合があります。
セキュリティ対策ソフトウェアを使用することで、ランサムウェアの種類を把握することができますが、データ復号は行うことができません。
再びデータにアクセスできるようにしたい場合は、フォレンジック調査ができる専門業者に依頼する必要があります。
ランサムウェアの駆除を行う
データのみの暗号化の場合、セキュリティソフトでランサムウェアを駆除できることがあります。
しかし、ランサムウェアを個人で駆除した場合、感染経路や漏えいしたデータの特定が困難になるため、法的な問題に問われた際に必要な証拠を提出できないリスクがあります。
心配な場合や不安を感じる場合、再発を防ぎたい場合は、専門業者に相談しましょう。
ランサムウェアの攻撃に遭った場合は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
選ばれる理由
累積ご相談件数32,377件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積32,377件以上(※1)のご相談実績があります。また、警察・捜査機関から累計360件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ランサムウェアの攻撃に遭わないための事前対策
ランサムウェアの攻撃に遭わないために、事前対策を怠らないようにしましょう。
脆弱性の対応を行う
以下の物は定期的に更新し、最新の状態を保つことで脆弱性に対応することができます。
- VPN
- ソフトウェア
- アプリケーション
- OS
脆弱性を悪用したランサムウェアの攻撃は後を絶ちません。すこしでも感染を防ぐために日ごろから上記のアップデートは確認しておくようにしましょう。
定期的にバックアップを取っておく
ファイルのバックアップは定期的に取っておくことをおすすめします。
ランサムウェアの攻撃では、データを暗号化して使えない状態にしますが、バックアップをとっておくことで、データの復旧が可能なため、感染による業務停止を防ぐことができます。
しかし、ランサムウェアはPCに繋がっている場所に保管されたデータも暗号化できるため、社内サーバー、オンラインストレージ、外付けHDDなどのデータも被害を受けます。
- 外付けHDDに保管し、PCと物理的に切り離すようにする
- バックアップデータ用のクラウドサービスを利用する
上記の方法でバックアップを取るようにしましょう。
従業員のセキュリティ研修を行う
メールによってランサムウェアに感染するケースも少ないため、従業員に定期的なセキュリティ対策の研修を行うようにしましょう。
不審なメールに添付されたURLやファイルを開かないようにするなど、基本的な行動を行っていれば、感染せずに済んだ事例も多く存在します。
ランサムウェアの攻撃を防ぐには従業員全員が、対策意識を持っている必要があります。
ランサムウェアの種類
ランサムウェアの種類として、以下の物が挙げられます。
暗号化型ランサムウェア
コンピューター上のファイルを暗号化し、ユーザーがアクセスできないようにする方法です。
この場合、暗号化したデータを復号して、データにアクセスできるようにしたい場合は身代金を支払うよう要求します。
画面ロック型ランサムウェア
コンピューターの画面をロックし、ユーザーが使用できない状態にします。この場合も暗号化型と同様、ロックを解除するために身代金を支払うようにと要求してきます。
多重脅迫型ランサムウェア
データの暗号化をし、身代金を要求するだけでなく、要求に応じない場合は情報を公開すると脅迫してくるランサムウェアになります。
「二重恐喝脅迫型ランサムウェア」とも呼ばれており、近年急増している手口になります。
サプライチェーン攻撃型ランサムウェア
サプライチェーンには複数の企業が関わっていますが、その仕組みを悪用したサイバー攻撃を「サプライチェーン攻撃型ランサムウェア」と呼ばれています。
現在サプライチェーンの攻撃には2つ種類があり、1つ目は標的となる企業の関連会社や委託先など、セキュリティ対策が手薄な組織を最初に攻撃し、拡大していく方法です。
2つ目はIT/IoT機器やシステム、ソフトウェアの製造過程でマルウェアに感染させ、バックドアを仕掛け、ランサムウェアを埋め込んで感染させる方法があります。
モバイル・ランサムウェア
ランサムウェアはスマホでも感染します。最近では、iPhoneユーザーを非公式Appleストアに誘導し、ランサムウェアが埋め込まれたアプリをインストールさせる手口も増加しています。
システム上狙われやすいAndroid端末だけでなく、iPhoneでも感染する可能性は十分にあるため、注意が必要です。
ワイパー型/破壊型ランサムウェア
身代金が支払われない場合、データを破壊すると脅迫しますが、身代金を支払ったにも関わらず、データが破壊されるケースもあります。
どのランサムウェアであったとしても、専門業者に依頼することで安全に駆除し、データも元通りにできる可能性があります。感染が疑われる時点で、一度、相談してみることをおすすめします。
世界的に流行したランサムウェアの事例
世界的に流行したランサムウェアとしては、以下のものが有名です。
WannaCry
2017年に世界中で大規模な被害をもたらしたランサムウェアです。ネットワークの脆弱性を悪用して感染を拡大させました。
被害は、世界150か国以上、23万台以上のパソコンに及んだとされています。被害を受けた組織には、英国のNHS(国民保健サービス)やスペインの鉄道会社など、さまざまな業種が含まれていました。
REvil/Sodinokibi
REvil/Sodinokibiは、ランサムウェアの脅威として、世界中で高い注目を集めており、強力な暗号化アルゴリズムを使用してデータを暗号化、身代金の支払いを要求します。
被害は世界中で報告され、規模は拡大傾向にあり、世界最大級の食肉加工業者であるJBSや、世界最大級の石油パイプライン会社であるColonial Pipelineなどが被害に遭いました。
LockBit
比較的新しいランサムウェアで、主に企業や政府機関を標的にしていることが特徴です。業務に欠かせない機能を突然停止させ、業務を停止、身代金を渡すよう脅迫してきます。
ランサムウェアに感染し、顧客のデータが流出した場合、適切な処置を取らないと大きな損害が発生する恐れがあります。
個人では正確な実態調査が不可能なため、専門業者に依頼して証拠を確保、必要な書類の作成を依頼することをおすすめします。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
