ランサムウェアに一度でも感染すると、データの暗号化や情報漏洩など甚大な被害が発生します。どこから・どのように侵入されたのかを特定しなければ、再び同じ手口で攻撃されるリスクがあります。

この場合、フォレンジック調査で感染経路を正確に理解し、適切な対策を講じることが重要です。

この記事では、ランサムウェアの感染源、原因、感染・侵入経路を紹介します。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

近年のランサムウェアの感染状況

警察庁が発表した情報では、令和5年におけるランサムウェアによる被害報告件数は197件(前年比14.3%減)です。その件数のうち感染経路まで報告されているものは115件です。その中の感染経路の割合は以下のとおりです。

• VPN機器からの侵入 73件(63%)
• リモートデスクトップからの侵入 21件(18％)
• 不審メールやその添付ファイル 6件(5%)
• その他 15件(13%)

出典：警察庁

ランサムウェアの感染経路(侵入経路)

ランサムウェアの感染経路(侵入経路)として有名なものを紹介します。

VPN機器からの侵入

警察庁が発表した情報では、感染経路として一番多く報告されているものは、「VPN機器からの侵入」で全体の63%にあたります。

VPNとは、外部でも企業内と同等なネットワーク環境を構築する仕組みのことで、VPN機器の脆弱性を突かれると攻撃者は簡単にネットワーク内に侵入することができ、ランサムウェアを展開することが可能になります。

そのため、VPN機器のファームウェアは定期的にチェックし最新の状態に保つ必要があります。

リモートデスクトップからの侵入

警察庁が発表した情報では、「リモートデスクトップからの侵入」は全体の18%にあたります。

リモートデスクトップとは、会社とは離れた場所で手元のデバイスを使用し、会社内にあるデバイスを遠隔操作する仕組みのことですリモートデスクトップのシステムに不備があると、攻撃者が不備を利用し、サーバへ侵入する恐れがあります。

そのため、強固なパスワード設定や不要なアクセス制御の設定等を行う必要があります。

不審なメールやその添付ファイルやリンク

警察庁が発表した情報では、「不審メールやその添付ファイル」は全体の5%にあたります。

攻撃者は、組織や個人を装いメールに悪意のある添付ファイルやリンクを付け、攻撃対象に送信します。この手法は、従来の感染経路として有名で認知もされていますが、送られてきた場合にはよく注意が必要です。

不審なメールが届いた際には、悪意のあるメールである可能性を考慮し、慎重に扱いましょう。

改ざんされたWebサイト

改ざんされたWebサイトとは、攻撃者が一般的なWebサイトに侵入し、そのサイト内に悪意あるスクリプトやリンクを埋め込むことで、訪問者に気付かれないうちにランサムウェアをダウンロードさせるようにしたものです。

この手法は、多くのWebサイトをターゲットにするため、個人・企業を問わず注意が必要です。

改ざんの主な方法としては、以下が挙げられます。

1. クロスサイトスクリプティング（XSS）攻撃

クロスサイトスクリプティング(XSS)とは、Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込むものです。

攻撃者は、クロスサイトスクリプティングを利用してWebサイトに悪意あるスクリプトを挿入します。訪問者がそのページにアクセスすると、このスクリプトが実行され、ランサムウェアや他のマルウェアが自動的にダウンロードされる可能性があります。

特に、入力フィールドが存在するWebページ（コメント欄や検索ボックスなど）がある場合、XSS攻撃のリスクが高まります。

2. SQLインジェクション

SQLインジェクションは、Webアプリケーションのデータベースに、入力フォームなどから不正なSQLコードを挿入する手法です。

この攻撃により、Webサイトが持つデータベースの内容が改ざんされ、悪意のあるコンテンツが埋め込まれることがあります。SQLインジェクションを通じてサイト管理者の認証情報を盗まれ、さらに不正なコードが挿入されることもあります。

3. サーバーやホスティングサービスの脆弱性

Webサイトのホスティング環境やサーバーそのものに脆弱性が存在すると、攻撃者がこれを悪用してサイトを改ざんします。特に、未更新のサーバーソフトウェアや保護されていない管理パネルが狙われます。攻撃者はサーバーの管理権限を奪い、ページにランサムウェアを仕込むスクリプトを追加することが可能です。

4. プラグインやテーマの脆弱性

特にWordPressやJoomlaのようなCMS（コンテンツ管理システム）を使用しているWebサイトは、プラグインやテーマの脆弱性を悪用されるケースが多いです。更新が滞っているプラグインや非公式なテーマが改ざんの窓口となり、これらを通じて悪意のあるコードが挿入されます。

不正広告（マルバタイジング）

不正広告（マルバタイジング）は、正規の広告ネットワークに紛れ込んだ悪意ある広告が、閲覧者をランサムウェア感染に誘導する攻撃手法です。マルバタイジングの脅威は、一般的なWebサイトや広告ネットワークを利用することで、見た目は完全に合法的な広告のように見える点です。これにより、多くの人が気づかないうちに攻撃にさらされます。

マルバタイジングにはいくつかの手法がありますが、以下の方法が一般的です。

1. 悪意あるリダイレクト

悪意ある広告をクリックすると、悪意あるWebサイトにリダイレクト(WebサイトやページのURLを変更した際に、自動的に別のURLに転送する仕組み)されます。このサイトで、マルウェアがダウンロードされ、デバイスにランサムウェアがインストールされます。時には、気づかないうちにドライブバイダウンロード攻撃が行われることもあります。

2. 広告に埋め込まれたマルウェア

広告がWebページの中に表示される際に、既にその中にランサムウェアや他のマルウェアが埋め込まれているケースもあります。この場合、広告をクリックしなくても、ページを開いた瞬間に感染が進行する可能性があります。

3. フィッシングサイトへの誘導

不正広告（マルバタイジング）は、フィッシングサイトへと誘導する悪意のある広告です。

広告をクリックすると、正規のWebサイトを模倣した偽サイトに誘導され、そこでログイン情報や個人情報を入力させようとします。入力された情報は、攻撃者によって悪用されます。

盗まれたログイン情報や個人情報を利用して不正アクセスし、ランサムウェアを感染させることができます。

偽装サイト

偽装サイトとは、正規のWebサイトを模倣して、閲覧者をだまして悪意ある行動を取らせるサイトのことです。

偽装サイトは、フィッシング攻撃やマルウェアの感染に利用され、ランサムウェアを配布するためにも多用されます。偽装サイトの巧妙さは、見た目がほぼ完全に正規のサイトに似ているため、区別できない点にあります。

偽装サイトを使った攻撃にはさまざまな手法があります。特に次の2つの方法が一般的です。

1. フィッシングサイト

偽装サイトの最も典型的な例はフィッシングサイトです。正規の銀行、ショッピングサイト、SNSなどを模倣し、ログイン情報やクレジットカード情報を入力させます。

攻撃者はこれを盗んで、不正な取引や個人情報の売買を行います。閲覧者は正規サイトだと信じて情報を入力してしまいがちです。

以下に支払いページを模した偽画面の例を紹介します。

出典：警察庁

2. ドライブバイダウンロード攻撃

偽装サイトにアクセスするだけで、デバイスにランサムウェアやその他のマルウェアが自動的にダウンロードされる攻撃手法です。何も操作しなくても、悪意あるスクリプトがバックグラウンドで実行され、システムが感染することがあります。

ソフトウェア・ファイルのダウンロード

提供元が分からないソフトウェアやファイルには、悪意のあるファイルが含まれている可能性があります。

最近では、海賊版と言われている音楽ファイルや動画ファイルをダウンロードすることでランサムウェアに感染するパターンも確認されています。

ソフトウェア・ファイルをダウンロードする際は、信頼のできる提供元かどうかを確認してからダウンロードするようにしましょう。

USBメモリやHDDの外部機器接続

ランサムウェアに感染した外部接続機器にコンピュータを接続することで、ランサムウェアが自動的に侵入するケースも確認されています。

外部機器接続からの感染を防ぐためには、信頼できるアンチウイルスソフトでスキャンを行うことが重要です。

不審なアプリケーションの実行

下記の特徴が当てはまるアプリケーションは危険性が高いため、すぐにアプリケーションを終了させアンインストールを行いましょう。

• 過剰にアクセス許可を要求する
• レビューや評価が異常に少ない
• 公式アプリストア外からのダウンロードを促す
• 名前やロゴが人気アプリに酷似している

 

上記で説明した感染・侵入経路の中で心あたりがある方は、一度フォレンジック調査会社に相談することをおすすめします。フォレンジック調査会社では、「ランサムウェア感染の有無」「感染していた場合は感染経路」「情報漏えいの有無」を調査することが出来ます。

私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。

24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。

ランサムウェアの感染経路を特定する方法

ランサムウェア感染経路の特定においては、以下に挙げる方法が代表的です。

なお、感染経路を特定した後は、今後同様の攻撃を防ぐために、セキュリティ対策を強化することが必要です。このような対策は、デジタルフォレンジックスの専門知識と技術を活用して実施することができます。

システムログ／アクティビティを分析

感染が確認された端末のシステムログ、ファイアウォールやプロキシの通信記録、社内ネットワークの監視データなど、複数のログを突き合わせることで、不審な挙動の兆候を見つけ出します。

たとえば、通常アクセスされることのない国外IPアドレスとの通信履歴が残っていたり、深夜帯に急に大容量のデータ通信が発生していたりする場合、それは攻撃者とのC&Cサーバー（コマンド＆コントロール）との接続を示しているかもしれません。さらに、マルウェアがダウンロードされた痕跡や、特定のポートを用いた異常通信も見逃せない手がかりになります。

これらの情報を分析することで、「暗号化されたファイルの操作履歴」、「不正なプロセスの実行履歴」、「ランサムウェアの通信履歴」などを発見することができます。

電子メールの分析

ランサムウェアの感染経路として非常に多いのが、メールを経由したフィッシング攻撃です。感染した端末のユーザーがどのようなメールを受信していたのか、特に添付ファイルやURLリンクを含むメールの内容に注目する必要があります。

メールヘッダーには、送信元のIPアドレスやドメイン情報が含まれており、これを解析することで、攻撃者が使用したサーバーの所在地や偽装の有無が判明します。また、添付されていたファイルの拡張子が .exe や .zip のように実行可能形式だった場合、感染の引き金になった可能性が高くなります。

一見すると業務連絡のように見えるメールでも、よく見ると不自然な文法やあやしいリンク先が潜んでいることがあります。こうした細部に注意を払うことで、メールを通じた感染の事実を裏付けることができるのです。

リムーバブルメディアの調査

見逃せない感染ルートが、USBメモリや外付けHDDといった外部記録メディアの使用です。特に企業の内部ネットワークでは、外部から持ち込まれたデバイスが感染源になるケースも少なくありません。

感染したPCやサーバーに過去接続された記録をもとに、どのデバイスがどのタイミングで使用されたかを洗い出します。さらに、該当メディアに含まれていたファイルの中に、自己解凍型の実行ファイルや、不自然なファイルサイズ・ファイル名のものが含まれていれば、それが感染の原因である可能性が高いでしょう。

オフィスではつい共有のUSBなどを使い回してしまいがちですが、それがセキュリティホールになることもあるのです。

ランサムウェアの感染経路特定はフォレンジック調査会社に相談

ランサムウェア感染後、何が原因でどこから侵入されたかを特定できなければ、再発のリスクを断ち切れません。
システムログやメール、外部メディアの調査を通じて、原因を突き止めることが何よりも重要です。

そして、特定が難しい場合や対応に不安がある場合は、サイバーセキュリティの専門業者へ相談するのが確実な選択です。