サイバー攻撃

【専門家が解説】ランサムウェアの感染経路を確認する方法からセキュリティ対策まで

ランサムウェアの主な感染経路4選/被害事例や感染時の対応策

ランサムウェアに感染すると、情報漏えいが発生している可能性があります。この場合、フォレンジック調査で感染経路を正確に理解し、適切な対策を講じることが重要です。

この記事では、ランサムウェアの感染経路、症状・被害事例を紹介します。

\サイバーセキュリティ専門家へ24時間365日無料相談/

ランサムウェアとは何か?感染時にどうするべきか?

ランサムウェアは、コンピューター上のファイルを暗号化し、身代金の支払いを要求するマルウェアの一種です。

感染後はランサムウェアが送信するメッセージや画面(下記参照)が表示され、被害者は復号化のために指示された手順に従うことが要求されます。

LockBit 2.0感染画面

被害者としては、身代金を支払ったとしても、盗まれたデータが販売・公開されないという保証はなく、被害者の評判、金銭、プライバシーに深刻な被害を与える可能性があります。

この際、フォレンジック調査で被害範囲を特定することが重要です。「フォレンジック」とは、デジタル機器から法的証拠に関わる情報を抽出する手法です。このような手法は、サイバー攻撃の調査に不可欠であり、たとえばランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査することができます

ランサムウェアに対応実績があるフォレンジック専門業者であれば、適切な技術を用いて、デジタル機器から情報を抽出し、速やかに被害を解析することができます。

\サイバーセキュリティ専門家へ24時間365日無料相談/

以前は不特定多数に対する「ばらまき型」が流行

以前は不特定多数に対する「ばらまき型」が流行しており、個人ユーザーに対し数万円から数十万円規模の身代金を請求する事例が多くありました。しかし、近年では特定の企業や組織を標的にし、数百万円から数億円単位の巨額な身代金を請求することが増えています。

近年は「二重恐喝」が主流

ランサムウェアの二重恐喝とは、データを暗号化し、復号キーの支払いを要求するだけでなく、身代金を支払わなければ盗んだデータを公開すると脅迫する攻撃です。この手口は、1回の攻撃で2度の利益を得る可能性があり、被害者に身代金の支払いを迫ることができるため、ランサムウェア集団の間でますます人気が高まっています。

しかし身代金を支払ったとしてもデータが戻ってくる保証はなく、むしろ身代金を支払ってしまうことで「反社会的組織に資金を提供した」として社会的信用を失う恐れもあります。

ランサムウェアに身代金を支払うのはNG

ランサムウェアに身代金を支払うことは、一見被害を早く解決するためには有効な手段に見えるかもしれませんが、実際には危険な行為です。

なぜなら身代金を支払えば、安易と思われ、さらに攻撃が繰り返される恐れがあるからです。実際、身代金を支払った組織の8割が再び攻撃を受けたという報告もあり、身代金を支払うことでセキュリティリスクが増大する恐れがあります。そもそも、支払った身代金は、反社会勢力の資金源となる恐れが高く、社会通念やコンプライアンスにも当然抵触します。

結論として、身代金の支払いは、さらなる犯罪行為を助長します。また、データやシステムを復号する保証はありません。場合によってはデータの復号が不完全なこともあります。安易に二重恐喝に従わず、法的問題を専門家と協議しながら、適切な対応をとりましょう

メールで相談する

専門業者に復号・調査を依頼する

ランサムウェアによる暗号化を個人で復号することは基本的に不可能です。

感染時は、暗号化データの復号実績がある専門業者まで相談しましょう。ランサムウェアに対応実績がある専門業者であれば、より早く安全に復号することが可能です。

この際、デジタルフォレンジック調査をおこなうことで、影響を受けた個人に通知するために取られた措置の証拠を提供することにより、企業が法を遵守するのに役立ちます。

「フォレンジック」とは、デジタル機器から法的証拠に関わる情報を抽出する手法です。このような手法は、サイバー攻撃の調査に不可欠です。たとえば、ランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査することができます。

私たちデジタルデータフォレンジックでは、国内売上トップシェアのデータ復旧技術を活用し、感染経路や被害全容の「調査」を行うことも可能です

\サイバーセキュリティ専門家へ24時間365日無料相談/

ランサムウェアによる情報漏えい被害を調査する方法は、下記でも詳しく紹介しています。

フォレンジック調査
フォレンジック調査とは | 必要性や活用事例を専門会社が解説デジタルフォレンジックとはデジタル機器を調査・解析し、「法的証拠」に関わる情報を抽出する技術です。犯罪捜査やマルウェア感染・情報漏えい調査、ダークウェブ調査などで活用されます。調査が必要になるケースやフォレンジック調査のメリット・活用事例をフォレンジック調査専門会社が解説します。...

ランサムウェアの感染経路

ランサムウェアに感染する主な経路には、メールの添付ファイルやリンクのクリック、不正・改ざんされたWebサイトの閲覧、脆弱性を狙われた攻撃があります。また近年では、OSのアップデートや特定企業のネットワークの脆弱性を狙った攻撃も相次いでいます。

主なランサムウェアの感染経路は次のとおりです。

  • メールの添付ファイルをクリック
  • 不正メールのリンクをクリック
  • 改ざんされた偽サイトの閲覧
  • VPN装置やRDPの設定不備

メールの添付ファイルをクリック

これはランサムウェアの感染経路において最も多い原因となっています。
また、メールの内容には、「警告」「緊急~」などのように具体的な内容でクリックを誘導するような件名が記載されていることも多いです。

なお、これらメールは自動生成された意味不明な文章であったり、改行に不自然な点があったりします。件名で判断せず、内容をきちんと読み、感染リスクを出来るかぎり回避しましょう。

ランサムウェアの添付ファイル

不正メールの典型。添付されたzipファイルを開封・解凍するとランサムウェアに感染する恐れがある。

不正メールのリンクをクリック

よくある不正メールの例として、実在する企業を名乗りリンクを開かそうとしてくることがあります。特に、在宅勤務やテレワークの普及などに伴い「Amazon」「クロネコヤマト」などの配達業者を装い、偽の不在表や再配達依頼のリンクを開かせようとする事例が近年多発しています。

偽SMSの典型例。リンクをタップすると不正サイトに遷移したり、マルウェアに感染する危険性がある。

 

業者をかたる偽SMSの手口と被害調査の方法を解説については下記の記事で詳しく紹介しています。

業者をかたる偽SMSの手口と被害調査の方法を解説
業者をかたる偽SMSの手口と被害調査の方法を解説身に覚えのない偽SMSにアクセスしたことで、個人情報の窃取が疑われる際の調査方法を解説します。デジタルデータフォレンジックではハッキングの経路や被害を迅速に調査し、問題解決に貢献します。365日年中無休・相談見積無料。...

改ざんされた偽サイトの閲覧

ブラウザでサイトを閲覧中、ランサムウェアが仕掛けられているWebサイトをクリックしたり、あるいは不正なメールに記載されているリンクから本物そっくりの偽装サイトに誘導され進んでいくうちにランサムウェアに感染してしまうことも少なくありません。

メールなどに記載されているサイトリンクは、たとえ実在する企業であっても直接クリックせず、できるだけ検索窓の検索欄からアクセスするようにしましょう。

VPN装置やRDPの設定不備

これは、特定の企業のVPN装置RDPの設定不備などの脆弱性を狙い社内ネットワークに侵入し、ランサムウェアに感染してしまう手口です。

また、ランサムウェアごとに特徴があり、攻撃の手口を知り対策しておかないと感染してしまうリスクが高まっています。実際にあった過去から現在までのランサムウェアの種類・特徴は次の記事で詳しく紹介しています。

【専門業者が解説】ランサムウェアとは何か?感染経路から被害事例、調査方法まで解説ランサムウェアの感染経路から被害事例、調査方法、防止策について詳しく解説します。記事を参考に正しい知識を身につけましょう。デジタルデータフォレンジック(DDF)はデータ復旧14年連続国内売上No.1のフォレンジック調査でパソコンやスマートフォンの端末からデータを復元・調査します。...

ランサムウェアの感染経路を特定する方法

ランサムウェア感染経路の特定においては、以下に挙げる方法が代表的です。

  • システムログ/アクティビティを分析する
  • 電子メールの分析
  • リムーバブルメディアの調査
  • ソーシャルエンジニアリングの分析

なお、感染経路を特定した後は、今後同様の攻撃を防ぐために、セキュリティ対策を強化することが必要です。このような対策は、デジタルフォレンジックスの専門知識と技術を活用して実施することができます。

システムログ/アクティビティを分析する

感染したコンピューターのシステムログ(アクティビティ)を分析することで、ランサムウェア感染の痕跡を発見することができます。

これらの情報を分析することで、暗号化されたファイルの操作履歴」、「不正なプロセスの実行履歴」、「ランサムウェアの通信履歴」などを発見することができます。

場合によっては、さらに詳細な調査が必要になる場合があります。たとえば感染したコンピューターがボットネットに組み込まれているかどうか、つまり他のコンピューターを攻撃するために「踏み台」として使用されているかどうかも調査するケースもあります

ただし、システムログの調査には、ログの収集から解析までの一連のプロセスが必要となります。まず、ログの収集方法を確認し、専門の解析ツールを使用して、ログを解析します。しかしランサムウェアは常に進化し続けており、感染経路も変わっていくため、専門家と提携しながら正確な分析をおこなうことが重要となってきます。

\サイバーセキュリティ専門家へ24時間365日無料相談/

電子メールの分析

感染したコンピューターの電子メールアカウントの受信トレイ、送信トレイ、スパムフォルダーなどを分析することによって、フィッシング攻撃やスパムメールからランサムウェア感染を調べることができます。

リムーバブルメディアの調査

感染したコンピューターで使用されたリムーバブルメディア(USBドライブやCD/DVDなど)を調査することで、そこから感染が広がった可能性を調べることができます。

ソーシャルエンジニアリングの分析

ソーシャルエンジニアリングとは、人間の心理的な弱点をついた攻撃手法のことで、具体的には、フィッシング攻撃やスパムメールなどの手法があります。攻撃者は、偽情報や不正なリンクを送信することで、被害者を騙し、不正アクセスを行います。

ソーシャルエンジニアリング分析では、対象のコンピューター内のメッセージアーカイブやブラウザー履歴をチェックすることで、感染経路を調べることができます。

以上が、ランサムウェア感染経路の特定についての詳細でした。一連のステップではフォレンジック調査を用いることで、被害範囲の全体像を把握し、適切な対処を行えます。

ランサムウェアに対応実績があるフォレンジック専門業者であれば、適切な技術を用いて、デジタル機器から情報を抽出し、その他の法的な問題にも応用が可能です。

メールで相談する

ランサムウェア感染時、必要な初動対応とは?

ランサムウェアに感染した場合、企業が取るべき初動対応は次のとおりです。

  • 感染を封じ込める
  • 感染の範囲を特定/被害状況の把握
  • 当局に通知する
  • バックアップからデータを復元する

感染を封じ込める

ランサムウェアに感染した場合、被害を拡大させないために、できるだけ早く感染を食い止めることが重要です。

まずは感染したデバイスをネットワークから切り離し、感染したデバイスを隔離します。さもなければ、同じネットワーク環境下にある他の端末にまでランサムウェアが拡大してしまう可能性があります。

被害を最小限に抑えるためにもネットワークからは切り離し、感染端末をオフライン状態にしましょう

感染の範囲を特定/被害状況の把握

ランサムウェアによって暗号化されたり、社内のシステムが影響を受けたりした場合、今後の対応に向け、データ漏えいの有無も含め、被害範囲を特定する必要があります

この際、デジタルフォレンジックという技術が活用できます。これによりランサムウェアの感染源を特定し、被害範囲の把握はもちろん、攻撃者がどのように組織に侵入したのかなど、セキュリティホール(脆弱性)を特定するのに役立ちます

当局に通知する

2022年4月、改正個人情報保護法が施行されました。これにより被害を受けた企業は、法律で定められた関係当局に、具体的な被害状況を通知する必要があります。

個人情報保護法改正2022
なお、漏えいした個人情報によって利用者に損害が生じた場合、事業者は速やかに利用者に対して説明責任を果たす必要があります。

フォレンジック調査は、被害を把握するために非常に役立ちます。たとえば攻撃者がどのように企業のシステムに侵入したか、どのようにランサムウェアが感染したか、どのように暗号化を行ったかなどの情報を収集できます

この方法によって、企業はランサムウェアの問題に直面した場合でも、被害の状況を正確に把握することができます。また、顧客データが漏えいした場合、フォレンジック調査をおこなうことで、被害を受けた個人に対して、より具体的な報告を行うことができます。

バックアップからデータを復元する

ランサムウェア感染時にバックアップがある場合、システムの初期化とバックアップからデータを復元することができます。ただし、次のような懸念点があります。

  • 感染前に作成されたバックアップでないと、バックアップデータも感染している可能性があるため、復元前にウイルススキャンを実施することが重要。
  • バックアップに保存されたデータが古い場合、最新の情報が失われる可能性がある。
  • バックアップが完全に実行されていなかったり、バックアップのプロセスが正しく構成されていなかった場合、データの復元に失敗する可能性がある。

このように、バックアップからのデータ復元は、すべての場合に対して必ずしも効果的とは限りません。また、ランサムウェア攻撃に対する適切な対策は、デジタルフォレンジックの専門家による攻撃調査、復旧支援など、多角的なアプローチが必要となります

結論として、企業はランサムウェアに感染した場合、被害を軽減し、個人情報保護法を遵守するために、直ちに行動を起こす必要があります。デジタルフォレンジックは、必要なすべてのステップを支援することができます。速やかに専門家と連携し、コンプライアンスの観点から適切な対応を取りましょう。

\サイバーセキュリティ専門家へ24時間365日無料相談/

専門家にランサムウェア対策を相談する

DDFサイバー犯罪やマルウェアは絶えず進化している一方、国内の多くの企業ではセキュリティ対策が追い付いていないのが実情です。

ウイルス対策ソフトやUTM等の複数のセキュリティツールを組み合わせただけでは不十分で、実際にランサムウェア感染やマルウェアによる情報漏洩被害が発生した際の対応も見越した対策でなければ有効とは言えません。

適切な対策を行うには、サイバーインシデントの対応経験も豊富なセキュリティの専門家に相談することが極めて重要です。専門家のノウハウを活用することで、最新の動向と自社の予算・規模にあわせたセキュリティ対策を構築し、マルウェア・ランサムウェア感染、不正アクセスによる情報漏洩を未然に防いだり、緊急時の相談先とすることができます。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広いインシデント対応経験、セキュリティ対策の構築経験を持つ専門担当とエンジニアが対応させていただきます。

\サイバーセキュリティ専門家に24時間365日で無料相談可能/

多くのお客様にご利用いただいております

累計ご相談件数23,703件以上の豊富な実績

 

まとめ:ランサムウェアに対する予防策

ランサムウェアに対して身代金を支払うことは、攻撃者にとって新たな収益源を提供することになります。また、身代金を支払っても、必ずしもファイルが復元される保証はありません。身代金を支払わず、バックアップからデータ復元することを検討することが重要です。

またランサムウェアに対する予防策としては、次のことが挙げられます:

  • セキュリティソフトウェアの導入とアップデート
  • パッチの適用
  • ファイルのバックアップ
  • 不正なリンクや添付ファイルのクリックを避ける
  • セキュリティ意識の向上

これらの予防策に加えて、同様の攻撃を未然に防ぐためにも、ランサムウェアの感染経路を特定することも重要です。感染した場合には、フォレンジック調査を実施し、再発防止に向けた対策を講じましょう。

この記事を書いた人


デジタルデータフォレンジック エンジニア
累計ご相談件数23,703件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。
その技術力は各方面でも高く評価されており、フォレンジック調査やセキュリティ対策の取り組みで在京キー局による取材実績や、警察表彰実績も多数。

 

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで23,703件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
(全角カナ)
必 須
(半角数字)
必 須
(半角英数) (半角英数)
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある