サイバー攻撃

ランサムウェアとは?その手口と感染時の対応方法/被害調査方法を解説

全世界で猛威を振るっているランサムウェア(身代金要求型マルウェア)は、セキュリティ上の脅威として、すべての企業が対処しなければならない脅威となっています。特に近年は手口がますます巧妙化し、個人・法人を問わず被害に遭遇する可能性が高まっています。

このページでは、ランサムウェアの感染経路や、感染してしまった時の対策方法について徹底解説します。

ランサムウェアとは?

ランサムウェアとは、身代金を要求する不正なソフトウェア(マルウェア)です。

種類としてはファイルやストレージが暗号化されて開けなくなる「データ暗号化型」、端末の画面をロックし、操作不能にする「画面ロック型」の2つに分けることができます。

ランサムウェアが一般的なウイルスと違うのは「攻撃者が極めて強固な意思や目的に基づいて特定の企業を攻撃していること」です。たとえば、ランサムウェアに感染すると、端末上のデータや端末そのものにロックが掛かり、大抵の場合で「ダークウェブで身代金(仮想通貨)を支払え」という脅迫文が表示されます。また、ランサムウェアの中には「復号したければ期限時間に身代金を振り込め」と制限時間を設けているものもあり、これは相手の危機感をより煽るものとなっています。

2017年に流行したビットコイン要求型のランサムウェア「WannaCry」の感染画面

 

最近では、身代金を支払わない企業の情報を、ダークウェブで公開したり、闇オークションにかけたりする手口が横行しています(ダークウェブでのやり取りには匿名通信ツールが使われていることから、発信者の特定や法的責任追及は困難です)。

またデータが漏えいすると、個人情報保護法違反に直結するため、顧客や取引先の信頼を損ね、莫大な経済的損失を被った挙句に、倒産に追い込まれたというケースもあります。すべての企業組織はランサムウェアの攻撃に備え、情報の機密性を確保する責任があるのです。

ランサムウェアの歴史変遷

世界初のランサムウェア

「ランサムウェア」という言葉自体は、”身代金”を意味する「ランサム」と「ソフトウェア」を組み合わせて作られました。このような意味を持つランサムウェアが歴史上の表舞台に初めて姿を表したのは、インターネットが普及するはるか前の1989年のことで、その名を「AIDS Trojan」と言いました。

1989年に発見された世界初のランサムウェア「AIDS Trojan」の感染画面

 

このランサムウェアは「シェアウェア」を装いつつ、ファイル類を暗号化して身代金を要求するものでした(これは現在のランサムウェアの手口と変わりありません)。つまりランサムウェアは、登場した当初から無害を装う「トロイの木馬」の一種であったわけです。なお、現在のランサムウェアと大きく異なる点としては、感染経路が当時一般的だった「フロッピーディスク」だったことです。

過激化するランサムウェアの現状

パイプライン大手や東芝などを標的に、莫大な身代金を要求したランサムウェア・DarkSideの感染画面

 

その後、しばらくランサムウェアは鳴りを潜めましたが、2012年頃からランサムウェアを用いたサイバー攻撃が国際的に拡大し、2013年にはWindows搭載のコンピュータを標的にした「Crypto Locker」というランサムウェアが登場しました。

これは、電子メールの添付ファイルを装うという巧妙なトロイの木馬で、300万ドルという莫大な身代金を集めることに成功しました。Crypto Lockerから派生した添付ファイル型ランサムウェアは、現在まで続くランサムウェアの原型になっています。

また現在のランサムウェアは過激化していることで知られます。たとえば2020年から21年にかけて活動した「DarkSide」を名乗るハッカー集団は、石油パイプラインなどインフラ企業に攻撃をしかけ、要求した身代金額も数億円と非常に高額でした。

このような経緯から企業はより引き締まったセキュリティ対策を行うことが、情報保守や法令遵守の観点から非常に重要となっています。

2010年代以降の代表的なランサムウェア

2010年代以降登場した新種のランサムウェアやその亜種には次のようなものがあります。

■CryptoLocker
2013年…世界中でランサムウェアを流行らせた元凶的存在

■KRSW Locker
2014年…日本のユーザーをターゲットとした初のランサムウェア

■KeRanger
2016年…MacOSを標的にした初のランサムウェア

■Petya
2016年…すべてのファイルを暗号化し、OSをも停止させるランサムウェア

■WannaCry
2017年…世界150ヵ国以上で流行した大規模なランサムウェア

■REvil / Sodinokibi
2019年…サイバー犯罪集団が計画的に利用したランサムウェア

■Maze
2019年…二重脅迫を採用したランサムウェア

■Emotet
2019年…ランサムウェアを含む各種マルウェアを引き寄せるトロイの木馬

■DarkSide
2020年…大手企業に多額の身代金を要求した悪名高いランサムウェア

■LockFile / LockBit
2021年…Windowsサーバの脆弱性を悪用するランサムウェア

ランサムウェアの感染経路

ランサムウェアの感染経路は「不正なメールの添付ファイル」と「改ざんされたWebサイト」がほとんどを占めます。いずれも「ファイルの展開」「サイトの閲覧」など、簡単な操作で感染してしまうため、注意が必要となるほか、OSなどに脆弱性があるとセキュリティが突破されやすくなります。

メールの添付ファイルやリンク

ランサムウェアに感染する最たる原因が、メールに添付されたofficeファイルやリンクです。多くの場合で、メールの件名には「賞与支給」「緊急~」などのように、クリックを誘導するような件名が記されており、クリックすると自動でファイルを展開するマクロ機能が悪用され、瞬時に感染してしまいます。

なお、これらメールは自動生成された意味不明な文章や、改行に不自然な点があったりします。件名で判断せず内容をきちんと読み込み、感染リスクを出来る限り回避しましょう。

不正または改ざんされたWebサイト

不正なサイト、または改ざんされたサイトのリンクをクリックすると、ランサムウェアに感染する恐れがあります。また不正なサイト以上に紛らわしいのが、改ざんされたです。

たとえばメールに記載されたリンクをクリックし、実在の企業に飛ばされたとしても、サイトが改ざんされていると閲覧するだけでランサムウェアに感染させられることもあります。

ランサムウェアに感染した場合の対応方法

ネットワークから切り離す

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。被害を最小限に押さえるためにも感染端末をオフラインの状態にするのが先決です。

復号ツールの有無をインターネットで検索する

暗号化されてしまったら、暗号化ファイルの拡張子や脅迫文などをインターネット上で検索しておきましょう。ランサムウェアの種類によっては、復号ツールが共有されていることがあります。まずはランサムウェアに関する情報収集をしましょう。

ウイルス対策ソフトなどで駆除を試みる

ランサムウェアによる暗号化が端末全体でなく、一部のファイルのみである場合は、ウイルス対策ソフトなどで駆除を試みると解決できる場合があります。

ただし、端末全体が暗号化されて操作が不可能になっている場合は、個人または社内でのデータ復旧/復号はきわめて困難なため、それ以外の方法を模索する必要があります。

バックアップを確認する/初期化する

バックアップが存在する場合は、ここからデータを復元し、暗号化された端末を初期化することで、感染前の状態まで戻ることが出来ます。

ただし、ネットワーク上のバックアップが暗号化されている場合や、古いバックアップの場合は、対応できない恐れがあるため、その点をあらかじめ事前に確認しておきましょう。

システムの復元を行う

Windowsには「システムの復元」という機能があり、あらかじめ作成した復元ポイントの状態にまで機器のシステムを戻すことができます。

ただし、この機能はOSの不具合こそ解消できますが、暗号化されたデータを元通りに復号することは出来ないため、あくまでシステムの再構成を図る目的でのみ有効となります。

データ復旧業者に復号を依頼する

個人での原因特定、および復元・複号作業には限界があります。ゆえに専門業者に相談することが最善の対処法と言えます。もし上記方法でも復元・復号できない場合や、より安全にデータを復元したい場合は、専門の復旧業者まで相談しましょう。

なお、相談・見積りまで無料で対応している業者もあります。個人での対処が難しい場合は、条件に見合う適切な専門業者にまで相談することをおすすめします。

ランサムウェアに感染した場合の調査方法

ランサムウェアによる情報漏えいや被害の実態を確認したい場合、社内のシステム担当者がむやみに操作すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。

被害調査を最も安全かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。なお「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法です。

たとえば、フォレンジック調査ではランサムウェアを用いたサイバー攻撃の経路や情報流出の有無などの調査を行い、被害範囲を把握して適切な対処ができるようにサポートします。

フォレンジック調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、場合によっては証拠となるデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

\24時間365日 相談受付/

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法定資料としても活用できる報告書の作成も承っております。

共通CTA