お問い合わせ
ランサムウェア(身代金要求型マルウェア)によるサイバー攻撃が世界中で発生しています。ランサムウェアにパソコンやスマートフォンが感染すると、社内データやシステムを暗号化され、閲覧・使用することができなくなります。
ランサムウェアに感染してしまった場合、適切な対応を行ってシステムを復旧し、情報漏えい被害が発覚した法人の場合は、個人情報保護委員会まで報告する必要があります。
- ランサムウェア感染し、身代金を要求されている
- ランサムウェアで身代金を支払うべきか悩んでいる
- パソコンがマルウェア(ウイルス)に感染している可能性がある
上記のような場合はまず当社にご相談ください。
\24時間365日無料相談OK!/
目次
ランサムウェア(身代金要求型マルウェア)とは?
ランサムウェア(身代金要求型マルウェア)とは、感染した端末を勝手に暗号化することによって使用できなくした後、元に戻すことと引き換えに「身代金」を要求するマルウェアです。
ランサムウェアの脅威とは
ランサムウェアには複数の脅威があり、それぞれ違ったリスクがあるため、注意して対策をする必要があります。具体的な被害内容は以下の通りです。
- 社内の機密情報、顧客・雇用情報、技術的な情報などが漏洩する実務被害
- 情報漏洩が起きたことによる社会的な信用問題
- システムが復旧できず、業務停止の被害
ランサムウェアの分類「暗号化型」「画面ロック型」
ランサムウェアの大分類で「暗号化型」「画面ロック型」という2つの分類があります。
暗号化型とは、システムやファイル、アプリケーションに暗号化を掛け、使用できなくするものです。
画面ロック型というのは、その名の通りデバイスや機器の画面をロックする、あるいはロックしたように見せかけるタイプのランサムウェアです。
1989年に初めてランサムウェアが開発された際は「暗号化型」になっており、「暗号化型」「画面ロック型」のどちらも進化し続けています。現在では、どちらの要素も取り入れたハイブリッド型も登場しています。
ランサムウェア感染時の身代金要求には従わない
ランサムウェア感染が起きるとシステム・データが暗号化され、暗号化解除を条件に身代金を請求されます。
しかし、支払いを行ってしまうと「詐欺組織の資金」を助けることになること、再度標的にされる可能性が高まることから「身代金の要求」には従わないようにしましょう。
身代金を要求される脅迫文
ランサムウェアの脅迫文の特徴としては以下のようなものがあります。
- 時間のカウントダウンが始まる
- 「重要なファイルを暗号化しました」のように脅してくる
- 個人に対しては、ぎりぎり支払える金額を要求してくる
- プライベートや業務上重要なデータを引き合いに多額の金銭を要求する
情報を人質に身代金を要求
従来のランサムウェアは社内のファイルの暗号化を行い、業務停止等に追い込むことによって身代金を請求していました。最近では、仮想通貨である「ビットコイン」での支払いを要求されることも増加しています。
また、近年のランサムウェアは暗号化と同時にパソコンなどのファイルを窃取し、攻撃者は奪い取った情報を公開しないことを引き換えに身代金を要求する「第二の脅迫」を行うようになりました。
この時身代金を払っても、個人情報を公開されない保証はありません。情報が公開されると「ダークウェブ」と呼ばれる一般的な検索エンジンでは検索できない領域に個人情報が公開され、第三者に売買される可能性があります。
\24時間365日無料相談OK!/
ランサムウェアの感染経路
ランサムウェアの感染経路として代表的な2種類の方法を解説します
- メール経由の感染
- Webサイト経由の感染
- VPN機器の脆弱性をついた感染
- フィッシングメールやなりすましメール
メール経由の感染
ランサムウェアの感染経路として、メールアドレスを経由したものがあります。メールアドレスに記載のURLをクリックさせ、詐欺サイトに誘導したり、添付されているフォルダをダウンロードさせることによってランサムウェアを感染させます。
Webサイト経由の感染
ランサムウェアの感染経路として、Webサイト経由での感染があります。
メールや広告を経由で偽サイトに誘導し、ランサムウェアが格納されたソフトウェアをダウンロードさせることでパソコンを感染させます。
VPN機器の脆弱性をついた感染
警察庁の資料「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの約63%がVPN機器から感染しているとの調査結果が出ています。
VPN機器は通信の暗号化する機能を持ち、認証機能を利用することで、オンラインセキュリティやプライバシーを確保し、盗聴やハッキングからデータを保護する役割を果たします。
しかし、最新のファームウェアや脆弱性パッチを適用していないVPN機器は、攻撃者に脆弱性を利用されて、ネットワークに侵入される恐れがあります。最悪の場合は権限を奪われ、ランサムウェアを展開される場合があります。
出典:警察庁
フィッシングメール
2023年より流行した「8base」などのランサムウェアは、フィッシングメールをネットワークの侵入に利用しているとのことです。
直近の感染事例では、国内企業の「イセトー」が8baseランサムウェアに感染し、個人情報が150万件以上流出したとされています。
出典:NHK
以上がランサムウェアの主な感染経路です。ランサムウェアの感染経路は日々変化していますので、紹介した手口以外の侵入経路が使用される場合もあります。
\累計相談実績3.2万件以上!/
ランサムウェアの被害を防ぐ5つの有効な対策
ランサムウェアの被害を防ぐ5つの有効な対策を解説します。
- 見覚えのないメールに注意する
- OSやソフトウェアを最新の状態にする
- セキュリティ対策を強化する
- ランサムウェア対策ソフトを使用する
- バックアップをとる
見覚えのないメールに注意する
不審なメールや添付ファイルを容易にクリックしてしまうと、ランサムウェアが格納されたフォルダをダウンロードしてしまう確率が高まります。
攻撃者は不自然さをごまかすために、窃取した関係者の名前を使用したり、友達を装い連絡をしてきたりします。信用度が高い大手ECサイトや運送業者を装ったりするなど、あらゆる手を使い添付ファイルをクリックさせようとします。
OSやソフトウェアのバージョンを最新の状態にする
パソコンやスマートフォン、VPNなどのセキュリティやOSが古いままだと、セキュリティ上の脆弱性が放置されてしまい、ランサムウェアに感染する確率が高くなります。
古いOSや機器などの脆弱性は、メーカーから正式な注意喚起がでていることもあり、だれでも入手可能な情報です。したがってランサムウェア以外のサイバー攻撃被害にも遭う可能性もあります。
ご自身のOS、ソフトウェア、デバイスを長期間アップデートしていない場合は、最新のバージョンに更新するようにしましょう。
セキュリティ対策を強化する
セキュリティ対策ソフトを導入することも、セキュリティレベルを向上させる上で重要なことになります。
セキュリティソフトも複数導入したり、アップデートを怠ると効果を発揮できなくなります。2つ以上のセキュリティソフトが混在している場合は、1つのソフトにまとめるなどの工夫をするようにしましょう。
ランサムウェア対策ソフトを使用する
ランサムウェア対策ソフトを導入することで、ランサムウェアの存在や脅威を検知し、デバイスに感染しないように対策できる確率が高まります。
ランサムウェア対策ソフトのメリットは以下の通りです。
- 感染を検知した時点で、感染源となりうるデバイスの使用に制限を掛けられる
- ランサムウェアに感染しても、データが復旧できるように自動でバックアップを作成してくれる
- マルウェアのスキャン、対策と駆除を行ってもらえる
バックアップを取る
ランサムウェアの対策として、最も有効的な手段の一つにバックアップを自動でとっておくことがあります。
データやファイル情報が暗号化されてしまいデータを閲覧・使用できなくなることがランサムウェアの脅威ですが、バックアップデータがあれば復旧は容易になります。
ランサムウェアを完全に防ぐことは難しいため、バックアップは定期的にとるようにして、いつでもデータの復旧ができる環境にしておきましょう。
ランサムウェアに感染した場合は、感染経路、漏洩した情報などをまず調査することをおすすめします。
VPN機器の認証情報の変更や多要素認証の追加を行う
VPN機器の認証情報の変更や多要素認証(MFA)の追加もランサムウェアの感染対策に有効です。
まず、VPN機器のユーザー名とパスワードといった認証情報は必ず初期設定から変更しましょう。推測しづらい複雑なものに更新することで、不正アクセスのリスクを大幅に減少させることができます。
さらに、ユーザーのログイン時に二つ以上の異なる認証方法を使用する多要素認証も追加しておくと更にセキュリティを強化できます。
例えばパスワードの他にログイン時のワンタイムパスワードの入力が求められるようにVPN機器を設定することでパスワードが漏洩しても、第三者にはワンタイムパスワードが取得できなければ、不正アクセスを防止できます。
このようにVPN機器のセキュリティを強化しておくことで、脆弱性を悪用したランサムウェアの侵入リスクを大幅に低減できます。
身代金を要求してくるランサムウェア8選
身代金を要求してくる有名なランサムウェア8つを紹介します。
- 「Locky」
- 「WannaCry」
- 「BadRabbit」
- 「CryptoLocker」
- 「Petya」
- 「Phobos」
- 「Lockbit」
- 「Black Suit」
ランサムウェアに感染した際に、データやファイルの拡張子が変換され暗号化されます。その後、ランサムノートと呼ばれる脅迫文が表示され、ランサムウェアに感染したことが発覚します。
「Locky」
「Locky」は日本企業がランサムウェアに注目せざるをえないきっかけになったマルウェアです。Lockyが行ったあるスパムメールでは、全体の攻撃の45%は日本を標的にしたものです。
「Locky」はメールに添付されてあるURLをクリックすることで感染します。感染後、約1分後脅迫文を表示させ、すべてのファイルを暗号化してしまいます。
- 拡張子:.locky
- ランサムノート:Ransom.HTML.LOCKY.SM.note
「WannaCry」
「WannaCry」は、Windows系のコンピュータを標的としたランサムウェアです。仮想通貨の一種であるビットコインを支払うように要求されます。
自己増殖の機能を持ったマルウェアのため、社内のパソコン1台に感染すれば、ネットワークを経由し、サーバー内のファイルやデータを暗号化してしまいます。
- 拡張子:.WNCRY
- ランサムノート:READ ME.txt
「BadRabbit」
「BadRabbit」は2017年の10月下旬に広く知られ始めたランサムウェアです。当初はロシアや東ヨーロッパを中心に拡大していましたが、現在は日本でも被害が発生しています。
感染画面に「BadRabbit」の文字が付いているため、この名前が付きました。
特徴として、高いレベルの暗号化モジュールを用いていることがあり、正式なドライバーを巧みに偽装することから発見が難しいです。
- 拡張子:dispci.exe
- ランサムノート:install_flash_player.exe
「CryptoLocker」
「CryptoLocker」は、2013年に誕生したランサムウェアです。感染したPCへのユーザーからのアクセスがブロックされてしまう上に、PC内のファイルも暗号化されてしまいます。
このランサムウェアでは、暗号化の解除を引き換えに、300米ドルを請求されます。
- 拡張子:.encrypted
- ランサムノート:TROJ_UPATRE.VNA
「Petya」
「PETYA」は、2016年に初めて確認されたランサムウェア系統です。他種のランサムウェアと同じく、ファイルデータ、システムデータなどのデータを暗号化し、身代金をビットコインで支払うように脅迫されます。
特徴として、以前のランサムウェアとは異なり、コンピューターのハードディスク上の全てのファイルにアクセスできなくします。
- 拡張子:暗号化したファイルに追加の拡張子はなし(どのファイルが暗号化されたか気づかない)
- ランサムノート:petya.exe
「Phobos」
Phobosは2018年に初めて確認されたランサムウェアです。主にフィッシングメールやパスワードが脆弱なリモートデスクトップを利用します。
感染するとファイアウォールやWindowsのスタートアップ修復機能が無効化され、他のマルウェアやトロイの木馬などをインストールされる場合もあります。
- 拡張子:. Phobos、.ekingなど
- ランサムノート:info.hta、info.txt
「LockBit」
Lockbitとは2019年に初めて確認されたランサムウェアで、Raasと呼ばれる、ランサムウェアのコードを第三者に販売し、コードを購入した他の犯罪者が攻撃を実行するモデルを採用しています。
国内では2023年7月に名古屋港がLockBit3.0の被害を受け、3日間にわたりコンテナ搬出入作業が停止しました。
- 拡張子:.abcd(LockBit)、.LockBit(LockBit2.0)、.HLJkNskOq(LockBit 3.0)
- ランサムノート:Restore-My-Files.txt
Black Suit
Black Suitは2023年ごろに初めて発見されたランサムウェアで、感染するとデータの暗号化や二重恐喝を受けるとされています。
フィッシングメールやトレントウェブサイトと呼ばれるファイル共有ソフトのファイルに埋め込まれて感染することがあります。
- 拡張子:.blacksuit
- ランサムノート:README.BlackSuit.txt
2024年6月に株式会社KADOKAWAに攻撃を仕掛け、大規模なシステム障害や、関連企業の情報漏えいが発生しました。
\24時間365日相談OK!/
ランサムウェアの身代金を支払うとデータは戻ってくる?事例を紹介
ランサムウェア感染時に身代金を支払った場合の事例を紹介します。
CyberEdge Groupのレポートは、ランサムウェアの被害を受けた被害者の6割ほどが身代金の支払いに応じたことを伝えるとともに、そのうち3割近くがデータの復号できなかったと指摘しています。
データが復旧したパターン
株式会社日立製作所がランサムウェア感染したときの事例を紹介します。
概要
2017年5月、株式会社日立製作所がランサムウェアによる攻撃を受けた。5月12日の深夜に社内システムの不具合を検知し、翌日にはランサムウェアの感染状況や対策の検討を始めた。
結果・被害
調査の結果、社内システムに一部システム障害が発生していることを発見。パートナー企業と組み、データ・システムの復旧に努め、全面復旧までに1週間を要した。
上記の場合は、システム・データの復旧に成功した例になり、復旧まで1週間を要したとのことで、実際の被害も出ている状況です。
データが復旧しなかったパターン
悪質なランサムウェアによっては、身代金を支払った直後にデータを抹消するものがあります。このような場合、データを復旧することは非常に困難だと言えます。
他にも、身代金を支払ったのにも関わらず、暗号化が解けずにデータを失ってしまうパターンなどもあります。
セキュリティメディアが行った調査では、身代金を支払った5社に1社はデータが復旧できていないという調査も出ています。
企業秘密等のデータがダークウェブで売られていたパターン
攻撃者はデータやシステムを暗号化し業務をできなくすることで、金銭を要求する材料を作ります。しかし、ランサムウェアの種類によっては、企業の顧客・従業員・技術情報を不正に取得しているものもあり、このランサムウェアの系統では、情報を引き換えに、二重で金銭を要求してくるパターンもあります。
要求を呑まない場合は、ダークウェブ等で企業情報が販売されるケースも存在しています。
企業が感染した場合の被害
企業がランサムウェア感染を受けた時の被害は大きく3種類あります。
- 社内の機密情報、顧客・雇用情報、技術的な情報などが漏洩する実務被害
- 情報漏洩が起きたことによる社会的な信用問題
- システムが復旧できず、業務停止の被害
社内の機密情報、顧客・雇用情報、技術的な情報などが漏洩する実務被害
社内の技術的情報、顧客や従業員の情報が漏洩してしまうことは企業にとって大きな被害です。漏洩した技術情報や顧客情報などがダークウェブ上などで公開されてしまう可能性が高まり、漏洩した技術情報を使用される可能性があります。
情報漏洩が起きたことによる社会的な信用問題
情報漏洩が起きた場合、「改正個人情報保護法」によって、情報漏洩の事実を被害者に伝える説明責任、漏洩した情報の範囲や感染経路などの調査・報告義務が発生します。
情報漏洩が起きると会社としての信用を失うだけでなく、ランサムウェア感染の詳細を調査しなければ、最大で1億円の賠償金を支払わなければいけないなど、多額の賠償金で金銭的被害も受けることになります。
システムが復旧できず、業務停止の被害
ランサムウェアはデータ・システムを暗号化し、システムを停止させることもあります。
例えば、レジで活用されているPOSシステムなどを停止する事例も出ており、実務ができなくなることがあります。
被害を最小限にするためにも調査を行う
攻撃者がダークウェブ等で情報を販売するなどは、もちろん重大な被害になりますが情報が漏れた時点で企業は「説明責任」があります。
社会的信用を失い事業が継続できなくなる可能性もあるため、漏洩した情報の被害範囲、内容などを知るためにランサムウェア感染調査を行うことをおすすめします。
\相談実績3.2万件以上/
ランサムウェア感染時の対処方法4選
【個人でそもそも復旧できません、調査は義務、再感染の危険性あり】
ランサムウェア感染時の対処方法を4つ解説します。
ネットワークから隔離する
ランサムウェア感染が確認された際には、まず初めに「ネットワークから隔離」しましょう。
感染直後であれば、ファイルのダウンロードやデータの暗号化が進行している最中の場合もあります。これらの場合、インターネットから接続を解除することによってダウンロードを防ぐ等、ランサムウェア感染の進行を止めたり、遅くしたりすることができます。
そのため、一番初めに「ネット—ワークから隔離」するようにしてください。電源は切らずに「スリープモード」に設定し、そのままPCを使用しないようにすることが最適です。
セキュリティソフトを使用する
セキュリティソフトを使用して、端末のスキャン、ファイル等のデータのスキャンを行いましょう。
特に「ランサムウェア対策ソフト」という専門のセキュリティーツールもあり、ランサムウェアを検知し、デバイスに感染しないようにデバイスの遮断等を行ってくれるツールになります。
暗号化されたデータを復号する
ランサムウェアに感染してファイルなどが暗号化された場合、まずはランサムウェアの種類と暗号化方式を特定して復号することが重要です。一部のランサムウェアには既知の解読ツールが存在するため、専門のセキュリティ企業などに相談しましょう。
この時犯人から復号キーと引き換えに身代金を要求される場合がありますが、身代金を支払っても復号できる保証はありません。犯人から追加で金銭の要求をされる可能性もあるため、注意しましょう。
パスワードを変える
端末等に、推測が容易に可能なパスワードを使用することは犯罪者に推測されやすいため、パスワードは複雑なものに変更しましょう。
また、Wi-Fiを介して、侵入してくる場合もあるためWi-Fiのパスワードも初期設定のものから大文字、小文字、数字、記号等を使用している難解なものを設定しましょう。
専門家に相談する
ランサムウェアに感染してしまった場合、法人の場合は感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
まず、調査が義務付けられているため、情報が漏洩した時点で詳細を調査するようにしましょう。
出典:PR Times
\24時間365日相談OK!/
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。
違反した企業には最大1億円以下の罰金が科せられる可能性がありますので、もしランサムウェアに感染した場合、まずは感染経路や漏えいデータを確認することが重要です。
しかし、被害の調査を行う場合、法的知識や専門技術が必要です。自社のみで対応するのは困難であるため、コンピューターやネットワーク上のデータを収集・分析する「フォレンジック専門家」と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェアによる被害調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\最短30分でWeb打ち合わせ可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\相談から見積もりまで無料/
ランサムウェア調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
まとめ
ランサムウェア感染したとき、正しい対処方法を行わなければ、データを復旧させる・システムを使えるようにすることが非常に困難になります。
今回紹介した方法でランサムウェア感染の脅威から身を守りましょう。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
