ランサムウェアに感染すると、情報漏えいが発生している可能性があります。この場合、フォレンジック調査で感染経路を正確に理解し、適切な対策を講じることが重要です。

この記事では、ランサムウェアの感染源、原因、感染・侵入経路を紹介します。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

ランサムウェアとは

ランサムウェアは、コンピューター上のファイルを暗号化し、身代金の支払いを要求するマルウェアの一種です。

ランサムウェアの種類についてはこちら

感染後はランサムウェアが送信するメッセージや画面（下記参照）が表示され、被害者は復号化のために指示された手順に従うことが要求されます。

被害者としては、身代金を支払ったとしても、盗まれたデータが販売・公開されないという保証はなく、被害者の評判、金銭、プライバシーに深刻な被害を与える可能性があります。

この際、フォレンジック調査で被害範囲を特定することが重要です。

「フォレンジック」とは、デジタル機器から法的証拠に関わる情報を抽出する手法です。このような手法は、サイバー攻撃の調査に不可欠であり、たとえばランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査することができます。

ランサムウェアに対応実績があるフォレンジック専門業者であれば、適切な技術を用いて、デジタル機器から情報を抽出し、速やかに被害を解析することができます。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

ランサムウェアの主流種類

現在のランサムウェアは以下のものが多くみられます。

以前は不特定多数に対する「ばらまき型」が流行

以前は不特定多数に対する「ばらまき型」が流行しており、個人ユーザーに対し数万円から数十万円規模の身代金を請求する事例が多くありました。しかし、近年では特定の企業や組織を標的にし、数百万円から数億円単位の巨額な身代金を請求することが増えています。

近年は「二重恐喝」が主流

ランサムウェアの二重恐喝とは、データを暗号化し、復号キーの支払いを要求するだけでなく、身代金を支払わなければ盗んだデータを公開すると脅迫する攻撃です。この手口は、1回の攻撃で2度の利益を得る可能性があり、被害者に身代金の支払いを迫ることができるため、ランサムウェア集団の間でますます人気が高まっています。

しかし身代金を支払ったとしてもデータが戻ってくる保証はなく、むしろ身代金を支払ってしまうことで「反社会的組織に資金を提供した」として社会的信用を失う恐れもあります。

国内外のランサムウェア被害一覧はこちら

近年のランサムウェアの状況

警察庁が発表した情報では、令和5年におけるランサムウェアによる被害報告件数は197件(前年比14.3%減)です。その件数のうち感染経路まで報告されているものは115件です。その中の感染経路の割合は以下のとおりです。

• VPN機器からの侵入 73件(63%)
• リモートデスクトップからの侵入 21件(18％)
• 不審メールやその添付ファイル 6件(5%)
• その他 15件(13%)

出典：警察庁

ランサムウェアの感染経路(侵入経路)

ランサムウェアの感染経路(侵入経路)として有名なものを紹介します。

VPN機器からの侵入

警察庁が発表した情報では、感染経路として一番多く報告されているものは、「VPN機器からの侵入」で全体の63%にあたります。

VPNとは、外部でも企業内と同等なネットワーク環境を構築する仕組みのことで、VPN機器の脆弱性を突かれると攻撃者は簡単にネットワーク内に侵入することができ、ランサムウェアを展開することが可能になります。

そのため、VPN機器のファームウェアは定期的にチェックし最新の状態に保つ必要があります。

リモートデスクトップからの侵入

警察庁が発表した情報では、「リモートデスクトップからの侵入」は全体の18%にあたります。

リモートデスクトップとは、会社とは離れた場所で手元のデバイスを使用し、会社内にあるデバイスを遠隔操作する仕組みのことですリモートデスクトップのシステムに不備があると、攻撃者が不備を利用し、サーバへ侵入する恐れがあります。

そのため、強固なパスワード設定や不要なアクセス制御の設定等を行う必要があります。

不審メールやその添付ファイルやリンク

警察庁が発表した情報では、「不審メールやその添付ファイル」は全体の5%にあたります。

攻撃者は、組織や個人を装いメールに悪意のある添付ファイルやリンクを付け、攻撃対象に送信します。この手法は、従来の感染経路として有名で認知もされていますが、送られてきた場合にはよく注意が必要です。

不審なメールが届いた際には、悪意のあるメールである可能性を考慮し、慎重に扱いましょう。

Webサイトのブラウジング

悪意のあるWebサイトには、サイトにアクセスするだけでランサムウェアが勝手にダウンロードされるリスクがあります。

以下の特徴に当てはまるWebサイトは危険性が高いと考えられるのですぐにブラウザを閉じてください。

• 不自然なポップアップ・広告が多い
• 不自然なURLの構造をしている
• 読み込み速度が異常に遅い

ランサムウェアを勝手にダウンロードされると知らない間にシステム内部へ侵入される恐れがあります。そういったサイトへの対策としては、Webブラウザのセキュリティ設定を常に最新に保つこと、不審なWebサイトへはアクセスしない事が挙げられます。

もし、悪意のあるWebサイトへアクセスした恐れがある方は、フォレンジック調査会社に相談することをおすすめします。フォレンジック調査会社では、ランサムウェア感染の有無や感染していた場合感染経路の特定、情報漏えいの有無について調査することが可能です。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

ソフトウェア・ファイルのダウンロード

提供元が分からないソフトウェアやファイルには、悪意のあるファイルが含まれている可能性があります。

最近では、海賊版と言われている音楽ファイルや動画ファイルをダウンロードすることでランサムウェアに感染するパターンも確認されています。

ソフトウェア・ファイルをダウンロードする際は、信頼のできる提供元かどうかを確認してからダウンロードするようにしましょう。

USBメモリやHDDの外部機器接続

ランサムウェアに感染した外部接続機器にコンピュータを接続することで、ランサムウェアが自動的に侵入するケースも確認されています。

外部機器接続からの感染を防ぐためには、信頼できるアンチウイルスソフトでスキャンを行うことが重要です。

不審なアプリケーションの実行

下記の特徴が当てはまるアプリケーションは危険性が高いため、すぐにアプリケーションを終了させアンインストールを行いましょう。

• 過剰にアクセス許可を要求する
• レビューや評価が異常に少ない
• 公式アプリストア外からのダウンロードを促す
• 名前やロゴが人気アプリに酷似している

 

上記で説明した感染・侵入経路の中で心あたりがある方は、一度フォレンジック調査会社に相談することをおすすめします。フォレンジック調査会社では、「ランサムウェア感染の有無」「感染していた場合は感染経路」「情報漏えいの有無」を調査することが出来ます。

私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。

24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。

最新の攻撃手法はメールからVPN機器・ネットワークの利用に

ランサムウェア発現時の攻撃手法はメールを使うものが一般的でしたが、現在はVPN機器やネットワークを利用した手法が主流になっています。以下で特徴を比べて解説します。

従来のランサムウェア攻撃の特徴

従来は、メールの添付ファイルやURLを利用して感染させる手法が主流でした。ユーザがメールの添付ファイルを開いたり、URLにアクセスし情報を入力すること感染するものでした。

ユーザの不注意に依存するので、セキュリティ対策ソフトの導入やセキュリティ研修を実施することで対策が可能になるように比較的対策しやすいものでした。

下記が従来のランサムウェア攻撃の特徴です。

• メールの添付ファイルやURLを利用した感染手法が一般的
• ユーザのセキュリティ意識の低さを狙った攻撃手法
• 比較的セキュリティ対策が簡単
• 従業員のセキュリティ教育を行うことが効果的

最新のランサムウェア攻撃の特徴

最近は、VPN機器やリモートデスクトップを標的にする手法が増加傾向にあります。組織のインフラを狙い、一度の侵入で大きな損害をもたらす可能性を秘めています。

その他、ソフトウェアの脆弱性を利用・総当たり攻撃でパスワードを突破するなど攻撃手法もあります。

下記が最新のランサムウェア攻撃の特徴です。

• VPN機器やリモートアクセス用ツールが標的にされやすい
• セキュリティシステムの脆弱性を狙う
• 大規模な損害を引き起こすような組織のインフラを狙う
• 検知や対処等が複雑で困難になっている
• 多層的なセキュリティ対策・継続的なネットワーク監視が必要

ランサムウェア感染対処方法

ネットワークから切り離す

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。

パスワードを変更する

次に、感染が疑われるデバイスで使用していたメールアドレスやパスワードを変更しましょう。メールアドレスやパスワード悪用される可能性があるからです

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイスからメールアドレスやパスワードを変更したとしても、新たなメールアドレスやパスワードの情報が攻撃者に盗まれ、再び悪用されてしまいます。

バックアップを確認する/初期化する

ファイルの回復を実現するには、独自に作成したバックアップファイルを試すことをお勧めします。

独自に作成したバックアップファイルがある場合は、暗号化された端末を初期化後、その端末にバックアップデータを反映させることで、感染前の状態まで戻ることが出来ます。

ただし「ネットワーク上の仮想的なバックアップが暗号化されていた」「古いバックアップで、データが消えてしまう」という場合、データが完全に失われる恐れがあるため、この解決方法は推奨できません。

専門業者に依頼する

社内のシステム担当者がむやみに操作すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。

被害調査を最も安全、かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。

フォレンジック調査は、ランサムウェアを使用したサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことができます。

ランサムウェアの復号ツールの探し方、復号ツールを使って復旧する方法、注意点はこちら

ランサムウェア感染時に有効なフォレンジック調査とは

ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています

2022年（令和4年）4月に施行された「改正個人情報保護法」では、不正な目的をもって行われた漏えい事案が発生した可能性がある場合、報告と通知が法人に義務付けられました。

ランサムウェアによる個人情報漏えいは、組織にとって大きなリスクです。情報が外部に流出した場合、適切な措置を講じ、漏えいした情報の種類・経路・件数などを正確に調査する必要があります。仮に命令に違反した場合、最大1億円以下、報告義務違反には最大50万円以下の罰金が科せられます。

改正個人情報保護法に準拠した対応および被害事例はこちら

ランサムウェアの感染対策方法

ランサムウェアの感染対策方法について解説します。

セキュリティパッチの定期更新・運用

セキュリティパッチとは、OSやアプリケーションの脆弱性や問題点を修正する追加プログラムです。

脆弱性や問題点を放置することはリスクが大きいため、OSやアプリケーションの追加ブログラムのチェックを定期的に行うことをおすすめします。

ユーザ権限の厳密化

共通のシステムやリモートデスクトップ等で社内システムにアクセスする際は、特定のユーザに絞り込み・すでにあるルールの見直しを行い、ユーザの権限の厳密化を実現することで悪意を持った第三者からの不正アクセス被害を抑制することができます。

重要なデータの定期的なバックアップ

もしもの場合のために、個人情報に関するデータ・業務に関するデータなど社内の重要なデータは、定期的にオンラインのみならずオフラインでもバックアップを取りましょう。

オンラインのみだとバックアップまで暗号化されてしまうリスクがあります。

また、バックアップを保存するだけではなく、バックアップを復元する手順など事前に確認しすることをおすすめします。

社員教育とインシデント対応計画の策定

サイバー攻撃の危険性やセキュリティの重要性を理解してもらうために、社員を対象に研修や訓練などを開催することで社員のリテラシー教育を行うことができます。

社員のリテラシーが低ければランサムウェアの感染リスクも当然高まります。しかし、予め攻撃手口を知ることで感染につながる行動を避けることができます。

加えてもし、感染してしまったとしても対処方法を知っていると感染被害の拡大を防ぐこともできます。

ウイルス対策ソフトの導入

ウイルス対策ソフトを導入することで、ウイルスを検知・削除を行ってくれるのでおすすめです。簡単に導入でき、コストもお手頃なため、誰にでもおすすめできます。