ランサムウェアは、悪意を持った攻撃者によって使用されるマルウェアの一種で、データを暗号化し、復元のために身代金を要求するサイバー攻撃です。本記事では、ランサムウェアの感染拡大の仕組みについて詳しく解説し、対策方法についても触れていきます。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

ランサムウェア感染拡大のメカニズム

ランサムウェアは、初期感染の後にネットワーク内で急速に拡大します。このセクションでは、感染拡大の主なメカニズムについて説明します。

ネットワーク経由の自動感染

ランサムウェアの多くは、感染したデバイスから同一ネットワーク内の他のコンピュータへ自動的に拡散します。

ネットワーク内の脆弱性を利用して、ファイルやデータを暗号化するためです。ネットワーク共有フォルダや、管理者権限があるコンピュータは特に狙われやすくなります。

ネットワーク経由の感染は、通常、攻撃者が1つの端末に侵入した後、その端末からネットワーク全体に感染を広げる自動化されていることが多いです。

Windows SMB（Server Message Block）の脆弱性がよく利用されます。例えば、「EternalBlue」という攻撃手法は、WindowsのSMBプロトコルに存在する脆弱性を悪用して、ネットワーク全体に感染を広げることが確認されています。

この攻撃手法を利用した代表的なランサムウェアとして、2017年に世界的に大きな被害をもたらした「WannaCry」があります。

このような攻撃を防ぐためには、最新のセキュリティパッチを適用することが非常に重要です。システムやソフトウェアの脆弱性を悪用されないよう、定期的な更新が必須となります。

Active Directoryの悪用

Active Directory（AD）は、Windows環境でユーザーやコンピュータの管理を行うためのシステムであり、多くの企業や組織で利用されています。

攻撃者がADに侵入し、管理者権限を奪取することができると、組織全体のシステムがランサムウェアに感染する可能性が高まります。ADの権限を掌握された場合、攻撃者は新しいユーザーアカウントを作成し、ネットワーク内の他のコンピュータやサーバーに自由にアクセスできるようすることが多いです。

特に、ADのドメインコントローラが乗っ取られると、攻撃者は全社的な権限を持つことになり、全てのデバイスやデータにアクセス可能となります。

このような攻撃を防ぐためには、ADの管理者権限を厳重に管理し、多要素認証（MFA）を導入することが重要です。さらに、ログを定期的に監視し、不審な動きがないかチェックすることも有効な対策です。

内部での横展開

ランサムウェアが組織内に侵入した後、感染をさらに拡大するための手法として「横展開（ラテラルムーブメント）」が使われます。

「横展開（ラテラルムーブメント）」は、攻撃者が一度特定のコンピュータに侵入した後、ネットワーク内の他のコンピュータやサーバーにも感染を広げることを指します。攻撃者は、ネットワーク管理者や高権限ユーザーの資格情報を盗み出し、内部システム全体にアクセスできるようになります。

例えば、「Emotet」や「TrickBot」などのマルウェアは、侵入後に他の端末に感染を拡大するために横展開の手法を利用します。これらのマルウェアは、標的のネットワーク内を移動し、より多くのシステムに感染させることで、被害を拡大させます。

横展開を防ぐためには、ネットワークセグメンテーションを行い、重要なシステムやデータベースに対するアクセスを制限することが有効です。また、特権アカウントの使用を最小限にし、必要な場合にのみアクセスを許可することで、攻撃の範囲を狭めることができます。

リムーバブルメディアの利用

ランサムウェアの感染拡大には、USBメモリや外付けハードドライブなどのリムーバブルメディアが利用されることがあります。

特に、外部のデバイスを頻繁に利用する企業や組織では、これらのデバイスを通じた感染のリスクが高まります。ランサムウェアに感染しているリムーバルメディアを使いまわすことで、ランサムウェアは自動的に広がり、ネットワーク全体に感染を拡大させる可能性があります。

リムーバブルメディアを使用する際には、ウイルススキャンを徹底し、未知のデバイスを安易に使用しないよう従業員に教育することが重要です。

ランサムウェア被害は調査会社に相談する

ランサムウェア調査会社への相談方法

＼法人様　最短30分でお打合せ可能です／