お問い合わせ
ランサムウェアの被害件数は増加傾向にあり、2021年に入り、特に企業を中心に多数の被害が報告されています。ランサムウェアの被害を受けた場合は、迅速な対応が必要です。
そこで、この記事ではランサムウェアの脅威や実際の被害事例をもとに、被害にあった場合の対処法を解説します。ぜひ参考にしてください。
目次
ランサムウェアとは
ランサムウェアは、ウイルス感染によって、被害者のデータを暗号化し、復号化のために身代金を要求することで、企業の業務に影響を及ぼします。
セキュリティ脅威の第1位
IPA(情報処理推進機構)によると、近年、企業や組織におけるセキュリティ脅威が深刻化しています。その中でも、最も深刻な被害をもたらすのは「ランサムウェアによる被害」です。この被害は、2年連続で1位になっており、企業のセキュリティの脆弱性を狙う脅威が増加しています。今後も企業や組織は、セキュリティを強化することが必要不可欠です。
なお、ランサムウェアに感染すると、業務停止や個人情報漏えいの恐れがあるため、感染した場合は、情報漏えいの有無や感染経路を調査し、関係各所に報告する必要があります。
\相談最短30分で初動対応 緊急相談窓口はこちら/
ランサムウェアの被害件数の推移:被害の過半数は中小企業
ランサムウェアの被害件数は増加傾向にあります。
特に2021年に入り、企業を中心に多数の被害が報告されています。2020年下半期のランサムウェア被害報告件数は21件でしたが、2021年は上半期61件、下半期85件と急増しています。このうち中小企業が全体の被害の54%を占めており、事業規模を問わずランサムウェアによる被害が発生していることが分かります。
出典:IPA
ランサムウェアの感染経路:7割がRDP/VPNの脆弱性
2021年時点でランサムウェの主な感染経路は「テレワーク勤務で利用されるVPN機器からの侵入」(約54%)、「リモートデスクトップ(RDP)からの侵入」(約20%)、「不審メールやその添付ファイル」(約7%)です。この背景にはコロナ禍によるリモートワークの普及があると考えられます。
また、被害額も増加しており、被害者が身代金を支払わずに復旧することが困難になっているケースもあります。ランサムウェアによる被害を防ぐためには、リモートワークに利用される機器や認証システムの脆弱性を考慮し、セキュリティ対策を強化する必要があります。
出典:警視庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
RDP/VPNの脆弱性やインシデント時の調査方法、悪用されないための対策については下記の記事で詳しく解説しています。
ランサムウェア感染時は迅速な対応が必要
2022年4月から改正個人情報保護法が施行
調査を行うべき理由として、2022年に施行された改正個人情報保護法が挙げられます。この法改正では、「1件以上の個人データの漏えい」、ないし「データ漏えいの可能性」がある場合、報告・通知が法人に義務付けられました。
違反した企業には最大1億円以下の罰金が科せられる可能性があります。
感染時の早期対処が重要
ランサムウェアに感染した場合、「漏えいデータを確認する」「脆弱性を調査し、再発を防止する」などの理由により、被害調査が必要不可欠です。
しかし、被害の調査を行う場合、法的知識や専門技術が必要で、自社のみで対応するのは困難です。そのためデジタル端末を分析するフォレンジックの重要度が年々増加しています。
フォレンジック調査はランサムウェア感染時の早期対処において重要な役割を果たします。以下にその理由を簡潔に解説します。
- 被害範囲の特定:フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
- 攻撃手法の解析:フォレンジック調査によって、ランサムウェアの攻撃手法や感染経路を解析できます。これにより、攻撃者の手法や脆弱性を理解し、将来の攻撃を防ぐための対策を講じることができます。
- 証拠の確保:フォレンジック調査では、攻撃の証拠を収集し保管することが重要です。証拠の確保は、法的な措置や法執行機関との連携に役立ちます。また、被害の評価や保険請求のためにも重要な要素となります。
このようにフォレンジック調査による早期対処は、感染拡大の阻止や被害の最小化につながります。重要なのは、迅速に専門家と提携して調査し、効果的な対応を講じることです。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。
24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
\サイバーセキュリティの専門家に無料相談できる/
ランサムウェアの標的事例
ランサムウェアの脅威は非常に広範であり、さまざまな業界や組織に被害をもたらしています。主な標的としては、大企業、医療機関、法律事務所、政府機関など、貴重なデータと多額の資金を持つ「知名度の高い組織」が挙げられます。
以下に、いくつかの代表的なランサムウェアの被害事例を紹介します。
- 医療機関への攻撃
- 金融機関への攻撃
- インフラ(産業制御システム) への攻撃
- サプライチェーンへの攻撃
医療機関への攻撃
ランサムウェアは医療機関にとって特に深刻な脅威です。そもそも医療機関は予算やセキュリティの制約により、セキュリティ対策や最新のセキュリティテクノロジーの導入が遅れていることがあります。これにより、攻撃者はセキュリティの脆弱性を見つけやすく、ランサムウェア攻撃の成功率が高くなります。
これ以外にも、ランサムウェア攻撃者にとって、医療機関が攻撃対象として都合がいい理由はいくつかありますが、大きく分けて「機密性の高いデータを取り扱っていること」、そして「緊急性の高い環境であること」の2点を挙げることが出来ます。
医療機関が狙われる理由① 機密性の高いデータを取り扱っている
まず前者から説明すると、医療機関は大量の重要な患者データや医療データを保有しており、これらのデータは患者の個人情報や医療記録などの機密情報を多く含んでいます。攻撃者は、これら重要なデータを盗んだうえでアクセスをブロックし、身代金の支払いを要求することで利益を得ます。
医療機関が狙われる理由② 緊急性の高い環境
医療機関のシステムは、患者の診断や治療、病院の運営に不可欠ですが、手術室や病院のシステムがランサムウェアに感染すると、「手術や診療の遅延」、「医療機器の利用不能」、「患者の治療の中断」など、深刻な影響が生じる可能性があります。
このような緊急性の高い環境で、患者の健康と安全に最優先する場合、身代金の支払いに屈しやすく、犯罪者はより高額な身代金を医療機関に要求することがあります。
VPNの定義ファイルの更新漏れから感染が拡大した事例
T県のH病院で発生したランサムウェアによる被害では、すべての電子カルテや会計システムがダウンし、数万人分の患者データが暗号化されました。このため、救急患者を含む新規の患者の受け入れを停止し、地域医療に災害レベルのダメージを与えました。この事件では通常診療が2か月以上できず、新規にカルテシステムの再構築を行い、2億円近い費用がかかりました。原因はVPNの更新定義ファイルの更新漏れから感染が拡大したためでした。VPN接続を利用する際は定期的にセキュリティ更新プログラムを適用しておきましょう。
不正アクセスやハッキングなどサイバー攻撃が発生した場合、「フォレンジック調査」で適切な手順に従って証拠を収集し、攻撃に使用された侵入経路や漏えいデータを特定します。
✔どこに依頼するか迷ったら、相談実績が累計32,377件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
金融機関への攻撃
金融機関も頻繁にランサムウェア攻撃の標的となっています。攻撃者は、銀行や金融機関のネットワークに侵入し、重要なデータやシステムを暗号化することで、金融機関の業務を停止させることがあります。さらに、攻撃者は大金を要求することがあり、身代金を支払わなければデータが永久に失われる可能性があると脅迫することもあります。
2017年に発生したWannaCryも、世界中の金融機関に大きな影響を与えました。この攻撃では、多数の銀行のネットワークが感染し、システムが暗号化された結果、金融サービスが一時的に停止し、顧客へのサービス提供にも大きな影響を及ぼしました。
インフラ(産業制御システム) への攻撃
一部のランサムウェアはインフラ(産業制御システム)を狙い、重要なインフラや公益事業に深刻な影響を与えることがあります。
例えば発電所や水処理施設のシステムが感染すると、運用が停止し、大規模停電や供給停止問題が発生する可能性があります。この際、攻撃者は巨額の身代金を要求することがあり、その支払いが行われなければ、インフラへの深刻なダメージを引き起こすことがあります。
たとえば2017年に発生したWannaCryは、世界中の数百万台のコンピュータを感染させ、交通インフラの一部が停止したりするなど、深刻な影響が出ました。
サプライチェーンへの攻撃
ランサムウェア攻撃は、一つの組織だけでなく、その供給チェーン(サプライチェーン)全体にわたって拡散することもあります。
これを「サプライチェーン攻撃」といいます。例えば、サプライチェーン内の小規模な企業が攻撃され、その企業と取引をしている大手企業にも感染が広がる可能性があります。これにより、重要な業務や製品の供給が停止し、大きな経済的損失を招くことがあります。
以下にサプライチェーン攻撃の例とその影響をいくつか挙げます。
ソーラーウィンズ社への攻撃
2020年に起きた、アメリカ合衆国のソフトウェア会社「ソーラーウィンズ」への攻撃は、サプライチェーン攻撃の代表的な例です。
この攻撃ではソーラーウィンズ社のソフトウェアのアップデートプロセスを悪用され、そのソフトウェアを利用している多くの組織に対してバックドアを仕掛けられました。
この攻撃により、大手企業や政府機関など、ソーラーウィンズ社の顧客である数千の組織が感染しました。重要なデータやシステムへのアクセスが制限され、業務の停止や機密情報の漏洩といった深刻な影響が発生しました。
NotPetyaランサムウェア攻撃
2017年に発生したNotPetya攻撃は、ウクライナを中心に広まりましたが、その影響はサプライチェーンを通じて世界中に波及しました。
この攻撃では、ウクライナの会計ソフト「M.E.Doc」にバックドアを仕掛けられ、このソフトウェアを利用していた多くの企業に感染を広げました。その結果、サプライチェーンに関与していた多くの企業が被害を受け、業務停止や機密情報の漏えいが発生しました。
ランサムウェアによる被害の調査を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\相談件数32,377件以上 24時間365日受付/
調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
ランサムウェアの感染対策
ランサムウェアの感染対策として次のものが挙げられます。
- 多要素認証の導入
- EDR等の導入による不審な挙動の早期発見
- VPN機器の脆弱性対策の実施
- データのバックアップ
多要素認証の導入
多要素認証の導入による認証強化により、ユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアを防ぐことができます
EDR等の導入による不審な挙動の早期発見
次に、EDR等の導入により、ネットワーク内の不審な挙動を早期に発見することが重要です。ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合がありますが、これをEDRで早期に発見することで、感染拡大や外部からの侵入の範囲拡大を防ぐことができます。
VPN機器の脆弱性対策の実施
また、VPN機器の脆弱性対策の実施も重要です。VPNを利用する場合には、セキュリティパッチの適用やアクセス制限の設定などを行うことで、攻撃者によるVPNの脆弱性をついた攻撃を防ぐことができます。
データのバックアップ
最後に、データのバックアップも欠かせません。ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることがあります。このため、定期的にバックアップを行うことで、ランサムウェアの被害を最小限に抑えることができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
