企業のデジタル資産を一瞬にして人質に取り、事業継続を脅かす「ランサムウェア」。この脅威は年々高まり、攻撃の規模と頻度そして被害金額が急増しています。
日本ネットワークセキュリティ協会(JNSA)の調査報告によると2023年日本国内においてランサムウェアの平均被害金額が2,386万円に上り、経済産業省が発表している中小企業の平均年間売上の10分の1という高い水準に推移しています。
1ヶ月以上の売上が失われかねないため、ランサムウェアによる脅威はもはや看過できない深刻な経営リスクとなっています。
この記事では、ランサムウェアの基本的な仕組みから具体的な被害、感染経路、そして効果的な対策までを詳しく解説します。ランサムウェアの脅威から自社のデジタル資産を守るためには今すぐ行動を起こす必要があります。
ランサムウェアについてマンガ資料にまとめたのでこちらからダウンロードしてください。
ランサムウェアとは?
ランサムウェアとは、企業や組織が保有するデータを暗号化し、データ復号の代償として身代金(ランサム)を求めるマルウェアです。
攻撃者はネットワーク機器やシステムの脆弱性を狙いランサムウェアを仕掛けます。ランサムウェアに感染した端末やサーバに保存されているデータを暗号化し、利用不可能な状態に陥れます。そして攻撃者は、データを復元するために企業に対して金銭や暗号資産などの支払いを求めます。
ここではランサムウェアの仕組みについてより詳しく解説します。
ランサムウェア攻撃の仕組み
ランサムウェア攻撃において、通常は4段階のプロセスがあります。
まずは「初期侵入」の段階です。攻撃者が標的となる企業の内部ネットワークに侵入します。主な侵入経路として、VPN機器やリモートデスクトップサービスの脆弱性を悪用したり、不審メールやその添付ファイルを利用したりします。
次に、「内部活動」の段階に入ります。内部ネットワークへの侵入に成功した攻撃者は、遠隔操作ツール(RAT、Remote Access Tool)を使用してできる限り強力かつ多くの権限を獲得します。
続いては「情報持ち出し」の段階です。十分な権限を取得した攻撃者は、ネットワーク内の機密情報やデータを窃取し自分自身のサーバにアップロードします。
最後は「ランサムウェア実行」の段階となります。データのアップロードが完了すると、攻撃者が被害組織のネットワーク全体にランサムウェアを実行して、保存されているデータを暗号化します。その後、対象の端末に身代金要求画面を表示させ、脅迫を開始します。
この一連のプロセスにより、攻撃者は企業のデータを人質に取り、身代金を要求します。
ランサムウェア攻撃の被害
ランサムウェア攻撃による被害が非常に深刻になってきています。情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」では、ランサムウェアによる被害が4年連続で1位、9年連続で10大脅威に数えられています。
ここでは、ランサムウェア攻撃における具体的な被害について解説します。
業務やサービスの停止
ランサムウェア攻撃による最も直接的かつ深刻な被害の1つが、業務やサービスの停止です。攻撃者によって業務に使われるデータが暗号化されたり、端末やシステムがロックされたりして、企業の通常業務やサービス提供の停止がやむを得ない状況になります。
特にECサイトや金融系サイトなどリアルタイム性を重視するビジネスの場合、ランサムウェア攻撃による影響がより甚大となります。わずか数時間のサービス停止でも売上に直接的かつ大きなダメージを与えます。
また、被害が長期化するケースも少なくありません。2022年10月に大阪の拠点病院がランサムウェア攻撃を受けて、電子カルテを含めた重要なシステムが暗号化されたため、病院は外来診療を2か月間も停止せざるを得ない状況に追い込まれました。
サービス停止が売上に直接影響する問題となるので、被害に遭わないようにランサムウェア攻撃への対策をしっかり整える必要があります。
金銭的な被害
ランサムウェア攻撃を受けた場合、暗号化されたデータを復元するための身代金(ランサム)が求められます。過去には高額な身代金が請求された事例もあります。
海外の事例になりますが、2021年にアメリカの保険企業がランサムウェア攻撃の被害に遭った際には、合計4,000万ドル(約44億円)の身代金を支払いました。
ここで注意すべきなのは、たとえ身代金を支払ったとしてもデータの復元がされない可能性も十分にあります。そもそも犯罪者が約束を守る保証はないので、支払い後もデータが復元されない事例もよく耳にします。
そのため、身代金の支払いは推奨されておらず、代わりにバックアップからの復旧のような対策が必要です。ただし、調査やシステム・データの復旧には費用と時間がかかります。
警察庁の統計によると、ランサムウェア攻撃を受けた企業の約半数(46%)が、調査や復旧に1,000万円以上の費用を要したと報告されています。さらに、顧客データが流出してしまった場合には、その補償金の支払いや信用回復のための追加コストなども発生します。
こういった金銭的被害は、企業の財務状況を直接的に脅かすだけでなく、長期的な事業計画や投資にも影響を及ぼす可能性があるので、ランサムウェア攻撃を未然に防ぐ必要があります。
情報漏えい
近年、「二重脅迫型ランサムウェア」が増加し、被害が増えています。2024年6月に国内大手のエンターテインメント企業がランサムウェア攻撃を受けて、全従業員や関係会社の一部従業員の個人情報をはじめ、取引先との契約書や取引先の個人情報まですべてが流出して波紋を広げています。
二重脅迫型ランサムウェアとは、データを暗号化したうえ、窃取したデータを外部に公開すると脅迫して身代金を要求するランサムウェアです。
身代金の要求に応じなかった場合、企業のデータが攻撃者によってWebサイトで公開されたり、ダークウェブでオークション販売されたりして、機密情報や顧客の個人情報が第三者の手に渡ってしまいます。
ここで注意すべきなのは、たとえ身代金を支払ったとしても、盗まれた情報が公開されない保証はないということです。情報漏えいのリスクを抑えるためには、ランサムウェア攻撃を未然に防ぐことが重要です。
さらに三重脅迫や四重脅迫の可能性も!
ランサムウェア攻撃の手法は日々進化しており、二重脅迫にとどまらず、三重脅迫や四重脅迫などのケースも出てきているので注意が必要です。
三重脅迫の場合、データの暗号化と公開の脅迫のうえ、攻撃者がランサムウェア攻撃で乗っ取ったシステムを踏み台として第三者にDDoS攻撃を行います。三重脅迫によりランサムウェア攻撃の被害者が加害者になってしまう恐れがあります。
さらに四重脅迫の場合、被害が親会社や関連会社、取引先、サプライチェーン関係者に広がる恐れがあります。
三重や四重脅迫により、企業の社会的イメージや関連会社からの信頼が大きく損なわれる可能性があり、長期的かつ広範囲にわたる影響が懸念されます。
ランサムウェアの主な感染経路3つ
ランサムウェア攻撃から企業を守るには、その感染経路をしっかり理解し適切に対策する必要があります。
ここでは、警察庁が発表した統計報告からランサムウェアの主な感染経路3つを解説します。
VPN機器からの侵入
ランサムウェア攻撃の感染経路として最も多いのがVPN機器からの侵入です。警察庁の統計によると62%のランサムウェア攻撃の起因がVPN機器によるものです。
VPN(Virtual Private Network)とは仮想専用通信網のことで、名前の通り、離れた拠点間を仮想的な専用線でつないで通信できるようにする仕組みです。VPNを利用することで離れたところから特定のサーバやパソコンにアクセスし遠隔操作することができます。
ただし、VPN機器に脆弱性がある場合、攻撃者がその脆弱性を悪用しVPN機器経由で企業のネットワークに侵入することができます。
リモートワークの普及に伴いVPNの利用が不可避となりつつありますが、攻撃者に悪用されないようにVPN機器のセキュリティパッチを常に適用したり、利用者に強力なパスワードを設定するように伝えたりして、適切な対策を講じる必要があります。
脆弱性について資料にわかりやすくまとめたので、詳しく知りたい方はこちらよりダウンロードしてください。
リモートデスクトップからの侵入
続いて多いのがリモートデスクトップからの侵入です。警察庁の発表によればこの経路は全体の19%を占めています。
リモートデスクトップとは、手元の端末で遠隔地のパソコンをネットワーク経由で操作する技術です。社外から社内のパソコンを遠隔で操作することができるので、リモートデスクトップがテレワークをはじめさまざまな場面において活用されています。
Windowsのパソコンの標準機能となったため、リモートデスクトップの導入はしやすいですが、セキュリティリスクにも注意すべきです。パソコンが乗っ取られた場合、その中に保存されたデータが攻撃者に漏えいしてしまう恐れだけでなく、乗っ取られたパソコンがほかの攻撃に使用される可能性もあります。
ランサムウェア攻撃の被害に遭わないために、リモートデスクトップを使用する場合、強力なパスワードの設定や多要素認証の導入、またはセキュリティサービスの導入などのセキュリティ対策を講じる必要があります。
不審メールやその添付ファイル
ランサムウェア攻撃の感染経路として3番目に多いのが、不審メールやその添付ファイルによる侵入です。警察庁の統計によると、この経路は全体の11%を占めています。
攻撃者は不特定多数の人にランサムウェアを仕込んだ電子メールを配信します。受信者がメール本文のURLをクリックしたり、添付ファイルを開いたりすると、ランサムウェアに感染してしまいます。
さらに近年では、実在する企業や人の氏名、メールアドレス、メールの内容の一部を悪用して攻撃に使われる事例があります。
攻撃の手口がより巧妙になりつつあるので、より高度な対策が求められます。セキュリティサービスの導入だけではなく、不審メールの見分け方の社内トレーニングの定期実施や、添付ファイルやURLの安全性を確認する習慣づけなど、企業全体でのセキュリティ意識を向上する対策も必要です。
ランサムウェアに効果的な対策
ランサムウェア攻撃の被害を最小限に抑えるためには、適切なセキュリティ対策を事前に講じておくことが非常に重要です。
ここでは、企業がランサムウェア攻撃からデジタル資産を守るために実施すべき主要な対策について詳しく解説します。
脆弱性管理をしっかり行う
先述の通り、VPN機器やリモートデスクトップサービスなどの脆弱性を悪用し、ランサムウェア攻撃を仕掛けることが多いため、脆弱性管理をしっかり実施することが必要不可欠です。
脆弱性管理とは、企業が使用しているソフトウェアやシステムに存在するセキュリティ上の欠陥(脆弱性)を特定し、その影響を分析して適切な対応策を講じる一連のプロセスです。
脆弱性管理を実施することで企業のシステムに影響を与える可能性のある新しい脆弱性をすぐに発見でき対処することができます。脆弱性を迅速に塞ぐことで攻撃者の侵入経路を切断することができ、ランサムウェア攻撃を受けるリスクを減らすことができます。
脆弱性管理について詳しくはこちらの記事:
脆弱性管理とは?必要性やプロセス、自動化についてもわかりやすく解説!
定期的にバックアップを取る
ランサムウェア攻撃の備えとして定期的なバックアップの実施が重要です。万が一攻撃を受けてデータが暗号化されたとしても、バックアップから復元することができるため、業務やサービス提供の停止によるランサムウェア攻撃の被害を最小限に抑えられます。
ここで気を付けてほしいのがバックアップの保管場所です。同じネットワークに保管している場合、ランサムウェア攻撃により暗号化され使用できなくなる可能性があります。そのため、バックアップをネットワークから切り離したところやオフラインで保管するのがおすすめです。
従業員のセキュリティ意識の強化
ランサムウェア攻撃の対策として、技術的な対策と同様に重要なのが従業員のセキュリティ意識の強化です。
例えばパスワードの管理です。初期設定のままのパスワードや、「password」、「qwerty」、「12345678」といった推測しやすいパスワードの使用は避けて、代わりに大文字・小文字・数字・記号を組み合わせた、文字数の多いパスワードを設定するルールにすべきです。さらに、多要素認証の導入もすべきでしょう。
また、不審メールへの対策も重要です。知人や企業からの正規のメールに見えても不正メールの可能性があります。送信元や本文をしっかり確認したり送信者への確認を取ったりすることで、不正メールを見分けられるように社内研修を行うことが大切です。
定期的なセキュリティ教育や訓練を社内で実施することで、従業員のセキュリティ意識を強化しランサムウェア攻撃によるリスクを大幅に軽減することができます。
脆弱性管理なら脆弱性管理ツール「SIDfm」
ランサムウェアの事前対策として、脆弱性管理をしっかり実施することが非常に重要です。しかし、日々新たに発見される脆弱性情報を収集し、適切に対応していくのに工数がかかるので、簡単ではありません。
脆弱性管理を効率的に行うために、脆弱性管理ツール「SIDfm」の活用がおすすめです。
SIDfmを利用することで、自社環境に必要な脆弱性情報だけを受け取り、対応が必要かどうかもすぐに判断できるようになり、担当者の業務工数が大幅に削減できます。