セキュリティの話になると耳にする機会の多い「ランサムウェア」ですが、これは一体どのような存在で、なぜ「脅威」だと言われているのでしょうか。
今回はITやセキュリティ対策について初心者の方はもちろん「よく名前は聞くけれど、詳しいことは分からない」という方に向けて、ランサムウェアの概要と特徴をご紹介します。
ランサムウェアについて
ランサムウェアは、マルウェアの一種です。
マルウェア(Malware)はコンピュータに悪事を働くソフトやコードの総称で、PC等のデバイスへ不正にアクセスし何かしらの害を及ぼします。一般的に知られている「コンピュータウイルス」も、このマルウェアのうちのひとつです。
そして近年問題になっているのが、マルウェアのなかでも悪質な実害をもたらす「ランサムウェア」です。
「ランサム」とは「人質を解放するための身代金」を意味しており、PC(データ)を人質にとって仕事を妨害し、その解放を条件に身代金を要求することから、ランサムウェアと呼ばれています。企業・組織は、ランサムウェアの脅威への対策の必要性が高まっています。
ランサムウェアの特徴
感染経路
よくある感染経路には、以下の3つが挙げられます。
①Webサイト
Wordpressを始めとしたCMS(コンテンツ・マネジメント・システム)の改ざんによって、脆弱性を攻撃する不正サイトへの誘導を促します。サイトに表示されているインターネット広告にランサムウェアが紛れ込んでいる場合があります。
②リモートデスクトップ
リモートデスクトップは、自宅のPCなどから遠隔地にあるオフィスのホストPCを操作できる技術のことです。リモートデスクトップを感染経路として用いるランサムウェアとして「Phobos」が、2020年9月頃から急増しており、日本国内においても深刻な被害をもたらしています。
③メール
いわゆるフィッシング詐欺のように、スパムメールやなりすましメールを送ってきてリンクや添付ファイルを貼り、アクセスしたPCをランサムウェアに感染させます。
典型的な動作
種類は様々ですが、ランサムウェアに感染した際は以下のような動作が一般的です。
・PCを感染前の状態に戻すことと引き換えに金銭の支払いを要求する画面が表示される
例:「このデータを返してほしければ○日以内に△△を支払え」という脅迫文
・ランサムウェアが活動開始すると、感染PCの特定機能を無効化し操作不能にする、もしくはデータファイルを暗号化し利用不能にする、などの活動が行われる
仮想通貨での支払い
ランサムウェアのもうひとつの特徴としては、身元を隠しやすいビットコインでの支払い要求が多いということです。
つまり、支払ってしまった後に警察に通報したところで、犯人は既に雲隠れしてしまっており泣き寝入り…というパターンが多いのです。
ランサムウェアが影響する範囲
ランサムウェアが影響する範囲は、システム、業務、金銭的被害、そして情報流出による社会的信用の失墜にまで及びます。具体的な被害について、ここでご紹介します。
◾システム上の被害
感染PCの有効な操作ができなくなる、さらに感染PC内のファイルやネットワーク共有上のファイルが暗号化されて(ランサムウェアの駆除を行っても暗号化されたまま残る)利用できなくなる、などといったハードウェアやOSの被害
◾業務上の被害
システムがダウンし業務が停止する被害
◾金銭的被害
要求された「身代金」を支払うことによる金銭的な被害
◾情報漏洩
機密データが窃取されインターネット上で公開されるなどの情報流出、それに起因する社会的信用の失墜
加えて、ランサムウェアの攻撃を受ける業種によっては人命に関わることもあります。
感染しない為の防止対策と対処方法
防止対策
ランサムウェアに感染しない為には大きく分けて2つのアプローチが必要です。未然の防止策と、感染に備えた被害拡大を防ぐ対策です。
・攻撃者の初期侵入を防ぐ(未然防止策)
①電子メール等への警戒
知人や取引先からのメールと思える場合でも、送信元への確認を行うなど真偽を確かめる。不用意に添付ファイルを開いたり、URLをクリックしたりしないようにする。
②OS等の脆弱性対策
更新ファイル、パッチ等を適用して、常に脆弱性対策を怠らないこと。
③ウィルス対策ソフトの導入
ウィルス対策ソフトを導入、更新することでマルウェアやハッキングツール等を利用されるリスクを減らす。
④パスワードなどの認証情報の管理
パスワードは簡単な文字列の組み合わせではなく、数字・大文字・小文字・記号などを組み合わせてできるだけ文字数を増やすようにする。また2段階認証を取り入れることで、認証手段を強固にする。
・侵入後の被害発生を防ぐ(侵入を前提とした対策)
①アクセス権等の権限の最小化
攻撃者はネットワークに侵入後、強力な権限を得ようとするので、各ユーザーアカウントに割り当てる権限などは必要最小限にする。
②ネットワークの監視
ネットワーク内に侵入された場合に早期発見できるよう、ネットワークの異常を検知できる態勢を整える。
対処方法
万が一、ランサムウェアに感染した場合は「封じ込め」「根絶」「影響範囲の特定」などのインシデントレスポンスを的確に行うことで、被害を最小限に抑えられます。
・封じ込めと根絶
ランサムウェアを封じ込め、根絶するためにはインターネットを切断し、被害システムを隔離し、調査することが必要です。ただ業務システムも停止してしまうので、多大な影響が生じます。前もってポリシーを策定し、感染後からシステムの停止、調査をどのように行うのか決めておきましょう。
・影響範囲の特定
ランサムウェア被害を受けているデータ、不審な通信により遠隔操作を行っている端末、盗取された情報を可能な限り特定します。
まとめ
ウィルス対策、未知の脅威対策、Webフィルタリング、バックアップなど、ランサムウェアの被害を防ぐために必要な対策は、いずれも特別なものではありません。
ランサムウェアは今後もさらに悪質なものへアップデートされることが予想されます。 自社の大事な情報と金銭だけでなく社会的信用まで奪われてしまわないよう、知識と対策をとり備えておきましょう。