近年のランサムウェアの傾向と対策は？効果的なソリューションや運用もご紹介

改めてランサムウェアとは、マルウェア（悪意あるソフトウェア）の一種で、端末やサーバー内のデータを無断で暗号化し、そのデータの復元の条件として身代金などを要求するものを言います。

データの暗号化は攻撃者しか知らないパスワードなどを鍵として行われるので、被害者が自力で復元することは極めて困難です。厄介なのは身代金を払っても約束通り復元されるかどうかはわからない点です。攻撃を受けて暗号化されてしまった時点で、復元するのはかなり難しくなると考えたほうがいいでしょう。

そのため、ランサムウェアによる暗号化への対策は、感染を未然に防止することが最も望ましいです。

ランサムウェアの被害件数は年々増加しており、IPAの調査によると2021年の被害件数は前年の11件から4倍近い39件となっています。そのうち「事業継続を脅かす新たなランサムウェア攻撃」は8件です。この「新たなランサムウェア攻撃」には冒頭で解説した二重の脅迫が該当します。

米国パロアルトネットワークスによると、ランサムウェアの身代金の平均要求額は2020年の約90万ドルから2021年は約220万ドルと倍増。またデータが暴露される二重ランサムウェアの被害件数は、85%増の2,566件に上りました。

ここではランサムウェアの被害事例についてご紹介します。どれも実際にあった事例です。

2022年3月に国内大手自動車メーカーA社の主要取引先企業B社が、ランサムウェアによる攻撃を受けました。

B社は夜に社内サーバーの異常を検知し、安全のためにネットワークを遮断したそうです。するとPCのモニターに脅迫文が表示されたため、専門家に相談した上で、被害の拡大を防ぐためすべてのネットワークを遮断しました。

このことでA社との受発注のやり取りができず、B社は業務遂行が不可能になります。さらに、被害はA社まで波及し、A社の国内工場14箇所の製造ラインがすべて停止しました。結局、翌日に工場はすべて復旧したものの、合計で1万3,000台以上の車両生産が遅延するなど深刻な損害が出ました。

VPN装置が旧型のため、アップデートプログラムが提供されていなかったことが侵入を許す要因となったとされています。

大手映像制作会社であるC社は2022年3月にランサムウェアによる攻撃を受けました。この影響で約1か月の間にかけて通常業務や作品制作の一部に遅延が生じてしまいました。

感染の要因はWeb改ざんによるものとされています。同社が業務上必要とするソフトウェアを外部のサイトからダウンロードした際、侵入の起点となるソフトウェアも同時にダウンロードされるよう、ダウンロード先のサイトが不正に改ざんされていました。

2016年、米国の医療機関D社がランサムウェアの攻撃を受けました。同院の職員がランサムウェアの組み込まれたメール添付ファイルを開封し、Lockyと呼ばれるランサムウェアに感染したことが要因とされています。

Lockyはすべてのデータを瞬く間にコピー、暗号化した後、元のデータを削除。同時に、院内ネットワーク内で感染を広げ始め、PC全台の電源をオフにしなければ感染拡大を阻止できない事態に陥りました。

最終的にD社は攻撃者からの身代金の要求に応じ、440万ドルを支払っています。システムの復旧はできたものの、警察当局の介入や役員が議会に呼ばれて弁明に追われるなど、会社のイメージを大きく損なう羽目になりました。Lockyは日本を標的にしているケースも多くあり注意が必要です。

近年、ランサムウェアを含めた企業へのサイバー攻撃が激化しているのは、オフィス環境の変化に要因の1つがあります。

長きにわたるコロナ禍と働き方改革により、ハイブリッドワークが急速に普及したことは周知の事実です。ハイブリッドワークの普及は情報セキュリティ対策の変化ももたらしました。

今までのオフィス環境では、業務遂行のために必要な端末やサーバーはほとんどが社内にありました。よって、社内LANのようなローカルネットワークとインターネットを接続する境界に防護壁（ファイアウォールなど）を設置し、外部の脅威から内部を守るセキュリティ対策が主流でした。

しかしハイブリッドワークの普及やSaaSの利活用が進む中で、社内と社外の境界線は曖昧になりつつあります。加えて、昨今はSSL-VPNの脆弱性を悪用した攻撃や、侵入後の水平展開（ラテラルムーブメント）攻撃など、その攻撃手法も多様化しています。従来の境界型防御だけでは、もはや脅威に対応しきれなくなっているのです。

そのため、不正アクセスやマルウェア感染が起こり得ることを前提とした、新たな対策が急務となっています。

上記を踏まえて、現在は「ゼロトラスト」というセキュリティ概念も主流となってきました。ゼロトラストとは「信頼（Trust）を何に対しても与えない（Zero）」という前提に立ってセキュリティ対策に取り組むというものです。

具体的にはユーザーに必要最低限の権限しか与えない、常に信用せず複数の要素を用いて検証・判断する、どれだけ信用できるかによって与える権限を変更するなどです。そして社内外問わず同一のセキュリティレベルを担保していくことが重要です。

例えば、多要素認証を使ったユーザー認証、ユーザーやデバイスの属性に応じて認証・認可を実現するサービス（ZTNA）などがこれに該当します。

ゼロトラストの概念を踏まえ、ランサムウェアへ対策するには、感染しないための予防策はもちろん、感染後を想定した対策も必要です。

（1）セキュリティ対策ソフトの導入

ランサムウェアの感染予防の基本はセキュリティ対策ソフトの導入です。しかし、昨今の巧妙なサイバー攻撃では、従来型のパターンマッチングによるセキュリティ対策ソフトでは検知できないケースも増加しています。

たとえば、ゼロデイ攻撃という攻撃方法があります。ゼロデイ攻撃とはソフトウェアに脆弱性が見つかった際に、日を空けずにその脆弱性を突いた攻撃をする手法のことです。従来のセキュリティ対策ソフトは、ウイルス定義ファイルにウイルスの詳細が掲載されて初めて効果を発揮します。脆弱性が発見されてすぐに攻撃されると、まだウイルス定義ファイルが更新されておらず、セキュリティソフトが検知できない可能性があります。

これに対応するには、NGAVやEDRなどウイルス定義ファイルを用いないセキュリティ対策とも組み合わせることが必要です。

（2）OSやアプリケーションを最新に保つ

ランサムウェア対策の基本はOSやアプリケーションのバージョンを最新に保つことです。OSやアプリケーションは脆弱性が潜んでおり、リリースから時間が経ってその脆弱性が発見されることが多々あります。その場合はセキュリティ対策パッチがリリースされます。しかし、ユーザーがプログラムを更新しないまま古いバージョンを使っていると、脆弱性がそのままになってしまうのです。

（3）パスワード管理の徹底、多要素認証の導入

パスワード管理の徹底や多要素認証の導入も基本的なことですが、非常に重要なセキュリティ対策です。

たとえば「123456」「qwerty」など、法則性のあるパスワードではすぐに破られてしまいます。また、「sakura」「banana」「password」など辞書に載っている言葉もすぐに破られます。パスワードは十分に桁数が長く、ランダム性のあるものにしましょう。

合わせて、多要素認証も可能な限り導入しましょう。多要素認証とは複数の手法を組み合わせた認証方法のことです。たとえばSMS認証、ワンタイムパスワードトークン、生体認証などがこれに当たります。

（4）従業員への啓もうやトレーニング

いくら優れたセキュリティ体制を構築しても人間のセキュリティ意識が低ければ意味がありません。ランサムウェアなどの標的型攻撃は、多くの場合メールに偽装して社員に送信されます。その差出人は社員が良く知る取引先や関係者、よく利用するサービスなどに偽装されており、社員は疑いも無く開いてしまい、感染します。

IT環境のセキュリティ対策だけでなく、啓もう、トレーニングによる「人」に着目したセキュリティ強化によって「IT」と「人」の両輪を回していくことが重要です。

（5）セキュリティポリシーの明確化

セキュリティ対策はルールとして明文化しないと意味を成しません。なぜなら、いざというときに行動の指針が無ければどのように対処してよいのかわからないからです。部門間で対策意識の齟齬が生じないように会社全体としてのセキュリティポリシーを明文化しておきましょう。

セキュリティポリシーは一般に以下のような項目を策定します。

• 守るべき情報資産
• 対象者の範囲
• 適用期間
• 基本方針
• リスク分析
• 実施基準と対策内容
• 運用体制（責任者、担当者、役割分担）
• 違反時の罰則

（1）バックアップ

ランサムウェアへの対策にはバックアップがとくに有効です。攻撃者により無断で暗号化されてもバックアップがあればそれを使って復元できます。

しかし、バックアップそのものが攻撃者により暗号化されないようにしないといけません。バックアップによる防衛の失敗事例の多くは、感染したシステムからアクセスできる場所にバックアップを保存していたため、暗号化されてしまったというものです。

たとえば以下のような場所に保存しているとバックアップも暗号化されてしまう恐れがあります。

• 端末やサーバーの内蔵ドライブ、接続された外付けドライブ
• 端末やサーバーから接続されたネットワークドライブ
• VSSスナップショット

バックアップ先がネットワークやUSBなどで接続されていると攻撃者がアクセスできる可能性があるので、サーバーや端末からアクセスできない環境にバックアップを保存しておくことが重要です。

また、安全なバックアップのルールとして3-2-1ルールというものがあります。これは以下のようなルールです。

• マスターを含め3つのデータコピーを持つ
• 2つの異なる形態のバックアップを取る（バックアップサーバー、クラウドなど）
• 1つはオフサイトに取る（テープ保存、クラウドなど）

さらに、バックアップを取る対象データや、保存期間も重要です。バックアップはユーザーが作成したファイルだけではなく、システム復旧に必要なデータもすべてバックアップしましょう。また、ランサムウェアのなかには潜伏期間の長いものがあります。最低でも数ヶ月は保存しましょう。数週間程度ではバックアップデータの中にランサムウェアが潜んでいる可能性があるため、不十分です。

（2）SOCなどの体制や相談先の確保

SOC（セキュリティオペレーションセンター）とはサイバー攻撃、とくにランサムウェアなどの標的型攻撃の検出と分析を行い、企業に対策の提言を行う専門的な組織です。大きな企業なら自社内に組織を持ちますが、人的リソースが限られている場合は外部の専門企業に依頼することが多いです。

従来、このような業務は企業の情報システム部門やシステム担当者が担ってきました。しかし、昨今は攻撃手法の巧妙化に伴い、求められるセキュリティ対策も高度化していることから、より専門的なセキュリティに関する知見が必要とされています。

外部のSOCはそのような専門知識をもつ頼もしい味方となります。

ランサムウェア対策にあたっては、攻撃手法を踏まえた総合的な対策と運用をセットで考えていくことが不可欠です。ここでは、ランサムウェア対策に有効なソリューションをいくつか紹介します。

ランサムウェアの中でとくに大きな被害をもたらすのが、二重脅迫型ランサムウェア攻撃あるいは多重脅迫型ランサムウェアと呼ばれるものです。このタイプは機密情報を搾取してから暗号化を行うことが多く、不特定多数ではなく特定の組織を狙う標的型攻撃のアプローチをとるケースも増えています。

攻撃のプロセスとしては、メールの添付ファイルやSSL-VPNの脆弱性を悪用し社内環境に「侵入」。マルウェアの拡散や不正アクセスの横展開を行います。そして多くの機密情報を扱うことができる「特権IDを奪取」し、最終的にはC&Cサーバーなどを通じ「情報を外部に持ち出す」という3段階の攻撃プロセスを実行されることが多いです。

ランサムウェアの侵入時に使えるツールやソリューションは以下の通りです。

• EDR(Endpoint Detection and Response)：端末内でのランサムウェアの挙動を把握。水平展開（ラテラルムーブメント）を検知できるため、システム管理者が感染範囲を特定しやすい。
• NGAV(Next Generation Anti-Virus)：マルウェアに特有の挙動に着目して検知する。
• SWG(Secure Web Gateway)：社外ネットワークへのアクセスを安全に行うためのクラウド型プロキシー。
• SOC （Security Operation Center）：セキュリティの専門家が24時間、365日、高度な監視を行うサービス。侵入後のログ収集や分析を行う。

ランサムウェアが特権IDを奪取するのを防止するには特権IDソリューションを利用します。特権IDとは一般ユーザーとは異なり、あらゆる操作権限を持った管理者アカウントを指します。例えば、Administratorやroot権限と呼ばれるものが該当します。特権IDを奪われると機密性の高いデータへのアクセスを許してしまいます。

特権IDソリューションは特権IDを管理するためのツールで、以下のような機能が付属しているものです。

• ID登録申請
• ユーザー管理
• アクセス権設定
• サーバーへのアクセス制御
• 共有IDの利用権限設定
• ログ保存・監査

また上に挙げた特権IDの利用申請や管理の記録、運用効率化だけでなく、不正アクセスを検知する仕組みを備えたソリューションも近年、台頭しています。

外部への情報持ち出しを検出するにはUEBAが有効です。UEBAはUser and Entity Behavior Analyticsの略称で、該当ユーザーの振る舞いデータを定常的に取得・分析することで不自然な行動を検出するソリューションです。これにより例えば、普段利用しないファイルサーバーへのアクセスやC&Cサーバーへのファイルアップロードなどを検出できます。

UEBAのログソースとしてはNGAV、EDR、SWG、特権ID管理やNWログなどです。これらの情報を活用して総合的に分析することで検知精度を高めます。

もちろんこれらは外部から侵入してきた攻撃者だけでなく、内部犯による情報持ち出し（内部脅威）にも対応できます。

上記3つの対策は、SSL-VPNの脆弱性、メールや改ざんしたWebサイト経由での攻撃に対しても共通して有効な対策と言えます。

3-2-1ルールをとることで、データの損失を最小限に防ぐことができます。また、ストレージのWORM機能（Write Once Read Many）を有効化することで、データの書き込みは1回限り、それ以降は読み取り専用となり、ランサムウェアによる悪意のある操作を防ぐ、といったバックアップ対策のソリューションになります。

万が一ランサムウェアに感染しても落ち着いて対処すれば被害を最小限に食い止められます。感染してしまった場合の対処法6つを以下に解説します。

まず感染が発覚したら、感染の可能性があるすべての端末やサーバーのネットワークへの接続を遮断しましょう。ネットワークに繋がっていると感染が拡大してしまうので、感染しているエンドポイントを隔離するのです。

Wi-Fiで繋がっているならWi-FiをOFFにし、LANで繋がっているならば物理的にLANケーブルを引き抜いて遮断します。

感染状況を確認し、3-2-1ルールで取得したバックアップの中から安全で最も新しいクリーンバックアップを活用しシステムを復旧させた後、業務を再開しましょう。

SOCなどの専門家がいる場合は、影響範囲の特定や感染経路・原因の分析を行うフォレンジックなどを含めそちらに相談します。居ない場合は以下の専門機関に相談してください。

JPCERT/CC インシデント対応相談
https://www.jpcert.or.jp/form/

また、警察にも通報しましょう。

警察庁 都道府県警察本部のサイバー犯罪相談窓口一覧
https://www.npa.go.jp/cyber/soudan.html

ランサムウェアに感染すると攻撃者から身代金を要求されることが多いです。しかし、身代金要求には応じないようにしましょう。なぜなら「この企業は脅迫すれば金を出す」と攻撃者が認識してしまうからです。第二第三の攻撃につながる恐れがあります。攻撃者との取引には応じるべきではありません。相手は貴社を攻撃して金銭を奪おうとしているのであり、支払いに応じることで必ずデータを復元できる保障もありません。

ここまで記載してきたツールで、あまねくランサムウェアを抜本的に駆除までできるかは怪しいです。よって、「フォレンジックなどを活用し、攻撃の影響範囲や感染経路を特定した上で、アンチウイルスやクライアントPCのクリーンインストールなどを通じてランサムウェアを駆除しましょう。

欧州刑事警察機構などが立ち上げた「No More Ransom」という国際プロジェクトがあります。これはランサムウェアの撲滅を目的として立ち上げられたプロジェクトであり、ランサムウェアによって暗号化されたデータを復号（復元）するツールを提供しています。

復号ツールはWebサイトから誰でもダウンロードできますが、ランサムウェアの種類によっては対応していないのと、対応するツールがあっても必ず復号できるとは限らない点に注意が必要です。

ランサムウェアは近年急増しており、暗号化による業務停止にとどまらず、情報漏えいも同時にもたらす特徴があり、非常に悪質な攻撃です。ランサムウェア対策は1つのソリューションを導入すれば終わりではなく、入口対策、事後対策をはじめとした総合的な対策と実行性のある運用体制をセットで考えていくことが重要です。

NTTコミュニケーションズでは、ランサムウェア対策に関するソリューションを提供しております。お気軽にご相談ください。