IT担当者の中には、社内ネットワークのセキュリティ強化のために、近年猛威を振るっているランサムウェアについて知りたいと考えている方も多いのではないでしょうか。本記事では、ランサムウェアの概要や感染経路、感染対策などをご紹介しますので、ぜひ参考にしてください。
ランサムウェアとは?
ランサムウェアはマルウェアの一種であり、多様なプログラムが報告されています。これらのランサムウェアに感染すると情報が暗号化され、身代金を要求されます。多額の金銭を目的としており、大企業や産業ネットワークが標的になるなど、国内外で被害が深刻化している状況です。
ランサムウェアの定義
ランサムウェアとは、身代金を意味する「Ransom」と「Software」を掛け合わせた造語であり、企業の機密情報やシステムまたは機器の管理権限を、暗号化などの手段によって奪い取るマルウェアのことです。マルウェアは、ウイルスを含む悪意あるソフトウェアの総称を指します。ランサムウェアに感染すると、奪ったものの代わりに金銭を要求されることから、この名が付けられました。
ランサムウェアの種類
ランサムウェアは、大別すると「ロックスクリーン型」と「暗号化型」の2種類があります。ロックスクリーン型は、画面をロックすることでPCなどの機器を操作できないようにするものです。暗号化型は、ファイルを暗号化によって開けないようにするもので、解除には秘密鍵が必要です。
代表的なランサムウェアには、「WannaCry」「Locky」「CryptoWall」「SNAKE(EKANS)」「PETYA/GoldenEye」などがあります。WannaCryはWindowsの脆弱性を突いて攻撃する、ランサムウェアとワームを組み合わせたものです。ワームとは、機器からネットワークを通じて感染を拡大していく、厄介なマルウェアです。感染するとファイルが暗号化されて開けなくなり、秘密鍵と引き換えに金銭を要求されます。
Lockyはメールの添付ファイルとして送りつけられ、開くと感染して、あらゆる種類のファイルを暗号化するものです。こちらも解除するには要求される金銭を支払い、秘密鍵を入手する必要があります。CryptoWallは、Web広告やメールの添付ファイルを経由して感染するもので、ファイルを暗号化して身代金を要求してきます。
SNAKEは、産業用制御システムを標的とするランサムウェアです。感染するとファイルを暗号化し、ファイル名の末尾に「EKANS」が追記されることから、EKANSとも呼ばれています。2020年には自動車メーカーのホンダが被害に遭い、工場の停止を余儀なくされました。
PETYA/GoldenEyeは、2017年ごろに欧州を中心に猛威を振るったランサムウェアです。WannaCryと同様にWindowsの脆弱性を突き、ファイルだけでなくハードディスクMBRまで暗号化するのが特徴で、感染後しばらくしてPCを強制的に再起動させたのち、偽の警告画面の表示とともに金銭を要求してきます。
ランサムウェアの脅威が拡大している
ランサムウェアの脅威は国内外で拡大しています。IPA(独立行政法人 情報処理推進機構)セキュリティセンターによる「情報セキュリティ10大脅威」において、2019年では第5位であったものの、2020年および2021年には1位を獲得している状況です。
警察庁からも被害が増加しており、企業が復旧に相当の費用と時間を要しているとの発表がありました。これらのことから、ランサムウェアの被害が深刻化していることがうかがえます。
ランサムウェアの主な感染経路はどこ?
ランサムウェアの感染経路はメールやWebサイト、ソフトウェア・ファイル、社内ネットワーク、USBメモリ、VPN機器、リモートデスクトップなど多岐にわたります。感染経路やどのように感染するのかを知っておき、ランサムウェアの侵入リスクを下げることが重要です。
メールからの感染
メールから感染する典型的なパターンは、添付ファイルのインストール時にランサムウェアがインストールされるというものです。「請求書」や「明細書」などの、あたかも業務に関係ありそうなファイル名が付けられている場合が多く、巧妙に開かせようとしてきます。プログラムが記述されたHTML形式のメールを開くと、ランサムウェアが自動で実行されることで、感染するパターンもあります。
Webサイトからの感染
信頼性が高いと認知されている企業サイトなどに偽装したサイトや、改ざんしたサイトから感染することもあります。ランサムウェアが仕掛けられたサイトへのアクセスや、設置されたボタンをクリックすることによって、感染が起こります。偽装されたサイトはURLが正式なものと異なっているため、確認することで回避は可能なものの、気付きにくい箇所を変えられている場合が多く、注意深く見ないと判別するのは困難です。また、改ざんされたサイトは、正式なサイトが攻撃を受けているため、判別がつきません。
悪質なソフトウェア・ファイルからの感染
Webサイトにあるランサムウェアが仕掛けられたソフトウェアやファイルをダウンロードすることでも感染します。悪質なソフトウェアやファイルは、比較的知名度の低いサイトや海外サイトに多く見受けられることから、このようなサイトからダウンロードする際は細心の注意が必要です。ただし、有名企業の公式サイトなど、信頼性の高いサイトであっても攻撃を受けている可能性があるので、安全とは言い切れません。
社内ネットワークからの感染
1台でもPCが感染すると、社内ネットワークを介して感染が広がる可能性もあります。特に、複数台のPCがひとつのLANによって接続されている場合、すべての端末がつながった状態にあるため、感染が広がりやすくなります。また、PCだけでなくサーバーにランサムウェアが感染することもあります。
USBメモリからの感染
USBメモリも感染経路になり得ます。ランサムウェアが仕掛けられたファイルが保存されている場合、USBメモリをPCへ挿し込むことで、フォルダが自動で開かれる際にインストールされ、感染が起こります。ほかの感染経路から悪意のあるファイルだと気付かずにダウンロードし、USBメモリへ保存して使用することが主な原因です。
VPN機器やリモートデスクトップからの感染
仮想の専用線を通じてネットワーク接続を行うVPNや、リモートデスクトップによる感染も報告されています。VPN通信は、リモートワークで自宅などのプライベートPCを社内ネットワークへ、プライバシーを保護した状態で接続できるものです。
一方で、セキュリティ対策が十分でないプライベートPCがランサムウェアに感染した場合、VPNを介して社内PCにも感染が拡大します。また、遠隔地にある別のPCから社内PCを操作できるリモートデスクトップでは、公衆Wi-Fiなどのセキュリティ対策が施されていない通信からの不正アクセスによって、感染させられてしまうこともあります。
ランサムウェアの感染を防ぐには?
ランサムウェアの感染の多くはファイルやメール、Webサイトを通じて起こりやすいことから、不審なものは開かない、またはアクセスしないように社内で周知徹底することが大切です。また、ランサムウェアはファイルの使用や閲覧を封じる暗号化を行うことから、万が一の感染に備えてバックアップを取っておくと、身代金を支払わずとも情報を復元できます。リモートワークなどに使用するツールやネットワークには、高度なセキュリティ対策が施されたものを導入することが必要です。
まとめ
ファイルやメール、Webサイトから感染するランサムウェアは、情報を暗号化するマルウェアです。解除を条件に身代金を要求されることが特徴であり、多くの企業が被害に逢っています。セキュリティ対策には、最新のWindowsとOffice 365によって多層防御を実現している、「Microsoft 365」の導入がおすすめです。