ランサムウェアとは？感染経路、被害事例、対策についてわかりやすく解説

ランサムウェアとは、ファイルやデータを暗号化し、アクセス不能にする悪意のあるソフトウェア（マルウェア）のことを指します。そして、ランサムウェアの背後にいるサイバー犯罪者は、暗号化されたファイルのロックを解除するための復号化キーを提供する代わりに、被害者に身代金を要求します。要するに、身代金が支払われるまで被害者のデータを人質に取るのです。

ランサムウェア攻撃は、個人、企業、そして政府組織にまで壊滅的な影響を及ぼす可能性があります。被害者は多くの場合、身代金を支払ってサイバー犯罪者が復号化キーを提供してくれることを願うか、支払いを拒否してデータを永久に失うリスクを負うか、という難しい選択を迫られます。

ランサムウェアはさまざまな方法で感染する可能性があり、サイバー犯罪者はこの悪意のあるソフトウェアを広めるための戦術を常に進化させています。ランサムウェアの一般的な感染経路には、以下のようなものがあります。

• フィッシング：ランサムウェアが配布される最も一般的な方法のひとつは、フィッシング攻撃です。サイバー犯罪者は、悪意のある添付ファイルやリンクを含むメールを送信します。受信者が添付ファイルを開いたりリンクをクリックすると、ランサムウェアがダウンロードされ、受信者のデバイス上で実行されます。
• ドライブバイダウンロード：ランサムウェアはドライブバイダウンロードによって配布されることがあり、危険なウェブサイトにアクセスすることで、ユーザーの同意や知識なしにランサムウェアが自動的にダウンロードされ、ユーザーのデバイスにインストールされることがあります。
• リモートデスクトッププロトコル（RDP）の脆弱性を突いた攻撃：サイバー犯罪者は、リモートデスクトッププロトコルの脆弱性またはデフォルトのRDP認証情報を持つシステムを標的にして、不正アクセスを行う可能性があります。一度内部に侵入すると、侵害されたシステム上にランサムウェアを配布することができます。
• マルバタイジング：悪質な広告という意味のマルバタイジングは、ユーザーを感染したウェブサイトにリダイレクトしたり、クリックするとダウンロードが開始されたりするオンライン広告を通じてランサムウェアを拡散します。
• OSやソフトの脆弱性を突いた攻撃：サイバー犯罪者は、OSやアプリ、ソフトウェアの脆弱性を利用してランサムウェアを配布することができます。この手法では、既知の脆弱性を狙ったエクスプロイトやマルウェアキットを使用することがよくあります。
• ソーシャルエンジニアリング：ランサムウェア攻撃には、サイバー犯罪者が個人を操り、ランサムウェア感染につながる行動を取らせるソーシャルエンジニアリングの手口が用いられることもあります。具体的には、技術サポート、法執行機関、または信頼できる団体を装い、被害者を騙してランサムウェアを配布する可能性があります。
• ブルートフォース攻撃：攻撃者は、ユーザー名とパスワードの組み合わせを繰り返し試すことで、システムへの不正アクセスを試みます。デバイスへ侵入後、ランサムウェアを配布することができます。
• 組織の内部関係者による攻撃：ランサムウェア攻撃の中には、組織の内部関係者が意図的または非意図的にシステムへのアクセスを提供したり、ランサムウェアを実行したりして攻撃を助長するものがあります。

ランサムウェア攻撃には通常いくつかの段階があり、その複雑さは攻撃やサイバー犯罪者が使用する手口によって異なります。以下に、ランサムウェア攻撃の一般的な段階を紹介します。

1. 偵察：この初期段階では、サイバー犯罪者は潜在的な標的を特定します。ネットワークの脆弱性をスキャンし、ターゲットを調査し、標的のシステム、インフラ、セキュリティ対策に関する情報を収集します。
2. 配布：標的が特定されると、攻撃者はランサムウェアを配布する方法を決定します。配布方法は、悪意のある添付ファイルやリンクを含むフィッシングメール、危険なウェブサイトからのドライブバイダウンロード、ソフトウェアの脆弱性の悪用など、さまざまな手段で行われる可能性があります。
3. 暗号化：ランサムウェアは被害者のファイルを暗号化し、アクセス不能にします。攻撃者は通常、強力な暗号化アルゴリズムを使用するため、攻撃者が保有する復号化キーがない限り、被害者がファイルを復号化することはほぼ不可能です。
4. 身代金の要求：ファイルが暗号化された後、ランサムウェアは被害者の画面に身代金について記載されたメモやメッセージを表示し、データがロックされていることを説明し、身代金の支払いを要求します。身代金要求書には多くの場合、身代金の金額と支払い方法、期限に関する詳細が載っています。

ランサムウェアは、個人、企業、組織に深刻かつ広範囲な被害と影響を与える可能性があります。ランサムウェア攻撃の主な影響には、以下のようなものがあります。

• データの損失：ランサムウェアは被害者のファイルやデータを暗号化し、アクセス不能にします。被害者がバックアップをとっていなかったり、身代金の支払いを拒否したりすると、データを失う可能性があります。
• 金銭の損失：ランサムウェアの攻撃によって多額の損失を被る可能性があります。被害者は、身代金の支払い、復旧作業、サイバーセキュリティの改善、弁護士費用に関連する費用が発生することが多いです。
• 業務妨害：ランサムウェアは組織の業務を麻痺させます。重要なシステム、データベース、ファイルが利用できなくなるだけでなく、ランサムウェア攻撃は組織の評判を落とし、ユーザー、クライアント、パートナーの信頼を損ない、長期的な影響を及ぼす可能性があります。
• 知的財産の損失：ランサムウェアの攻撃は、知的財産や企業秘密を標的にする可能性があり、競合他社が貴重な専有情報にアクセスできるようになる可能性があります。
• 重要インフラへの影響：医療システムや公共事業などの重要なインフラに対するランサムウェア攻撃は、必要不可欠なサービスを中断させ、人命を危険にさらす可能性があります。
• 経済的影響：広範なランサムウェア攻撃は、業界や地域全体にまで影響を及ぼし、より広範な経済的影響をもたらす可能性があります。

ランサムウェアにはいくつかの種類があり、それぞれに以下のような特徴があります。

• 暗号化型ランサムウェア：これは最も一般的なタイプのランサムウェアです。被害者のファイルやデータを暗号化し、身代金を支払うまでアクセス不能にします。
• ロック型ランサムウェア：ロック型のランサムウェアは、被害者をシステム全体からロックし、デスクトップ、ファイル、アプリにアクセスできないようにします。システムのロックを解除するために身代金が要求されます。
• 破壊型ランサムウェア：この種のランサムウェアは、身代金を支払わなければデータを破壊すると脅しますが、身代金を支払ったとしても、ランサムウェアによってデータが破壊される場合もあります。破壊型ランサムウェアは、個人の攻撃者だけでなく、国や活動家によって展開されている可能性もあります。
• スケアウェア：スケアウェアは、被害者のシステム上でマルウェアが検出されたと主張する偽の警告メッセージを表示します。ユーザーは騙されて、存在しない脅威を除去するために偽のウイルス対策ソフトウェアにお金を支払うことになります。
• ドックスウェア：この種のランサムウェアは、データの暗号化に加え、身代金を支払わなければ機密情報を公開すると脅します。
• ノーウェアランサム：ノーウェアランサムは、標的システムのデータを暗号化せずに盗み出し、身代金を支払わなければデータを暴露すると脅す新しい手口です。データを暗号化する手間がかからないため、今後この新しい手口による被害が増える可能性があります。

日本では他の多くの国と同様、さまざまな組織や個人を標的としたランサムウェアの被害が発生しています。

• トヨタ自動車関連企業の被害事例：トヨタの主要取引先がサイバー攻撃を受けて、システムに障害が発生しました。その結果、国内の全工場が操業を停止せざるを得なくなりました。
• 東映アニメーションの被害事例：東映アニメーションは第三者による不正アクセスを受けて、サーバーやPC端末の一部データがランサムウェアに感染・暗号化され、通常業務や作品制作の一部に約1か月間の遅れが生じました。
• 日立製作所の被害事例：日立製作所は、ランサムウェア「WannaCry（ワナクライ）」の被害に遭い、一部の社内システムで障害が確認され、メールの送受信などに影響が出ました。
• 大阪急性期・総合医療センターの被害事例：ランサムウェアによるサイバー攻撃を受け、電子カルテシステムなどが使用不能となり、その結果、緊急性のない手術や外来診療を一時的に停止するなど、通常の医療サービスが提供できない状況に陥りました。
• カプコンの被害事例：カプコンは、ハッカー集団「Ragnar Locker」によるランサムウェア攻撃が原因で、内部ネットワークが不正アクセスされ、情報漏えいが発生しました。

ここからは、万が一ランサムウェアに感染してしまった際に、被害を最小限に抑えるための対処方法について解説します。

• すぐにランサムウェアを駆除する。ランサムウェアに感染した可能性がある場合は、対策ソフトを使ってすぐにランサムウェアを駆除するか、システムを一掃してランサムウェアを削除しましょう。
• 絶対に身代金を支払わない。ランサムウェアを配布した相手は犯罪者であるということを心に留めておきましょう。お金を支払ったところでパソコンが元通りになる保証はありませんし、ハッカーに金銭を支払うことで、犯罪者を支援し犯罪者の行動を助長することにもなります。
• インターネットから切断する。ランサムウェアに感染するとネットを通してデータが盗まれるケースもあるので、感染したと判明したらすぐにインターネットを切断しましょう。
• 感染したマルウェアがスケアウェアでないかどうかリサーチする。感染したランサムウェアは、実際にはウイルス感染していないのにしたかのように見せかけて脅迫するスケアウェアである可能性もあります。症状や特徴などをリサーチして、スケアウェアかどうか確認しましょう。

リスクを最小限に抑えるために、以下のランサムウェアの対策方法を実施しましょう。

• 怪しいウェブサイトからは何もダウンロードせず、怪しいメールやメッセージ上のリンクを開かない。
• 特に機密情報を扱う仕事をしている場合は、ソーシャルエンジニアリング対策技術を身につけ、常識に照らして行動する。
• 攻撃を受けてもデータにアクセスできるように、別のハードドライブやクラウドストレージにデータをバックアップしておく。
• ランサムウェアに強い対策ソフトを導入する。
• セキュリティソフトウェアやOSは常に最新の状態にする。
• 見覚えのない怪しいアプリを見つけたらすぐに削除する。
• 機密データを扱う仕事をしていてランサムウェアの標的にされる可能性がある場合は、オンライン上では目立たないようにし、SNS上では個人情報をシェアしない。
• トラフィックを暗号化するためにVPNを使用して、サイバー犯罪者からハッカーからオンライン上のデータやアクティビティを見えないようにする。 ※VPNに関する詳しい情報は、「VPNとは」の記事をご覧ください。
• 当社NordVPNの脅威対策機能を使って、ダウンロードファイルのマルウェアをスキャンして、マルウェア感染を未然に防ぐ。
• 会社で使うパスワードやID が単純だと、社内でサイバー犯罪が遂行される可能性があるので、強力なパスワードを使用したり、NordPassなどのパスワードマネージャーアプリを使ったりしてパスワードの管理を徹底する。