最近よく耳にするランサムウェア。
なんとなく概要はわかるけど、具体的に説明はできない、という方も多いのではないでしょうか。

マスメディアで企業のランサムウェアやEmotetによる被害が報じられることも多いため、経営層から『うちの会社は大丈夫なのか？』と言われ、対策方法を確認されている方もいらっしゃるのではないでしょうか。
 
本記事では、ランサムウェアの事例や実際の被害数字をもとに、脅威の内容、そして具体的な5つの対策方法をお伝えします。
 
鍵となるのは、「正しいセキュリティツールを正しい体制で運用する」ことです。

企業規模に関係なく脅威を増すランサムウェア

ランサムウェアとは、感染した各サーバやクライアントPCなどをロックしたり、ファイルを暗号化したりすることで使用不可にさせ、復旧させる代わりに暗号資産などの「身代金」を要求する、不正プログラムの一種です。
 
近年は、企業や団体などの規模を問わず、ランサムウェア被害が発生しています。

警察庁がまとめたランサムウェアの被害状況によれば、2021年上期に起こった61件の被害のうち28％が大企業で、66％を中小企業が占めており（その他7％：小数点第1位以下四捨五入のため、必ずしも総計は100にならない）、その悪意ある影響力には、あらゆる企業が細心の注意を払わなければならない状況です。
 
▽警察庁によるランサムウェア被害状況まとめ
・2020年下期から2021年上期へのランサムウェア被害件数：約3倍
・2021年上期被害のうちVPNやRDP（リモートデスクトッププロトコル）からの感染：約8割
・2021年上期被害額内訳：約4割が復旧費用に1000万円以上
 
参考：令和3年上半期におけるサイバー空間をめぐる驚異の情勢等について

ランサムウェアに感染すると起こりうる2大被害

ランサムウェアに感染してしまった場合、具体的にどのようなことが起こりうるのでしょうか。
大きく以下2つの観点から見ていきましょう。
 
▽インフラ被害
▽金銭被害

▽インフラ被害

デバイス自体がロックされたり、サーバ内などのファイルが暗号化されたりすることで、業務への支障、あるいは攻撃が基盤システムに影響を与える場合には、業務全体を停止せざるをえない状況にまで陥ることもあります。
また、バックアップデータごと被害を受ける場合もあり、復旧が完全に不可能になるケースも少なくありません。
 
病院への被害が確認された事例もありますが、患者のカルテデータが暗号化された場合には、人命にかかわる事態も想定され、最悪の二次被害を引き起こすケースも考えられます。
 
また、近年では、アクセスブローカーと呼ばれる、侵入を手引きして攻撃の横展開を促進する存在によって、ブレイクアウトタイム（攻撃者が初期侵入してから横展開するまでの時間）もかなり短縮されています。
 
アクセスブローカーとは、初期侵入や管理者権限の奪取といった、犯罪集団の一部機能に特化した者たちを指します。
従来の攻撃者は、侵入してからPCの中身をダンプして、管理者を発見し、フィッシングメールを投げるなどしてから権限を奪取して…といった動作をひとつひとつ行っていたため、初期侵入から攻撃の横展開までに時間がかかっていました。

しかし、アクセスブローカーの台頭によって特権IDが売買され、いきなり管理者権限によって攻撃が横展開されることで、ブレイクアウトタイムが大幅に削減されています。

ブレイクアウトまでにかかる時間は平均1時間半程度で、2021年と2022年対比でおよそ3分の1にまで減少したといわれています。
 
▽金銭被害

暗号化されたデータ復旧の代わりに身代金を要求するのが、ランサムウェアの目的です。
金銭被害の合計額は、国内だけでも億を優に超えています。
 
身代金を要求しつつ「暗号化する前のコピーデータを流出させる」といった内容で恐喝し、さらに金銭を要求するケースもあります（二重恐喝＝ダブルエクストーション）。

ランサムウェア被害の主な国内事例

ランサムウェアは国内でも多く報告されています。
いくつかの事例をご紹介します。

某製粉大手企業

2021年7月に主要な基幹システムサーバとファイルサーバ、グループ企業が利用する財務会計システム、販売管理システムなどが同時多発的に暗号化されたことを発表しました。
システム復旧に時間がかかったため、同社は4～6月期の四半期報告書の提出期限を延長する事態となりました。

某公立病院

2021年10月31日未明、ランサムウェアに感染。
約8万5000人分の電子カルテデータが暗号化され、氏名や年齢、治療内容、投薬履歴などの基本情報が失われました。
本件では、バックアップデータも被害を受けています。

某大手自動車部品メーカーグループ

2022年3月、身代金要求型のサイバー攻撃を受けていたことがわかりました。
海外拠点で、第三者からの不正アクセスが確認されています。
同年２月にも、取引先企業が被害を受けており、国内すべての工場を一時、稼働停止しています。

ランサムウェア被害に遭わないために

ランサムウェア被害に遭わないためには、どうすればよいのでしょうか。
「なぜ起こるのか？」という観点をもとに、ランサムウェア被害に遭わないための対策を見ていきます。

ランサムウェア被害はなぜ起こるのか？

ランサムウェアの要因はいくつか挙げられますが、以下の2点はとくに注意するべき項目です。
・不十分な社内体制/社内教育
・ランサムウェアが新たなランサムウェアを呼ぶ

不十分な社内体制/社内教育

ひとつは社内体制/社内教育が整っていない点です。
最新のセキュリティ製品を導入したとしても、それを運用できる人材の不足などが原因で、脆弱性を攻撃されるケースは少なくありません。
 
前述の警察庁令和3年度調査によれば、ランサムウェア被害に遭った企業のうち92％がウイルス対策ソフトなどを導入していたにもかかわらず、その内の77％が「ウイルスは検出されなかった」と回答しています。

とくにリモートワークが急ピッチで進められてきた昨今では、つぎはぎ的に新しいモノを導入されているケースが多いため、人やプロセスも併せて再度整備することが重要です。

ランサムウェアが新たなランサムウェアを呼ぶ

ランサムウェア被害そのものも、新たな被害の火種となっています。
ランサムウェアの被害が拡大すると、犯罪集団はより多額の「軍資金」を獲得します。
軍資金を獲得することでマルウェア開発委託も容易になり、結果として多国語への翻訳を依頼したり、より強力な不正プログラムを開発できるようになったりします。
 
被害額を最小限に抑えるために、やむを得ず身代金を支払ってしまうケースもありますが、その金銭が犯罪者集団をより悪意あるものに成長させていることを考慮しなければなりません。
ベストは、ランサムウェア被害に遭わない体制を整えることです。

ランサムウェア対策の具体的なアクション

ランサムウェア被害に遭わないために、今日から検討できる具体的な施策を、5つ紹介します。

・セキュリティソフトの導入
・脆弱性アップデート
・データバックアップ
・パスワード管理強化や多要素認証の導入
・社内啓蒙活動

セキュリティソフトの導入

エンドポイントにセキュリティを施すものから、ログを監視するSIEM製品、あるいはネットワークのふるまいを検知するものなどがあり、それぞれの層に適したセキュリティを施すことで、包括的な安全を手に入れます。

脆弱性アップデート

ランサムウェアは脆弱性を狙った攻撃も多いです。
OSやアプリケーションを常に最新の状態に保つことで、脆弱性をなくすことも重要です。

データバックアップ

データバックアップも、ランサムウェア対策として有効な手段のひとつです。
ただし、サーバなどと同じネットワーク上にバックアップシステムが存在する場合、バックアップシステムごと感染してしまう危険もあります。
書き換え不可なイミュータブルバックアップが可能な製品を導入するか、別のネットワークや物理的に異なる端末などにバックアップすることが望ましいです。

パスワード管理強化や多要素認証の導入

リモートワークが促進されている昨今では、BYOD端末を業務利用する企業も少なくありません。
ただし、パスワード認証のみでVPN接続できてしまうと、パスワードが流出しただけで攻撃を受けてしまう危険性もあります。
特にBYOD端末はパスワードが簡単に設定されている場合も多く、注意が必要です。
パスワードの設定を強力にすることはもちろん、多要素認証の導入も検討するべきでしょう。

※BYODについて詳しくはこちら
※多要素認証について詳しくはこちら

社内啓蒙活動

ランサムウェアは日々高度化しており、ソーシャルエンジニアリング（心理的な隙や行動のミスを突いて機密情報を聞き出す手法）による攻撃も頻繁に発生しています。
日頃から従業員のランサムウェアに対する意識を高めておくことで、このような被害を防ぐことが可能です。
 
弊社でも、従業員のセキュリティリテラシーをより高めるために、怪しいメールやURLなどへの啓蒙を強めています。
「標的型攻撃メール訓練サービスとは？ 自社で利用してみたら、3つの大きな効果があった話」では、実際にメール訓練サービスを活用してセキュリティ意識を高めた事例を紹介しています。
ぜひ参考にしてください。

まとめ

ランサムウェアは日々高度化し、その被害も増加傾向にあります。

今回お伝えしてきた通り、ランサムウェアの具体的な対策としては、貴社に最適なセキュリティソフトの導入や全社員の端末での脆弱性アップデート、確実なデータバックアップ、パスワード管理強化や多要素認証の導入に加え、社内啓蒙活動についても非常に重要となります。

いくら良いセキュリティ製品を利用していても、現場社員の方がOSのアップデートを放置し、情シスで許可していないアプリケーションや端末を会社のネットワーク環境下で利用するなんてことがあれば、ほぼセキュリティ面が機能していないに等しいからです。

そのため、冒頭でも記載したとおり「正しいセキュリティツールを正しい体制で運用する」ことが非常に重要です。
当たり前なことを言われても...と思うかもしれないですが、その当たり前を当然のように対応していくことがセキュリティ対策の第一歩なのです。
 
弊社でも、セキュリティ支援も含めたインフラ構築・運用サービスを展開しています。
「どこから手をつけるべきかわからない」「現在利用している対策が最善かわからない」といった場合には、お気軽にご相談ください。

■関連記事
・情報セキュリティの基本（cia）と3大脅威への対策とは

・情報漏洩どう防ぐ？テレワークにおける企業データの守り方！｜認証・認可

・ゼロトラストセキュリティとは？情シス部員なら知っておきたい基礎知識

※この記事は、公開時点の情報をもとに作成しています。