最近話題のランサムウェアとは？その対策と被害に遭った場合の対応まで解説

昨今、日本国内の多くの企業がその規模の大小に関わらず、「ランサムウェア」に感染して情報が漏えいするなどの被害に遭っているというニュースを目にする機会が増えています。

「ランサムウェア」に感染すると、多くは個人情報などの重要なデータが暗号化されるなどの攻撃を受け、この暗号を解除することと引き換えに「身代金」と称して金銭を要求されてしまいます。しかし、「身代金」を支払ったからといって必ずしも暗号化をすべて解除してくれるとは限らないうえ、より要求がエスカレートする可能性も否定できません。

本記事ではこの「ランサムウェア」の攻撃の手法、感染経路や対策方法、さらに感染した場合の対応策について解説します。

ランサムウェアとは？

クリックして拡大

ランサムウェアとは、身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語です。感染したパソコンやシステム内のデータを暗号化などの手段で利用できないようにして、このデータを利用できるよう元通りに戻すことと引き換えに金銭（身代金）を要求するマルウェアのことを指します。このような特徴から、日本語では「身代金要求型不正プログラム」と呼ばれることもあります。

それでは、ランサムウェアには具体的にどのような種類や特徴があるのでしょうか。ランサムウェアは大きく３つの種類に分けられます。それぞれの種類についての特徴について以下で解説します。

暗号型

暗号型のランサムウェアに感染すると、コンピューター内のファイルやストレージそのものを暗号化され、ユーザーが暗号化されたすべてのファイルにアクセスできなくなります。そして、攻撃者からは暗号化を解く（復号化する）ために、高額な身代金を支払うよう要求されます。

しかし、金銭を支払ってもすべて元通りに復号化されるとは限らないうえ、ファイルの中身が操作されている場合もあり、対応が非常に困難です。

ロックスクリーン型

ロックスクリーン型（画面ロック型）のランサムウェアは、感染するとコンピューター自体をロックして操作不能の状態にします。被害件数は暗号型より少なく、スマートフォンやタブレット端末の被害が比較的多いことが特徴です。また、データ自体は操作されていないことがほとんどです。

ロックスクリーン型のランサムウェアに感染すると、攻撃者は暗号型と同様に、ロックを解除する代わりに金銭を要求してきます。

二重脅迫型

近年、増加しているのがこの二重脅迫型のランサムウェアです。

暗号型やロックスクリーン型のランサムウェアの場合、感染したコンピューターやシステムのバックアップがあれば、身代金を支払わずにシステムやデータを復旧することが可能でした。

しかし、二重脅迫型の場合には、標的となったコンピューターからデータを不正に取得したうえでランサムウェアに感染させ、身代金を支払わない場合には取得した機密情報や個人情報を暴露すると脅迫します。

さらに、悪質な場合には身代金を支払うまでDDoS攻撃（Distributed Denial of Service Attack：分散型サービス拒否攻撃）を行ない続けたり、標的となった組織の周辺（顧客など）へも脅迫を行なったりするなど、凶悪化が進んでいます。

ランサムウェアのおもな感染経路

クリックして拡大

攻撃者は、何らかの手段を使って標的にランサムウェアをダウンロードさせようとします。その手口は年々変化しており、かつ、巧妙化しています。当初はランサムウェアを添付したメールなどを送りつけ、添付ファイルを開かせることでパソコンなどをランサムウェアに感染させていました。しかし、近年は標的のネットワーク上の脆弱性などを突いて直接ランサムウェアに感染させるようになってきています。

そこで、ランサムウェアのおもな感染経路について以下で解説します。

ばらまき型メール

初期のランサムウェア被害の多くはこのばらまき型メールによるものです。不特定多数の人にランサムウェアを添付したメールを送りつけ、この添付ファイルを開いたパソコンをランサムウェアに感染させる方法や、メールの文面に悪意のあるサイトへのリンクを張り、このリンクをクリックするとランサムウェアに感染する方法などがあります。このような方法でパソコン内のデータを暗号化したり、パソコンそのものをロックしたりして身代金を要求します。

メールの文面は、実在の企業名を使用するなど、一見すると本物のメールと思わせるものとなっているので注意してください。

悪意のあるWebサイト

本物のWebサイトにそっくりな悪意のある偽Webサイトを作成し、そこにランサムウェアをダウンロードさせるリンクやボタンを設置します。このリンクやボタンをクリックしたら、端末をランサムウェアに感染させるという方法もあります。

悪意のあるWebサイトの見た目は本物と区別が付きにくいため、ブラウザの上部にあるアドレスバーのURLが正しいかどうか確認してください。

脆弱性のあるVPNなどのネットワーク機器

近年増加しているのが、企業など組織内に設置されている古いVPNなどのネットワーク機器の脆弱性を突いて、企業内部のネットワークに侵入してランサムウェアに感染させるという方法です。この方法ではネットワーク内の多数の端末やデータをランサムウェアに感染させるため、被害が大きくなる傾向があります。また、多くは先述した二重脅迫型のランサムウェア被害に遭っています。

パソコンやサーバーのOSやソフトウェアをアップデートするだけではなく、ネットワーク機器などのファームウェアもこまめにアップデートしたり、新しい機器と交換したりする必要があります。

ランサムウェアからシステムや端末を守る方法

ランサムウェアの被害を防ぐためには、まずシステムを最新の状態に保つことが最も大事な対策となります。そのうえで、ウイルス対策ソフトを導入し最新の状態にアップデートしておきます。また、重要なデータはこまめにバックアップを取るよう心がけましょう。

また、個人の対策として、身に覚えのないメールなどに添付されたファイルやURLリンクをむやみに開かないといったことが挙げられます。

以下に、具体的な対策方法を挙げて解説していきます。

OSやソフトウェアをアップデートしてシステムを最新の状態に

ランサムウェアの被害に遭わないための基本的かつ重要な対策は、常にシステムを最新の状態に保つことです。具体的には、OSやソフトウェアを最新の状態にアップデートすることです。攻撃者は既知の脆弱性を突いてシステムへの侵入を試みますので、脆弱性を解消することはランサムウェアの被害を防ぐための重要な対策となります。

また、ネットワーク機器などのファームウェアも最新の状態にアップデートして脆弱性を解消しておくことも重要です。

添付ファイルとURLリンク先が安全で正しいかどうかチェックする

身に覚えのないメールが届いたとき、そこに添付されているファイルをむやみに開いたりしないようにしましょう。また、文面にリンクが張ってある場合は、そのリンク先が正しいサイトのURLであるかどうか、確認してからURLを開くようにしてください。

不審な添付ファイルにはランサムウェアなどのマルウェアが仕込まれている可能性があります。また、リンク先が悪意のあるWebサイトだった場合、誤ってリンクやボタンをクリックした結果、ランサムウェアに感染する恐れがあります。

可能であれば、ファイルのやりとりはメールで行なわないほうがよいでしょう。

ウイルス対策ソフトなどを最新の状態にして既知の脅威を検知する

パソコンはもちろん、タブレットやスマートフォンなどのモバイル端末にもウイルス対策ソフトを導入し、定義ファイルを常に最新の状態にアップデートしておきます。これにより、ランサムウェアを含む既知の脅威に対応できます。

もしもに備えてこまめにバックアップをとっておく

万が一、ランサムウェアの被害に遭ってしまった場合を想定して、重要なデータやファイルはこまめにバックアップをとっておきましょう。この場合、バックアップ先は同一のネットワーク上を避け、できればオフラインのストレージとするとより安全です。

もしランサムウェアの被害に遭ってしまった場合、このバックアップデータから元の状態に復元することが可能になります。

ランサムウェアに感染した際の対応策

もし、ランサムウェアに感染し、攻撃者から身代金などを要求されたらどうしたら良いのでしょうか。

まず、感染が疑われるパソコンやシステムをすべてネットワークから切り離します。このとき、パソコンやシステムの電源は入れたままにしておきましょう。また、攻撃者からの要求には決して従わないようにしてください。

それではランサムウェアに感染した場合の具体的な対応策について解説します。

感染している端末やシステムをネットワークから切り離す

ランサムウェアの感染が発覚したら、まず感染が疑われるネットワーク上の端末をすべてオフラインにしてください。有線LANを使用していたらLANケーブルを引き抜く、無線LANを使用していたら端末を機内モードにする、無線LANルーターの電源を切るなどして、ネットワークから隔離することが重要です。

この際に気をつけたいのは、感染した端末の電源を落とさないことです。重要なデータが残っていたり、端末の状態を保持して原因解明等に役立つ可能性があったりするためです。

ランサムウェアの種類を特定、駆除する

端末に表示された情報などから、可能であればランサムウェアの種類を特定します。特定できたら、セキュリティ製品などでランサムウェアを駆除できる場合があります。

自力でのランサムウェアの特定や駆除が困難な場合には、専門業者に相談するとよいでしょう。

ロックされたデータの復号を試みる

一部のランサムウェアは、復号ツールが公開されており、これを利用することでデータを復号できます。しかし、ランサムウェアの種類が異なる場合には復号できないばかりか、データを消してしまいかねないので注意が必要です。

また、OSによってはシステムをランサムウェアの感染前の状態に戻すことが可能です。その場合、OSを復元してランサムウェアがシステム上から消えたことを確認したのち、隔離してあるバックアップデータからシステム全体を感染前の状態に復旧できます。

しかし、これらの作業は個人で行なうのは難しいため、専門業者に相談するのが最善です。

決して攻撃者の要求に従わない

ランサムウェアに感染した場合に最も大事なのは、「攻撃者の要求に従わない」ことです。例えば金銭を要求された場合、安易に支払ってしまうと、サイバー犯罪組織の貴重な資金源となってしまい、二次被害につながる恐れがあるためです。

また、仮に金銭を支払ったとしても、暗号化されたデータを必ずしも復旧できるようになるとは限りません。それどころか、攻撃がエスカレートする可能性もあります。

ランサムウェアは、パソコンを利用できなくして身代金を要求する

ランサムウェアの概要と感染経路、被害を防ぐ方法と被害に遭った際の対応について解説してきました。ランサムウェアとは、不正なプログラムで標的となった組織のパソコンやデータなどを利用不能にして、その代わりに身代金を要求してくるサイバー攻撃です。年々、その被害に遭う企業は増え、手口も複雑化し攻撃もエスカレートしています。

ランサムウェアの被害に遭わないために大事なことは、日頃からセキュリティ対策を怠らないこと、ネットワークから隔離した場所で重要なデータのバックアップを保管することです。

そして万が一、ランサムウェアの被害に遭っても決して攻撃者の要求に従わないことが大切です。