中小企業におけるセキュリティ脅威への対策強化〜ランサムウェアによる攻撃事例から対策を学ぶ〜（１／２）

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は１位に挙げられている「ランサムウェアによる攻撃」に焦点を当てます。

2016年以降９年間にわたり10大脅威の１位を取り続けていることから、最も被害の多い脅威と言えます。

この脅威が業務に与える影響や、どのように対策すべきなのかを２回に分けて解説いたします。１回目の今回は、ランサムウェアの種類と攻撃の特徴について解説いたします。

１．ランサムウェアとは

ランサムウェア(Ransomware)とは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語であり、マルウェア^※の一種です。

攻撃者はPCやサーバーをランサムウェアに感染させることで組織の重要なデータを人質に取り、その復旧やシステムの解除を引き換えに金銭、すなわち「身代金」を要求します。

さらに、攻撃者は複数の脅迫を組み合わせることで、攻撃を受けた組織が金銭を支払うことを検討せざるを得ない状況を作り出そうとします。

ランサムウェア攻撃は、組織の規模や業種に関わらず、あらゆる対象に及びます。

ランサムウェアに感染すると、データの暗号化や重要情報の奪取といった被害に遭遇するだけでなく、その調査や復旧に多くの費用と時間が掛かります。

また、業務やサービス提供の停止による経済的損失や、顧客や取引先からの信頼失墜の被害につながるおそれもあります。広く利用されているサービスがランサムウェアに感染すると、社会にも大きな影響を与えることになります。

※マルウェア(malware)とは

malicious（マリシャス：悪意のある）にsoftware（ソフトウェア）の2つの単語が組み合わさった造語です。コンピューターウイルスやワーム、トロイの木馬、スパイウェア、など、ユーザーのデバイス(PC、iPad、スマホ等)に不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉です。

２．ランサムウェアの代表的な種類

（１）ばらまき型ランサムウェア攻撃

日本では2015年頃からランサムウェアの被害が発生しだしました。

当初のランサムウェアはウイルスを添付したメールを、不特定多数の組織に対して無差別に送信する「ばらまき型」でした。

受信したユーザーが添付ファイルを実行することで感染させ、システムのロックや、ファイルを暗号化して使用不能にしたのちに、元に戻すことと引き換えに「身代金」を要求するメッセージ（ランサムノート）を表示させる手法です。

（２）標的型ランサムウェア攻撃

2019年後半から、海外では「Human-Operated」、日本では「標的型ランサムウェア攻撃」、「侵入型ランサムウェア攻撃」と呼ばれる、特定の組織を狙って攻撃する手法が主流となってきました。

攻撃者が事前に標的組織のネットワークに侵入し、組織の機密情報を窃取して、最終的にランサムウェアを実行し金銭を要求する手法です。

（３）二重脅迫型

標的型ランサムウェア攻撃に「情報の暴露」を加えた二重脅迫の手法です。

データの暗号化に加え、「身代金を支払わなければ、窃取した情報を暴露する」といった二重の脅迫により対象組織を追い詰め、より多額の身代金を払わせようとします。このような脅迫の手法は、「暴露型」または「二重脅迫型」と呼ばれます。

（４）多重脅迫型

被害組織のWebサーバーなどに大量のパケットなどを送りつけて正常なサービス提供ができないよう妨害するDDoS^※攻撃の実施や、取引先などの関連組織に情報漏えいを通知するなどの脅迫を行う「多重脅迫」の手法も確認されています。この手法では、対象組織やその周辺に多角的な圧力を加えることで、身代金の要求を迫ります。

※DDoS（ディードス）攻撃とは

Distributed Denial of Service（分散型サービス拒否）攻撃の略称です。Webサーバーなどに対して、複数の場所から大量の通信を発生させることで正常なサービス提供を妨げる攻撃です。

３．標的型ランサムウェアの攻撃

標的型ランサムウェアの攻撃方法は多岐に渡り、以下のようなステップを経ることが一般的です。

（１）侵入

攻撃者はまず、様々な方法を駆使して標的とする組織のネットワーク内部への侵入を図ります。

主な侵入経路には、下記のような感染ルートがあります。

◇脆弱性を悪用しネットワークから感染させる
OSやアプリケーション等のソフトウェアの脆弱性対策が十分でない状態でインターネットに接続されている機器に対して、VPN等の脆弱性を悪用し、インターネット経由でPCやサーバーをランサムウェアに感染させる。

◇公開サーバーに不正アクセスして感染させる

意図せず外部公開されているポート（リモートデスクトップポート等）に不正アクセスしたり、パスワード管理の不備を利用したりしてランサムウェアに感染させる。

◇Webサイトから感染させる

Webサイトの脆弱性等を悪用して、ランサムウェアをダウンロードさせるように改ざんしたWebサイトや攻撃者が用意したWebサイトを閲覧させることでランサムウェアに感染させる。

（２）ネットワーク内部で情報収集する

侵入に成功した攻撃者は、続けてネットワーク内の端末を遠隔操作し、多数のアクセス権限の取得を試みます。これは、次のステップとなるデータの窃取やランサムウェア実行の際により大きな効果を得るための準備です。

（３）データの窃取

搾取した組織内の端末やシステムのアクセス権限を利用して、脅迫を行うための情報を収集します。それらの情報は、のちに情報暴露で組織を脅す材料として使われることもあります。奪われた情報は一か所に集められ、攻撃者の管理するサーバーに保管されます。

（４）ランサムウェアの実行・身代金要求

最後に、組織へのランサムウェアの展開と実行を行います。
その際、グループポリシー機能などを使ってランサムウェアを組織内ネットワークに展開し、実行します。ファイルを暗号化した後は、権限を奪取した端末に身代金要求画面を表示させることで脅迫を行います。

ここまでランサムウェアの種類や攻撃方法について考察してきましたが、いかがだったでしょうか。次回は、被害の実例と対策・対応について解説する予定です。

IPAでは「ランサムウェア対策特設ページ」を公開しています。

このページでは、ランサムウェアの感染防止や被害低減のために役立つ情報が公開されています。

また、IPAや他機関のランサムウェア関連セキュリティ情報へのリンクも紹介しているので、ぜひ参考にしてください。

ランサムウェアは今も進化をし続けています。適切なセキュリティ情報の入手と、組織全体が正しいランサムウェアの知識を共有する事が発生防止には不可欠といえるでしょう。

４．最後に

東京都では、セキュリティ機器の無償体験（3か月程度）や、企業のセキュリティ環境を調査し、今後の対策に向けて指導・助言する情報セキュリティマネジメント指導支援を行っています。それぞれ定員がございますので、詳しくはこちらをご覧の上、お早めにお申し込みください。
https://kihontaisaku.metro.tokyo.lg.jp