「セキュリティ10大脅威」のトップ　身代金を要求する「ランサムウェア」とその対策とは

サイバー攻撃の手段は年々巧妙化しています。

みなさんが、ある日突然いつも通りのシステムが使えなくなり、パソコン画面に恐ろしいメッセージが表示されプリンターから大量の脅迫文が出てきたりしたとしましょう。

きっとパニックになってしまうのではないでしょうか。

また、ウイルスを忍ばせるような「偽メール」はいつも日本語が不自然だったり、身に覚えのない取引先からのものだからさすがに気づく、と考えている方も多いはずです。

しかし最近は、実際の取引先の名前を騙り、また文章も違和感のないメールが出回るなど、ウイルスに侵入されるリスクはずっと高くなっているのです。

ことし6月にKADOKAWAが被害に遭った「ランサムウェア」を含むサイバー攻撃ではグループの広範な事業が停止に追い込まれました。

さらにChatGPTなどの生成AIは悪質なソフトウェアを作成する道具にもなっており、最新のサイバー攻撃について知識を改めておく必要があります。

ここでは近年のサイバー攻撃のトレンドの中で最も脅威とされている「ランサムウェア」についてご紹介します。

2024年の「情報セキュリティ10大脅威」

6月に入り「ニコニコ動画」などを運営するKADOKAWAが大規模なサイバー攻撃を受け、全社的に多くの業務で支障が出ています。

KADOKAWA は完全復旧について1か月以上かかると説明していますが、具体的な日時はまだ示されていません。(6月20日時点)

「ＫＡＤＯＫＡＷＡ襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く」産経新聞
https://www.sankei.com/article/20240619-4HAABW3PMNJ6HIPUVNR65I7JYQ/

今回、KADOKAWAを襲ったサイバー攻撃のひとつが「ランサムウェア」と呼ばれるものです。

IPA(=独立行政法人情報処理推進機構)が毎年、サイバー攻撃に関する最新のトレンドについて公表しています。

それによると、2024年の情報セキュリティについての脅威トップ10は下のようになっています。

(出所：「情報セキュリティ10大脅威 2024」独立行政法人情報処理推進機構)

https://www.ipa.go.jp/security/10threats/m42obm00000044ba-att/setsumei_2024_soshiki.pdf p4

ランサムウェアは、2016年に登場して以降、9年連続でトップに挙げられているのです。

なお、IPAは情報セキュリティ10大脅威について「個人向け」と「組織向け」の2種類を公表しています。

個人でインターネットを使う時に考えるべきセキュリティと、組織として使う時では全く違う意識を持つ必要があります。

ランサムウェアの被害事例と特徴

ランサムウェアによる被害やランサムウェアの仕組みについて、みていきましょう。

2023年7月に名古屋港コンテナターミナルのシステムがランサムウェアによるサイバー攻撃を受けて停止し、約3日間にわたってコンテナの搬入・搬出が止まるなどの大きな影響を受けました。

「名古屋港の障害、ロシアのハッカー「ロックビット」が攻撃か…プリンターから脅迫文100枚」読売新聞オンライン　
https://www.yomiuri.co.jp/national/20230706-OYT1T50167/

「コンテナターミナルにおける情報セキュリティ対策等検討委員会中間取りまとめ②」国土交通省

https://www.mlit.go.jp/kowan/content/001710842.pdf p1

 国土交通省の調査などによると、関係者がシステムの停止を確認したのは7月4日の早朝6時半ごろのことです。その1時間後にはプリンターから、ハッカー集団を名乗る脅迫文が約100枚出力されました。

その後名古屋港運協会などが状況を調査したところ、物理サーバー基盤および全ての仮想サーバーが暗号化されていることがわかりました。

出勤してパソコンがロックされているだけでなく、大量の脅迫文が出てきたらパニックになってしまうのではないでしょうか。

とりあえず連絡をとってみよう、と思うかもしれません。

しかしそれでは彼らの思う壺です。ランサムウェアは「身代金」を要求するウイルスだからです。

ランサムウェアによる攻撃の特徴（1）〜多重の脅迫構造

「ランサムウェア」とは、「Ransom(身代金)」と「Software(ソフトウェア)」を掛け合わせた造語です。「身代金を要求するソフトウェア」ということで、仕組みは下のようになっています。

(出所：「DX時代のサイバーセキュリティ対策」経済産業省)

https://www.meti.go.jp/policy/it_policy/privacy/cybersecurity_privacy_governance_seminar1.pdf p2

悪意あるソフトウェアを組織のシステムに忍び込ませてデータを暗号化して使えなくしてしまう、という点ではこれまであったようなサイバー攻撃とそう変わりはありませんが、ランサムウェアは「脅迫」の手段をいくつも準備しています。

具体的には、

１） PC やサーバーのデータを暗号化し、業務の継続を困難にする。その後、データを復元することと引き換えに、金銭要求の脅迫をする。

２） 重要情報を窃取し、金銭を支払わなければ窃取した情報を公開すると脅迫する。

３） 金銭を支払わなければ、ランサムウェアに感染したことを被害者の利害関係者等に連絡すると脅迫する。

４）金銭を支払わなければ DDoS攻撃（Distributed Denial of Service Attack：分散型サービス妨害攻撃）を仕掛けると脅迫する。

といったものです。

「情報セキュリティ10 大脅威 2024～脅威に呑まれる前に十分なセキュリティ対策を～」情報処理推進機構

https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf p42-43

なお、警察庁の統計によれば、国内で令和5年上半期に確認されたランサムウェア被害のうち約8割では、これらの脅迫を組み合わせた「二重脅迫」に遭っていることがわかっています。また、現金ではなく暗号資産による支払いを求めるケースが多くなっています。

(出所：「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁)

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf p20

ランサムウェアによる攻撃の特徴（2）〜復旧にかかる期間と費用

また、警察庁によると、ランサムウェアの被害から復旧までの期間は「1週間以上〜1か月」が最も多く、また、3割の被害については1000万円以上の費用がかかっています。

(出所：「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁)

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf p21

対策を取っておかなければ、深刻な事態に陥りかねないことがわかります。

巧妙化する偽メール、実在人物の名前も

ランサムウェアによる攻撃は、おもに以下の場所で始まります。

１）ネットワークの脆弱性を悪用(対策をしていないOSやアプリケーションを狙う)

２）意図せず公開されているポート(リモートデスクトップポートなど)への不正アクセス

３）ウイルスメール

４）攻撃者が用意したWebサイト

このうち、ウイルスメールについては「昔からある手段では？」と思われるかもしれません。

怪しいメールは開かない、怪しいメールに添付されたファイルは開かない、そのような意識は皆さんのなかになんとなくはあることでしょう。

しかし、「怪しい」の基準は何でしょうか。言葉が不自然、といったことをあげる方は多いことと思いますが、近年ではウイルスメール自体も進化しています。

近年IPAが注意喚起しているウイルスメールの一例としては、「正規のメールへの返信を装う」という手の込んだものがあります。

過去に本人(下の図ではA氏)がやりとりした相手になりすましたメールを作成し送りつけるというものです。下の図をよく見てください。

(出所「Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて」情報処理推進機構)

https://www.ipa.go.jp/security/announce/20191202.html

実在の相手の氏名、メールアドレス、メールの内容等の一部を流用するという非常に悪質なもので、このメールでは添付ファイルへのアクセスを誘導しています。

大量のメール処理に追われている時にこのようなものに出くわしたら、信じてしまう可能性はじゅうぶんにあるのではないでしょうか。

また、ChatGPTなど、場合によっては人間以上に流暢な文章を書くツールを誰でも使える時代になっています。文章の不自然さという「勘」のようなものだけでは、こうした攻撃を100%避けるのは難しいことでしょう。

ランサムウェアへの対策と身代金要求への対応

では、どう対策をすれば良いのでしょうか。

情報処理推進機構は、感染防止のために次のような対策が有効だとしています。

「ランサムウェアの脅威と対策」情報処理推進機構

https://www.ipa.go.jp/files/000057314.pdf p8

・OS およびソフトウェアを常に最新の状態に保つ： OS およびソフトウェアのバージョンを常に最新の状態に保ち、脆弱性を解消することで感染リスクを低減する。 ・セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ：   セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つことで、ランサムウェアへの感染リスクを低減する。 ・メールや SNS のファイルや URL に注意する： メールや SNS の添付ファイルを開くことや、本文中の URL をクリックすることでウイルスに感染する可能性がある。受信したメールは送信者、添付ファイル、文面等に十分に注意を払い、心当たりのないメールや英文メール、文面の意味が分からないメールなどは、安易に開かないことが重要である。   最近では、メール送信者情報として実在する企業を騙ったり、メール本文も当該企業が送信するメールを模倣したりするケースが多く確認されており、不特定多数の人物にメールを開かせる手口が巧妙になっている。メールの添付ファイルを開くことは極力避け、どうしても開く必要がある場合は、万が一ウイルスに感染しても影響がない環境を用意した上で開くことが望ましい。

これらの項目についてひとつひとつ、確認をするというのが基本です。

また、万が一ランサムウェアに感染した場合の対応について知っておきましょう。

最も興味のあるものとして「身代金はどうするか？」ということがあるかとおもいます。

ランサムウェアの被害に遭った時の身代金は、基本的に支払うべきではないとされています。

「事業継続を脅かす新たなランサムウェア攻撃について〜～「人手によるランサムウェア攻撃」と 「二重の脅迫」～」情報処理推進機構

https://www.ipa.go.jp/archive/files/000084974.pdf p9

過去に海外では身代金を支払った事例もありますが、サイバー攻撃は組織化しており、その収益源を断つことが重要だからです。

実際、ランサムウェア攻撃者への身代金の支払いはここ数年間、減少しています。

「身代金を払う企業がまさかの減少、収入減で焦るランサムウェア攻撃者が立てた新戦略」日経クロステック
https://xtech.nikkei.com/atcl/nxt/column/18/00676/013100126/

先に紹介した名古屋港の事例でも、協会はハッカーに連絡を取ることも、身代金を支払うこともしていません。

「ハッカー集団に身代金支払わず」共同通信（2023年7月6日配信）

日頃の管理を徹底し、もし事態に直面しても、まずは落ち着いてシステムの提供会社や警察当局に連絡するようにしましょう。

＜清水 沙矢香＞

2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。

取材経験や各種統計の分析を元に多数メディアに寄稿中。