ランサムウェアは、近年ますます増加しているサイバー脅威の一つで、その被害は甚大となります。
この記事では、ランサムウェアの基本的な概念、日本での被害実例、そして被害から身を守るための対策について詳しく解説していきます。
ランサムウェアはマルウェアの一種で、一度攻撃を受けると企業にとって大きな損害をもたらす可能性があります。
その攻撃の具体的な手口や感染経路を確認しましょう。
ランサムウェアを使って組織内のデータを暗号化し、それを解除するための情報(秘密鍵)と引き換えに、身代金を支払うよう求めるという手口が、従来の攻撃方法でした。ランサムウェアの攻撃を受けそれが成功してしまうと、データにアクセスできなくなりシステム障害や業務の中断が発生してしまいます。
とはいえ、データのバックアップを適切に取得しておけば、時間はかかるものの、被害を受ける前の状態に復元することができ、身代金を支払わずに済んでいました。
その後、攻撃者は手法を変え、データ暗号化の前にデータを盗み出しておき、身代金を支払わなければ、データを公開すると脅迫するようになりました。データの暗号化に対する脅迫だけでなく、窃盗を行ったデータの公開に対する脅迫ということで、二重の脅迫(恐喝)とも呼ばれています。
ランサムウェアは、いずれも外部から侵入してきます。侵入経路はさまざまで、メールの添付ファイルやフィッシングメールの悪意あるリンクを介して、組織内に侵入する可能性があります。
その他にも、社外からリモートデスクトップやVPN接続のための機器を用意している場合は、その脆弱情報を使って侵入し感染を拡大することも考えられます。
マルウェアは悪意のあるソフトウェア全般を指します。コンピューターシステムやデバイスに、悪影響を及ぼす目的で設計されたプログラムやコードのことで、ウイルス、ワーム、トロイの木馬、スパイウェア、アドウェアなどが含まれます。
これらのプログラムは、情報の盗難、データの破壊、コンピュータの制御権の奪取など、目的はさまざまです。
ランサムウェアも、マルウェアの一種といえますが、ランサム(身代金)という名前が示すように、企業や組織から身代金を要求するのが、一番の目的です。
ランサムウェア攻撃は、企業や官公庁、政府機関などを標的にして、身代金を求めてきますが、支払ったとしてもデータが復号化される保証はなく、また盗まれたデータは今後常に漏えいする危険を伴います。基本的には、攻撃者の要求には応じず、身代金も支払うべきではありません。
ランサムウェアは、2018年ごろから全世界で被害が拡大し始めており、日本も例外ではありません。
ここでは、日本における被害の状況を、実例をもとに確認していきましょう。
日本でもランサムウェア攻撃は、増加の一途をたどっています。令和4年(2022年)中のランサムウェアの被害件数は230件と、前年に比べ158%と増加しています。
被害を受けた企業のうち、83%はバックアップなどなんらかの対策をとっていましたが、被害後に正常に復旧できた企業は19%しかいないことが、警視庁の統計で報告されています。単なるバックアップ対策だけでは、不十分であることがいえるでしょう。
2023年7月、名古屋港運協会では、ランサムウェアの感染が原因でシステム障害が発生しました。
ランサムウェアによるサイバー攻撃が、データセンター内の全サーバーを暗号化し、業務停止せざるを得ない事態となったのです。
また、バックアップは取得していたものの、バックアップデータ内からもマルウェアが検出され、さらに復旧が遅れるという二次被害も発生しました。
最終的に、名古屋港のコンテナターミナルでは、3日間にわたってコンテナの積み降ろしができなくなるという被害を受けました。
このランサムウェアの感染経路は、VPNからの侵入、USBメモリからの持ち込み、港湾事業間とのネットワーク連携で運用している機器からの侵入、などのいずれかによるものと考えられています。
報道では、名古屋港のシステムに対する脅迫文には、ロシア系とみられる攻撃集団「LockBit」の名が記されていたとされ、感染を通告する英語の文書が、プリンタから大量に印刷されたということです。
参考:日経クロステック「バックアップからもマルウエア検出で復旧遅れ、名古屋港統一ターミナルシステム」
2022年10月、大阪急性期・総合医療センターは、ランサムウェアによるサイバー攻撃を受けました。
この攻撃により、所有する電子カルテやサーバー内のデータを暗号化され、システムに障害が発生し、外来診療や救急の患者の受け入れ、各種検査の停止を余儀なくされました。
2023年3月に公表された報告書によると、攻撃者は、まず、病院の委託事業者のシステムの脆弱性を突いて侵入し、そこを足がかりに病院のサーバーに侵入したとのこと。その後、電子カルテサーバーや部門システムのサーバーにランサムウェアを感染させました。
この攻撃の拡大の原因は、病院のセキュリティ対策の不備にあったようです。
具体的には、共通のパスワードの使用、アカウントロックの設定の不備、全てのユーザーに管理者権限の付与、電子カルテシステムサーバーへのウイルス対策ソフトの不備、という4つの要因をあげています。被害額は調査と復旧で数億円、診療制限で十数億円に及ぶとされています。
参考:日経クロステック「大阪急性期・総合医療センターがランサムウエア被害の報告書公開、実態を読み解く」
今後もランサムウェアの被害は、拡大していく可能性があります。
そんなランサムウェア攻撃から自社、自組織を守るため、以下の対策を検討しましょう。
VPNやリモートアクセス経路などの外部経路は、ランサムウェア攻撃の侵入経路として狙われやすいため、セキュリティの確認と強化が必要です。
具体的には、以下の点を確認・対策しましょう。
・不正なアクセスを許可していないか
・不要なポートやサービスを閉じているか
・最新のセキュリティパッチを適用しているか
パスワードのみで認証を行うのではなく、IDとパスワードに加えて、生体認証やOTP(One Time Password)などを組み合わせた認証を行うことで、不正アクセス対策を実現します。
とくに多要素認証では、パスワードに加えて、指紋認証や顔認証などの認証要素を組み合わせることで、なりすましやアカウント乗っ取りなどのリスクを低減できます。
データのバックアップを定期的に実施しておくことで、被害が発生した際には迅速なデータの復旧が可能となります。
具体的には、以下の対策を検討しましょう。
・データのバックアップを複数作成する
・1つ以上をオフラインに保存する(ネットワークから切り離されたところに保存する)
・バックアップの実施頻度を適切に設定する
ランサムウェアへの脅威を正しく理解し、セキュリティ意識を向上させるために、企業全体での対策を推進しましょう。
具体的には、以下の対策を実施します。
・ランサムウェアの脅威に関する社内トレーニングを実施する
・ランサムウェア対策に関する社内ルールを策定する
・ランサムウェア対策に関する啓発活動を実施する
エンドポイントセキュリティを強化するために、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)を導入するのは、必須といえるでしょう。
EPPは、ランサムウェアを含むマルウェア全般の感染を防ぐための対策を提供する製品・サービスです。
EDRは、エンドポイントにインストールされたソフトウェアの振る舞いを監視し、異常を検知・対応するための製品・サービスです。
エンドポイントセキュリティ製品「EXOセキュリティ」には、マルウェア探知機能やアンチランサムウェア機能が備わっています。
リアルタイムにマルウェア探査を行うことで、外部からの感染を防止しつつ、疑わしいプロセスがエンドポイント上で実行されていないか、異常の検知を行うことが可能です。この対策を実施することで、ランサムウェア攻撃のリスクを低減することができます。
なお、ランサムウェア攻撃は常に進化しています。そのため、最新の脅威情報に注意し、対策を継続的にアップデートすることが重要です。
このように、ランサムウェア攻撃は日本でも深刻な問題となっており、その被害から身を守るためには適切な対策が不可欠です。
セキュリティ意識を高め、外部経路の安全性を確保し、データのバックアップを定期的に行い、エンドポイントセキュリティを強化することが重要です。
安定したビジネス継続のためにも、ランサムウェア攻撃のリスクを最小限に抑え、高いセキュリティを実現しましょう。
