ランサムウェアをご存知でしょうか?ランサムウェアとは、感染したPCに対して一定の制限をかけ、その制限解除と引き換えに金銭を要求するマルウェアの一種です。2017年に流行した「WannaCry(ワナクライ)」等に代表され、身代金要求型不正プログラムとも呼ばれています。当初は、一般ユーザーがターゲットにされていました。しかし、近年は発生数こそ減少しているものの、手口がより巧妙化し、多額の身代金を期待できる大企業をターゲットにした事例が増加してます。また、民間企業や公共機関のPCにも感染するなど深刻な脅威と呼べるケースも現れています。今回はランサムウェアの最新動向と対策について解説します。
ランサムウェアとは
ランサムウェア(Ransomware)とはマルウェアの一種で、身代金(Ransom)とソフトウェア(Software)を組み合わせた造語です。感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムです。スパムメールや改ざんした正規サイトを通じ、ユーザを脆弱性を攻撃する不正サイトへ誘導してランサムウェアに感染させます。その後、感染PCの特定機能を無効化し操作不能にする、もしくは、データファイルを暗号化し利用不能にするなどの悪質な行為を行います。
ランサムウェアの種類
暗号型ランサムウェア
ファイルを開けないよう暗号化します。ファイルを復号するには、暗号化に使った鍵が必要で、この鍵と引き替えに身代金が要求されます。ロックスクリーン型に比べ広く普及しており、Erebus, Bad Rabbitといった種類があります。
ロックスクリーン型
デバイスの画面をロックして、何も操作できない状態にします。Win32/Reveton, Jisutといった種類が確認されています。画面ロック型の場合、パソコン内のデータ自体は操作されないので、データを復旧できる可能性が暗号化型に比べて高いと言われています。
増加する企業をターゲットとした攻撃
こうしたランサムウェアは、2017年には67万8000件が検出されましたが、2018年には約54万5000件が検出されており、約20%減少しています。しかし、企業を標的とした件数は2017年の39万7000件と比較し、2018年には44万4000件と約12%増加しています。企業がターゲットとして狙われている背景には、個人では身代金を支払うことが少ないのに比べ、企業ならば「平均501~2000ドル」といわれる身代金を支払ってしまうケースがあり、費用対効果が見込めるからと分析されています。つまり、身代金を払ってでもデータを復旧させたい企業がターゲットとなっています。
直近のランサムウェア被害事例
台湾企業での標的型攻撃事例で新たなランサムウェアを確認
2020年5月7日
台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗-号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。
相次ぐ海外の工場へのランサムウェア攻撃、ノルウェーの経営者はどう対応したか
2019年4月9日
海外で工場を狙ったランサムウェア攻撃が相次いでいる。3月18日に、ノルウェーのアルミニウム製造・エネルギー企業「Norsk Hydro(ノルスク・ハイドロ)社」でランサムウェアによる被害が発生し、3月22日には米国化学会社「Hexion社」と「Momentive社」も影響を受けた。感染したランサムウェアは「LockerGoga」と呼ばれており、Active Directoryへの攻撃との組み合わせにより実行されたとみられている。LockerGogaによる攻撃は、2019年1月に仏コンサルティング会社「Altran社」でも確認されている。
2019年10月24日
2019年10月1日、米国の医療機関「DCH Health System」運営の病院3施設がランサムウェアの被害に見舞われ、ITシステムの復旧期間中、重篤でない患者の転院が強いられる事態となりました。しかもこの被害は、米国食品医薬品局(Food and Drug Administration, FDA)が、医療機器や病院内ネットワークの脆弱性に関する11件のセキュリティリスクについて、患者や医療従事者、その他の関係者へ注意喚起を実施していた矢先に発生しました。
ノルウェーのNorsk Hydroの事例では、主要な生産ラインを手動で操業し、身代金は支払わずに乗り切りました。しかしサイバー攻撃による財務影響は、発生から一週間後の時点で売上・利益が3.5億ノルウェークローネ(日本円で約45億円相当)の影響があり、株価は5%程度下落しました。LockerGogaは産業システム向けに作成されており、製造業を中心とする標的型攻撃でした。
アメリカのDCH Health Systemの事例では、その数か月間、3施設以外の多数の医療機関においてもランサムウェアの感染被害が報じられています。2019年8月下旬、米国ペンシルベニア州の北フィラデルフィアの医療機関「Temple University Health System」がサイバー攻撃を受け、医療機関内のメールシステムや、患者のスケジュール管理システム、その他の機能が利用不能に陥りました。また同年9月には、米国ワイオミング州の医療機関「Campbell County Memorial Hospital」においてランサムウェアの攻撃による被害が発生し、医療サービスの一部が機能不全に陥り、手術やその他の医療処置のスケジュール変更を余儀なくされました。
このように製造業や医療機関等を狙った、被害の甚大なランサムウェアの攻撃が執拗にしかけられています。一部では50万ドル~60万ドルものビットコインを送金し身代金を支払う事例もありました。米国の調査機関によると一般企業は支払ったとしても公開や報告を行わないケースが多く、正確な被害総額は把握できていません。
ランサムウェアを防ぐための対策
ランサムウェアを防ぐためには、システムのセキュリティ対策のためにネットワークのセグメント化や暗号化を実行し、脆弱性管理ソフトウェアやその他のセキュリティ対策製品をインストールすることが必要です。加えて以下の点を実施しておくようにします。
- サイバー犯罪者が不正利用可能なすべての手段にセキュリティ対策を講じること
- セキュリティ侵害が確認された際、速やかに原因特定とインシデント対応の処置を講じること
- あらゆるセキュリティ侵害に対し、機密情報漏えいを阻止する対策を講じること
- セキュリティ対策を強化し、インシデントの再発を防止するため、過去の事例から教訓や知見を積極的に活用すること
- 不審なメールや添付ファイルを開いたり、メッセージ内の不審なリンクをクリックしたりしないこと
- 重要なファイルをバックアップすること: 3つ以上のバックアップ用コピーを作成する、2つの異なる種類の端末に保存する(例:ハードドライブおよびUSB)、その1つは他の2つとは異なる場所で保存する
- 最新の脆弱性を利用する脅威を阻止するため、ソフトウェア、プログラム、およびアプリケーションを定期的な更新を怠らないこと
暗号化とバックアップ
ありきたりな対策ですが、暗号化とバックアップを行っておくことが確実な対策となります。最近ではIoTのようにインターネットに接続される専用機器も増えてきており、その数は今後も爆発的に増え続けるでしょう。よって、そのようなツールを踏み台に、侵入、調査、データ搾取、暗号化と複数のツールを組み合わせ、最大限の効果を狙う手法が今後主流になる可能性があります。データは企業にとって資産価値があり、流出すれば信用の毀損にもつながります。サイバー攻撃者はそのことを十分把握しているからこそ、今後もあらゆる手を使って巧妙な攻撃を仕掛けてくるでしょう。日頃から被害を最小限にするために、必要なソリューションを導入することが重要です。