昨今、ランサムウェアにより企業が攻撃され、個人情報が盗まれたり、多額の身代金を要求されたりする事態が後をたちません。最近では、多くの企業でVPNやリモートデスクトップ接続が行われており、その脆弱性を突き、ランサムウェア攻撃が行われている場合が多いです。
ランサムウェアは、200種類以上を超え、感染経路もかなり複雑といわれています。さらに、その手口は恐ろしい速さで進化しているため、特別な注意が必要です。そこで、本記事では、2023年最新のランサムウェアの特徴や企業の感染事例、感染対策について解説します。被害が発生してからでは遅いため、事前にしっかりと把握したうえで、対策を講じることが重要でしょう。
【2023年版】ランサムウェアの特徴
前述した通り、ランサムウェアは日々進化しているため、最新の特徴を知ることが必要不可欠です。
そもそもランサムウェアとは、パソコンやスマホを感染させてファイルを暗号化し、読み込めなくした後に、解除するための身代金を要求するマルウェアを指します。警察庁が公開している「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和4年度のランサムウェア被害は、230件と報告されました。令和3年度の下半期は、146件のため増加しているといえます。
2023年に報告されたランサムウェアの感染経路は、VPNとリモートデスクトップ接続が多いとされています。「内閣サイバーセキュリティセンター」によると、ランサムウェアの感染経路は68%がVPNからの侵入、15%がリモートデスクトップからの侵入と回答されています。コロナ過でテレワークが普及して以来、その動きはこのまま定着しつつあり、自宅のノートパソコンから本体のパソコンへリモートデスクトップ接続する機会が依然として多いです 。その際にVPNを使用するため、脆弱性を狙われている可能性があります。
また他にも、不審なメールを開けてしまい、添付ファイルからランサムウェアに感染する事例も報告されています。
ランサムウェアの特徴
ランサムウェアの特徴として以下の2点を解説します。
- 標的型
- サプライチェーン型
標的型ランサムウェアは、事前に特定の企業に目的を定め、手動攻撃で脆弱性を突いて感染させる攻撃方法です。徹底的に情報収集を行い、企業の脆弱性を見抜いて感染させるため被害を受ける可能性が高くなります。ランサムウェアの感染に成功すると、多額の身代金を要求されるため注意が必要です。
サプライチェーン攻撃は、企業のシステムに侵入して、そこを踏み台としてその企業が取引している取引先への攻撃を行う手法です。そのため比較的にセキュリティが手薄な中小企業であっても油断してはなりません。自社のシステムが乗っ取られ、アクセスけんが乱用され、取引のある大企業や顧客に感染が及ぶ恐れがあるためです。サプライチェーン攻撃の恐ろしいところは、自社だけでなく、取引先に金銭的、社会的な損害を被らせてしまうことです。
ランサムウェアの種類
ランサムウェアには、さまざまな種類があります。ここでは、最新のランサムウェアとして注目される以下3種類を解説します。それぞれのランサムウェアの特徴を理解して、感染した際の対策を立てましょう。
- CryptoLocker
- Locky
- WannaCry
CryptoLocker
CryptoLockerに感染してしまうと、感染したPCにユーザがアクセスできなるなります。更にファイルが暗号化してしまい開封ができなくなります。感染したユーザは、そのPCで保存されているオンライン銀行認証情報も盗まれる被害を受けます。CryptoLockerは、重要な文書が暗号化されたことをユーザに通知し、身代金を要求するのです。一時的に業務が止まるだけでなく、顧客情報や個人情報が盗まれ、修復できない事態になるため危険なランサムウェアです。
Locky
Lockyは、2016年2月中旬ごろから国内外で感染被害が報告されているランサムウェアです。PCに保存されている数多くのファイルが暗号化され、拡張子がLockyに変更されます。また、拡張子を元に戻したとしても再度使用できません。基本的には、復元ファイルからの修復も困難になります。感染経路としては以下のとおりです。
- ファイルが添付されたメールが送られる
- ファイルを開き、マクロを実行する
- マルウェアがダウンロードされ感染する
メールの添付ファイルによる感染は、最も知られているランサムウェアの手口であるものの、被害が最も多い手法の一つでもあります。特に、Lockyの厄介な点として、感染被害を防ぐためにマクロを無効化していたとしても、自動的に有効化され、感染する可能性があることです。怪しいメールファイルは開かないことが望ましいでしょう。
WannaCry
WannaCryも上記2つのように暗号化され、感染するとファイルが開けなくなるランサムウェアです。最大の特徴は、身代金の要求がビットコインである点です。報告されている金額では、ビットコインで約300ドル(約41,871円)の支払いを求められました。感染経路は、ユーザがURLをクリックしたり、ファイルを開いたりすることです。感染すると、他のネットワークにも自動的に広がるといった厄介な性質を持っています。
WannaCryは、Windows OSのSMBの脆弱性をついたランサムウェアです、2017年3月にMicrosoft社がWindowsの更新パッチを公開していましたが、アップデートされていない企業のパソコン内で感染が拡大しました。そのため、Microsoft社は緊急パッチを提供しています。
ランサムウェア被害の事例
ランサムウェアへの被害は、さまざまな企業で報告されていますが、現在も被害が後をたちません。本項では、2023年最新のランサムウェアの被害について解説します。
名古屋港
2023年7月4日に、名古屋港統一ターミナルシステムの障害が発生し、ランサムウェア感染による被害だと発表されました。協会職員が確認したところ、使用しているプリンターが突如動き出し「ランサムウェアに感染した」といった文言の脅迫文が100枚ほど出力されました。そして、業務で使用しているコンテナ(貨物を入れて輸送するための入れ物)の停止により、物流にも影響が生じています。
また、このシステムだけでなく、名古屋港運協会に加盟する企業も被害にあったシステムを利用できるため、加盟企業中からランサムウェアが侵入した可能性も考えられます。
愛知県警は事態を調査していますが、攻撃元はロシア型ハッカー集団とみられており、検挙困難とされました。正確な原因はわかっていませんが、連携を取っている組織から感染する可能性もあるのです。
日本コンクリート工業
日本コンクリート工業も、ランサムウェアによるサイバー攻撃を受けました。サーバ11台でファイルの暗号化被害が確認されており、株主総会で決算報告ができない影響が出ました。
調査の結果、サイバー攻撃が5月3日より開始され、ファイアウォールのVPN機能の脆弱性を突かれて侵入されたと判明しました。それにより総当たり攻撃が行われ、管理者のパスワードが流出し、情報資産が入っているシステムにランサムウェアが広がっています。しかし、パソコンに関しては、1部アクセスされた痕跡は確認されたものの、感染には至っていない模様です。
このように、ランサムウェアはIT機器1台だけでなく、複数の機器が感染する可能性があるため、1台でも侵入しない仕組みづくりが必要です。
ランサムウェアの感染対策
ここまで、ランサムウェアの被害事例を見てきました。それでは、ランサムウェア攻撃から自社のシステムを安全に守るためにどのような対策が必要なのでしょうか。ランサムウェアは、種類も、また手口も数え切れないほど多いため、1つの対策だけでは完全に防ぎきれないです。以下の対策を参考にして自社のシステムに合った対策を講じていきましょう。
定期的なバックアップ
ランサムウェアの攻撃を受けた場合に備えて、定期的なバックアップをしておきましょう。被害を受けたとしても、バックアップがあれば、攻撃を受ける前の環境に戻せるためです。
バックアップを取っている組織は多いですが、定期的に行っていないことが傾向にあります。ランサムウェアの被害を受けた後に、感染前に戻したくても、1週間前のデータまでしか保存されていなければ最新のデータ復旧ができません。そのため、バックアップの間隔を短くする対応が求められるでしょう。
バックアップは、基幹システムだけでなく、重要データ個人のPCでも必要です。その場合でも、大容量のデータ格納先が必要となる場合があるため、保存するサーバやNASなどの管理が必要でしょう。
端末の監視
ランサムウェア攻撃からの被害を防ぐためには、PCや端末などエンドポイントに対するセキュリティも必要です。理由として、端末の監視を行い、ウイルスの感染を察しできると早急な対応が可能になるからです。
しかし、常に人の目で調査することは難しいため、EDR( Endpoint Detection and Response、端末の不審な行動を感知して対応を支援するセキュリティソリューション)をランサムウェア対策として導入する企業も増えてきました。
EDRは、ユーザの行動を定期的に監視し、ランサムウェアや攻撃を検知すると経路の特定が可能です。早期発見することで、感染した端末をネットワークから切り離したり、重要データを保護したりといった対策を立てられます。このように端末の監視を行い、ランサムウェア被害を最小化しましょう。
脆弱性対策
ランサムウェアの感染として考えられるのが、脆弱性が狙われる場合です。そのため、セキュリティの見直しが欠かせません。前述した通り、VPNやリモートデスクトップ接続の脆弱性により攻撃される場合が多いため、更新プログラムが適用されているかの確認を行いましょう。
脆弱性を見直す方法として、企業にシステム担当者を設けたり、契約しているIT業者との脆弱性対策の協議をしたりして対策を立ててください。
DB暗号化
IT資産が非常に重要となった今の時代では、データ中心の考え方が必要です。データのバックアップは事実上事後対策で、盗まれたデータに対する対策にはなりかねません。この場合は、DB暗号化が解決策になり得ます。本当に守るべきデータを識別し、そのデータベースに対し暗号化を行うため、もしデータベースがハッカーに盗まれた際にも、重要データを安全に守ることができます。
ペンタセキュリティでは、データベースの安全起動とパフォーマンスを確保できる、DB暗号化製品の「D’Amo」を提供しています。D’Amoは、データベースの暗号化に加え、許可されたユーザのみアクセスができるように権限を設定できるアクセス制御や監査機能など、データ保護に集中したセキュリティ対策になります。
D’Amoに関する詳細はこちら
まとめ
DX導入によってデジタル化が進むにつれ、ビジネス環境が急速に変わってきました。ITシステムをどう整備していくか、またセキュリティ対策をどう講じていくかによって、デジタル時代の勝者が決まるでしょう。とくに、セキュリティは企業の存亡にかかわる重要な要因の一つとして、企業担当者は、常に最新のセキュリティ動向を把握し、自社のセキュリティ制作に反映していかなければなりません。
ランサムウェアは、日々巧妙化し、規模も大きくなっています。CryptoLockerやLocky,WannaCryを含めさまざまな脅威に対応できる統合ソリューションの導入が求められます。
ペンタセキュリティは、情報セキュリティ専門企業として、DB暗号化を始め、WAFやSSOなど様々なセキュリティ対策を提供しております。お客様のシステム環境、ニーズに合わせて最適なセキュリティを実装を提案いたしますので、ご興味のあるかたは、弊社の製品をぜひご覧になっていただければと思います。
