「ランサムウェア攻撃による暗号化」とは、ウイルスに感染したパソコンやサーバーの中のデータが、勝手に暗号化されて使えなくなってしまうことです。攻撃者はその暗号を解除するための“カギ”を人質にして、「元に戻したければお金(身代金)を払え」と要求してきます。
この記事では、ランサムウェアの脅威とその対策について、わかりやすく解説します。実際の被害事例や暗号化の仕組み、ランサムウェアの「入口」となるEmotetの最新動向を紹介しながら、企業が取るべき具体的な対策を詳しく説明します。
ランサムウェアとは?
ランサムウェアとは、パソコンやサーバーの中のデータを勝手に暗号化して使えなくし、元に戻すための「身代金(ランサム)」を要求する悪質なウイルスのことです。
ランサムウェアに感染すると、業務に必要なシステムやデータベース、ファイルなどが暗号化され、使用できなくなります。さらに、情報が盗まれるケースもあり、犯人は「暗号を解除する代わりに金銭を支払え」と要求してきます。
暗号の性質上、それを解除できるのは犯人だけです。そのため、被害にあった企業が取れる選択肢は、主に次の2つです:
- 暗号化解除をあきらめ、システムをゼロから再構築する
- 犯人に金銭を支払い、暗号化の解除を依頼する
もちろん、推奨されるのは1の「再構築」ですが、現実には2を選ぶ企業も少なくありません。なぜなら、システムやデータの復旧には膨大なコストと時間がかかり、その間、業務が止まってしまう可能性があるからです。
さらに、「盗んだ情報を公開する」と脅されることもあり、企業にとっては金銭を支払う方が損失が少ないと判断されるケースもあります。
ランサムウェアの目的
ランサムウェアの最大の目的は、被害者から身代金を得ることです。攻撃者は、暗号化したデータを元に戻す「復号鍵」と引き換えに、多額の金銭を要求します。
しかし、企業が受ける被害は、金銭の支払いだけではありません。
日本国内でも、被害の調査やシステム復旧に数億円規模のコストがかかったケースや、復旧までに2カ月以上を要した事例などが報告されています。
ランサムウェアの暗号化手法
ランサムウェアによる暗号化の手法には、主に以下の3つがあります。
1.ファイル全体を暗号化する手法
ファイルの内容をすべて暗号化する手法で、非常に強力です。ただし、処理に時間がかかるというデメリットがあります。
2.ファイルの先頭部分のみを暗号化する手法
ファイルの冒頭だけを暗号化することで、処理スピードを高めた手法です。ただし、暗号化されていない部分が残るため、データの一部が復元できる可能性があります。
3.ファイルを部分的に暗号化する手法
ファイルの種類やサイズに応じて暗号化の範囲を変える手法です。短時間で大量のファイルを暗号化できるのが特徴で、近年よく使われている手法です。
ランサムウェアの被害事例
2024年上半期の日本におけるランサムウェア被害報告件数は114件に達し、依然として高水準で推移しています。ここでは、近年話題になったランサムウェアの暗号化による被害事例を紹介します。
半田病院のランサムウェア被害
2021年10月、徳島県の半田病院で院内システムがランサムウェアの攻撃を受け、大きな話題となりました。感染によって、約8万5,000人分の電子カルテや、会計システムなどの重要なデータがバックアップを含めてすべて暗号化されました。
病院側は犯人への金銭の支払いを拒否し、約2億円をかけて新たなシステムを構築、約2カ月後には通常診療を再開できましたが、それまでの間は以下のような深刻な影響が出ました:
・一部の新規患者の受け入れを停止
・手術の中止
・手作業によるカルテの再作成
このように、医療機関にとってランサムウェアによるデータ暗号化は、診療の継続すら脅かす深刻な問題です。なお、2024年には岡山県精神科医療センターでも同様の被害が確認されており、医療機関への攻撃が後を絶たない状況です。
病院へのランサムウェア攻撃については、以下の記事を参照ください。
病院がランサムウェア攻撃を受けるとどうなる?事例と対策を紹介
トヨタ自動車へのランサムウェア被害
2022年2月28日、トヨタ自動車は日本国内の全14工場・28ラインの稼働を、翌3月1日に停止すると突然発表して大きな注目を集めました。原因は、取引先企業がランサムウェアに感染したことでした。
工場の停止は1日だけで、3月2日には稼働を再開しましたが、少なくとも約1万3,000台以上の自動車生産に影響が出たと見られています。
このケースでは、金銭を支払うことなく短期間で復旧できました。これは、トヨタと関連企業が日頃から非常時に備えた体制を整えていた結果といえるでしょう。
トヨタ自動車のランサムウェア被害については、以下の記事も参考にしてください。
トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは
巨大インフラ企業へのランサムウェア攻撃
世界的に注目されたランサムウェア被害のひとつが、2021年にアメリカ最大の石油パイプライン企業「コロニアル・パイプライン社」への攻撃です。
これにより、同社は約1週間にわたって操業を停止し、その影響でガソリンの供給が不安視され、市民による買いだめが発生しました。結果として、各地でガソリンが品切れになり、価格も急騰するなど、混乱が広がりました。
最終的にコロニアル・パイプラインは、犯人に対し440万ドル(約4億8,000万円)をビットコインで支払い、システムを復旧させました。
マルウェア「Emotet」とランサムウェア
Emotet(エモテット)は、ここ数年で活動が活発化しているマルウェアです。感染するとすぐにメールアカウントが乗っ取られ、アドレス帳に登録されている連絡先に対してウイルスメールが大量に送信されるという特徴があります。こうしたメールをうっかり開いて添付ファイルをダウンロードしてしまうユーザーが後を絶たず、深刻な問題となっています。
Emotet自体はランサムウェアではありませんが、Emotetをきっかけにランサムウェアへと感染が広がる事例も多数報告されており、警戒が必要です。
さらに、Emotet以外にもランサムウェアの感染経路には、以下のようなものがあります。
・フィッシングメール
・不正なWebサイトへのアクセス
・アプリのインストール
・脆弱なVPN機器
・悪意あるファイルのダウンロード など
最近では、一般的なウイルス対策ソフトをすり抜けるマルウェアも増えており、日頃から感染経路を正しく理解し、継続的な警戒と対策を行うことが重要です。
暗号化されたデータは復元できる?
ランサムウェアにより暗号化されたデータの復元は難しいものの、不可能ではありません。たとえバックアップがなくても、いくつかの手法があります。
例えば、「No More Ransom」プロジェクトのWebサイトでは、感染したランサムウェアの種類を特定し、対応する復号ツールが提供されているかどうかを確認できます。
専門的な方法としては以下のようなものがあります:
・メモリーフォレンジック(デジタル鑑識)によって、PCのメモリから暗号鍵を見つけ出す
・暗号化されていない部分のデータを部分的に復旧する
・ランサムウェア自体の脆弱性を突いて復号を試みる
・攻撃者から復号鍵を奪取する(※高度な技術が必要)
ただし、上記の方法は成功率が高いとは言えず、必ずしも復元できるとは限りません。運に頼るのではなく、日頃からのバックアップやセキュリティ対策が最も確実な防御策です。
企業が取るべきランサムウェア対策
企業がランサムウェア対策として取るべき基本的な対策には、以下のようなものがあります。
感染を前提にした「備え」
ランサムウェアへの感染を完全に防ぐのは難しいため、万が一の事態を想定したシミュレーションや対応計画の策定が重要です。具体的な対策としては、以下のような準備が有効です:
・感染時に備えたネットワークの切り離し体制
・アクセス権限の分散管理(特定の人に権限が集中しないようにする)
・共有サーバーのセキュリティ強化
・代替システム・ネットワークの構築準備(業務を止めないための仕組み)
・CSIRT(インシデント対応チーム)の設置
OSやソフトウェアの定期的なアップデート
OSやソフトウェアの脆弱性は、ランサムウェアの侵入口になりやすいため、常に最新の状態に保つことが重要です。
・自動更新機能を有効にする
・定期的に手動でアップデートを確認・実施する
上記の対策によってセキュリティの穴をふさぎ、感染リスクを減らすことができます。
定期的なバックアップの取得
重要なデータは、定期的にバックアップを取り、オフラインで保管することが大切です。万が一ランサムウェアに感染しても、バックアップがあれば復旧が可能です。
また、クラウドストレージの活用も有効ですが、ランサムウェアの被害を受けないようにするために、適切なアクセス権限や制限の設定が必要です。
セキュリティソフトによる脆弱性スキャン
セキュリティソフトを使って、定期的にシステムの脆弱性をスキャンすることが大切です。スキャンによって潜在的なセキュリティホール(弱点)を発見し、早めに対処することができます。
発見された脆弱性は、アップデートや修正パッチの適用ですぐに対応しましょう。これにより、ランサムウェアの被害リスクを大きく減らすことができます。
社員のセキュリティ研修
従業員を対象とした定期的なセキュリティ研修は、ランサムウェア対策として非常に効果的です。研修では以下のようなポイントを伝えるとよいでしょう。
・ランサムウェアの仕組みや脅威についての理解
・安全なメールやインターネットの使い方
・不審なリンクや添付ファイルへの注意喚起
一人ひとりの意識が高まることで、組織全体のセキュリティレベルも向上します。
データ暗号化
重要なデータをあらかじめ暗号化して保存しておくことで、ランサムウェアに感染した場合でも情報漏えいのリスクを抑えることができます。
特に以下のようなデータは、強力な暗号化アルゴリズムを使って保護するのが効果的です。
・個人情報
・機密情報
・顧客データや契約書類など
暗号化は、万が一のランサムウェア被害を最小限にするための「最後の砦」となります。
まとめ
ランサムウェアによるデータ暗号化は、企業にとって経済的な被害だけでなく、信用を失いかねない重大なリスクを伴います。そのため、日頃からしっかりとした対策を講じることが不可欠です。
基本的なセキュリティ対策の徹底に加えて、以下のような対策が求められます。
・定期的なバックアップの取得
・従業員へのセキュリティ教育
・ネットワークの監視体制の強化
さらに、Emotetなど新たな脅威にも常に注意を払い、最新の対策情報を把握する姿勢が求められます。
ランサムウェア対策の「最後の砦」は、企業側であらかじめデータを「暗号化」してしまうことです。特に高いレベルの保護が必要な場合は、D.AMOのような最新の暗号化ソリューションの導入をおすすめします。
