システムやデータを暗号化して身代金を要求する「ランサムウェア」は増加傾向にあり、引き続き高いレベルで警戒が必要な脅威です。ランサムウェアへの感染は、身代金の支払い、莫大な復旧コスト、事業継続不可といった事態を招く可能性があるため、経営者は重大な事業リスクのひとつとして認識し、適切な対策を取る必要があります。
本記事では、ランサムウェア攻撃が秘めるリスクや被害事例、企業ができる対策について解説していきます。
ランサムウェアとは?
一般的に、ランサムウェアに感染すると業務に必要不可欠なシステム、データベース、ファイル等が「暗号化」および窃取されて使用不能になり、犯人グループから「暗号化解除」と引き換えに金銭の支払いなどを要求されます。
暗号の性質上、暗号化を解除できるのは犯人だけであるため、ランサムウェア被害に遭った場合、企業が取れる選択肢は以下の2つに絞られます。
- 暗号化解除を諦め、0からシステムを再構築する
- 金銭を支払って、暗号化を解除してもらう
もちろん推奨されるべきは1の選択肢ですが、2を選択する企業も少なくありません。なぜなら、代替システムやデータベースを0から再構築するとなると、膨大なコストが発生しますし、一定期間、業務の継続が不可能となるからです。
また「盗んだ機密情報を公開するぞ」と脅された場合、企業にとっては「金銭を支払った方が損失が少ない」ケースも往々にして存在します。
ランサムウェアの目的
ランサムウェアの主な目的は、被害者から身代金を得ることです。攻撃者は、暗号化されたデータの復号鍵と引き換えに、多額の金銭を要求します。しかし、企業が被る損害は身代金の支払いだけにとどまりません。
日本国内においても、調査・復旧に数億円以上のコストを要したものや、システム等の復旧に2カ月以上要した事例が報告されています。
ランサムウェアの暗号化手法
ランサムウェアによる暗号化手法は、主に3つの方式が確認されています。1つ目は、ファイル全体を暗号化する方式です。強力な暗号化方法ですが、処理に時間を要するという特徴があります。
2つ目は、ファイルの先頭部分のみを暗号化する方式です。この方式は処理スピードが早い一方、暗号化されていない部分が残るため、一部のデータが復元できる可能性があります。
3つ目は、ファイルを部分的に暗号化する方式です。この方式では、ファイルのサイズや種類に応じて暗号化範囲が調整されます。そのため、短時間で大量のファイルが暗号化されるという特徴があります。
ランサムウェアの被害事例
2024年上半期のランサムウェア被害報告件数は114件に達し、依然として高水準で推移しています。特に、中小企業の被害が64%を占めています。
病院へのランサムウェア攻撃
2021年10月、徳島県 半田病院の院内システムがランサムウェアに感染したことが話題となりました。感染したランサムウェアは、バックアップを含めたすべての電子カルテ(約8万5,000人分)と、同病院で使用されている会計システム等を暗号化しました。
同病院は犯人グループに対する金銭の支払いを拒み、約2億円を投じて新たなシステムを構築しました。結果的に約2カ月後には通常診療を再開できたものの、その間、同病院は一部新規患者の受け入れを停止していたほか、一部の手術を中止したり、手作業でカルテを作り直したりするなどの大きな被害を受けました。
なお、半田病院以外にも、2024年には地方独立行政法人岡山県精神科医療センターが被害に遭うなどの事例が報告されています。
トヨタ自動車へのランサムウェア攻撃
2022年2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を3月1日に停止することを突如発表し、その原因が「トヨタの取引先企業がランサムウェアに感染したこと」だったため、大きな話題となりました。
結果的に全国の工場の稼働が停止したのは3月1日だけで、翌2日からは稼働を再開したものの、少なくとも計1万3千台以上の自動車生産に影響が出たと推測されています。
このケースでは、金銭を支払うことなく、たった1日で業務を再開できていますが、これは、トヨタ自動車とその関連企業が平素から非常時を想定した対策をしっかり取っていたことの証左でもあります。
トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは
巨大インフラ企業へのランサムウェア攻撃
世界に目を向ければ、2021年に最も注目された事件のひとつが、アメリカ最大の石油パイプラインを提供する企業「コロニアル・パイプライン」へのランサムウェア攻撃事件です。
コロニアル・パイプライン社は、ランサムウェアの被害を受けたことで約1週間にわたり操業を停止しました。その結果、ガソリン不足を懸念した市民の「買いだめ」が発生し、各地でガソリンの売り切れ、価格の高騰が起きるなど、影響は一般社会にまで波及しました。
最終的に同社は、犯人グループに対し440万ドル(4億8,000万円相当)を暗号資産ビットコインで支払うことでシステムを復旧させています。
猛威をふるう「Emotet」とランサムウェア
Emotetは数年前から活発化しているマルウェアで、感染後すぐにメールアカウントが乗っ取られ、登録されている連絡先にウイルスメールが大量に送信される特徴があります。ウイルスメールをつい開封してダウンロードしてしまうユーザーが後を絶たず、問題となっています。
Emotet自体はランサムウェアではありませんが、Emotetを踏み台としてランサムウェアに感染する事例も複数報告されており、警戒が必要です。
また、Emotet以外にも、フィッシングメール、Webサイトへのアクセス、アプリインストール、VPN機器、ファイルダウンロードなど、想定しうるランサムウェアの感染経路は多数存在します。最近では、アンチウイルスソフトを当たり前のように通過するマルウェアも横行しているため、感染経路を把握し、平素から警戒を怠らないことが重要です。
暗号化されたデータは復元できるのか
ランサムウェアに暗号化されたデータの復元は困難ですが、不可能ではありません。バックアップデータがない場合でもいくつかの手法があります。
まず、「No More Ransom」プロジェクトのWebサイトを利用して、感染したランサムウェアの種類を特定し、復号ツールが利用可能かどうかを確認することができます。
さらに、「メモリーフォレンジック(デジタル鑑識)」を使用して暗号鍵を取得したり、暗号化されていない部分のデータを復旧したりする方法があります。また、ランサムウェア自体の脆弱性を利用して復号する方法や、攻撃者から復号鍵を奪う方法もあります。
ただし、これらの方法は必ずしも成功するとは限らず、失敗する可能性も高いです。運良く復元できることに期待するのではなく、事前に対策しておきましょう。
ランサムウェア対策として企業にできること
企業がランサムウェア対策として取るべき基本的な対策には、以下のようなものがあります。
感染を想定した対策を
ランサムウェア感染を想定したシミュレーションや対応計画の策定が重要です。具体的には、バックアップの取得、ネットワークの切り離し、アクセス権限の分散、共有サーバーの管理強化、代替システム/ネットワークの構築準備、CSIRTの設置などが挙げられます。
OS、ソフトウェアなどの定期的なアップデート
OSやソフトウェアの脆弱性はランサムウェアの侵入経路となるため、常に最新の状態に保つようにしましょう。自動更新機能を有効にするか、定期的に手動でアップデートを行いましょう。
定期的なバックアップの取得
重要なデータは定期的にバックアップを取得し、オフラインで保管することが重要です。クラウドストレージの利用も効果的ですが、ランサムウェアの影響を受けないよう、適切なアクセス制御を設定する必要があります。
セキュリティソフトウェアによる脆弱性スキャン
セキュリティソフトウェアを使用して、定期的にシステムの脆弱性をスキャンし、アップデートすることが重要です。潜在的なセキュリティホールを塞ぐことができます。
社員のセキュリティ研修
従業員に対して定期的なセキュリティ研修を実施し、ランサムウェアの脅威や対策について教育することも効果があります。安全なインターネット利用習慣などについて指導しましょう。
ネットワーク監視
ネットワークトラフィックを常時監視し、不審な活動を早期に検知することができれば、被害は軽くなる可能性があります。異常な通信パターンや不正なアクセス試行を特定し、対応することで、被害を最小限に抑えることができます。
アクセス権の管理
必要最小限のアクセス権限を付与する原則を徹底し、定期的に見直すことが重要です。特権アカウントの管理を厳格に行い、不要なアクセス権限を削除することで、ランサムウェアの拡散を防げます。また、不必要な権限を付与しているとリスクがあることを認識しておくとよいでしょう。
USBなどの外部接続機器の管理
USBメモリなどの外部接続機器の使用を制限し、必要な場合のみ許可する仕組みを構築することで、外部接続機器によるランサムウェアの感染を防げます。また、使用前にはウイルススキャンを必ず実施するよう、ルールを設定しましょう。
怪しいメールへの対応方法の周知
不審なメールの特徴や対処方法について、全従業員に周知しましょう。添付ファイルやリンクを安易にクリックしないよう注意し、疑わしい場合は IT部門に報告するよう指導します。
データ暗号化
重要なデータを暗号化して保存することで、ランサムウェアに感染しても情報漏えいのリスクを軽減できます。特に、個人情報や機密情報については、強力な暗号化アルゴリズムを使用することが推奨されます。
まとめ
ランサムウェア攻撃は、油断できない脅威であり、その影響は経済的損失から信用失墜まで多岐にわたるため、対策を講じる必要があります。
基本的なセキュリティ対策を徹底することはもちろん、定期的なバックアップ、従業員教育、ネットワーク監視などの対策を講じることが重要です。また、Emotetなどの新たな脅威にも常に注意を払い、最新の対策情報を収集し続けることが欠かせません。
なお、ランサムウェア対策の最後の砦はデータの暗号化です。より高度な保護が必要な場合は、D.AMOのような最新の暗号化ソリューションの導入をおすすめします。
