国内外において、ランサムウェアによる被害は日々増大し、深刻化しています。
被害に遭わないためには、どのような対策が必要なのでしょうか。
本記事ではランサムウェアの被害事例をもとに、感染時に取るべき対処法や予防策を考えていきます。
ランサムウェア(Ransomware)とは、ファイル暗号化やシステムロックなどの攻撃を行い、解除のための身代金を要求するマルウェアの一種です。
ランサムウェアはネットワークやソフトウェアの脆弱性、メールの添付ファイル、不正なウェブサイトなどからパソコンに侵入します。
そして、重要なファイルやシステムを使用不可能にし、データの復旧と引き換えに金銭を要求するのです。
IPA(情報処理推進機構)が例年発表している「情報セキュリティ10大脅威」組織編では、ランサムウェア被害は2016年から9年連続でランクインしました。
2021年から2024年までは4年連続で1位となっています。
また、警察庁の統計資料「サイバー空間をめぐる脅威の情勢等について」によると、企業・団体におけるランサムウェアの被害件数は年々急増しており、2023年には、2022年の年間被害件数の2倍近い被害が報告されています。
このように、ランサムウェアは組織にとって最も恐るべきサイバー脅威となっており、迅速な対策が求められています。
インシデントとは、セキュリティ上の問題が発生し、通常の運用に影響を及ぼす出来事のことです。
ランサムウェアは単なるいたずら目的ではなく、企業や組織に金銭を要求するために作られたマルウェアのため、引き起こされる可能性のある被害(インシデント)は広範囲にわたります。
ここでは、特に企業が警戒すべき主なランサムウェア被害の例を挙げ、その具体的な影響について解説します。
ランサムウェアによってファイルやデータベースが暗号化されたり、システムがロックされることによって、企業は業務を継続できなくなり、経済的損失を被ります。
復旧が長引けば、顧客離れや企業の信頼性低下にもつながる可能性があります。
ランサムウェア攻撃によって暗号化されたり改ざんされたりしたデータの復旧は非常に困難です。
バックアップがない場合、重要なビジネスデータや顧客情報を永久的に失ってしまうことにもなりかねません。
データの損失は、企業活動に致命的な影響を及ぼすことになります。
ランサムウェアの攻撃者は、データと引き換えに高額な身代金を要求してきます。
しかし、身代金を支払ったとしてもデータが確実に解放される保証はありません。
また、復旧作業や対策の強化にかかる費用も含め、企業は大きな金銭的損失が発生することになります。
個人情報や顧客データが含まれるファイルがランサムウェアによって奪われ、外部に漏えいした場合、企業には法的責任が発生します。
多額の賠償金が発生するだけではなく、顧客の信頼を失うことで長期的な評判の損失を招いてしまう可能性もあります。
近年、ランサムウェアによる被害は世界中で発生しており、大企業や公共機関から小規模ビジネスや地方自治体に至るまで、幅広い組織がランサムウェア攻撃の被害に遭遇しています。
海外・国内で実際に報告されたランサムウェアの被害事例を紹介します。
海外におけるランサムウェア感染事例として、インフラ・ライフラインへの被害を2例紹介します。
2019年12月、アメリカの空港にてランサムウェア攻撃によるシステム侵害が発見されました。
この被害では、バックアップを含む内部文書の暗号化に留まったため、幸い、空港のオペレーションには大きな影響はありませんでした。
空港は被害発生後、攻撃者の要求に応じ身代金を支払ったケースとなります。
本件では空港が利用するMSP(マネージドサービスプロバイダー)のネットワーク経由でランサムウェアに侵入されており、近年被害が増加しているサプライチェーンに対する攻撃の一つの事例と言えます。
2021年5月、アメリカの大手石油パイプライン企業がランサムウェア攻撃を受け、5日間の操業停止となる事態が発生しています。
制御システムへの攻撃痕跡はなかったようですが、課金システムが被害を受けたため、同社は燃料供給の停止に踏み切りました。
同社ではバックアップデータがあったものの、燃料供給停止の被害拡大を懸念し、速やかな解決を求めて約5億円の身代金を支払ったケースとなります。
5日後に一部の業務を再開しましたが、供給網の正常化にはさらに数日を要しました。
支払った身代金の一部はFBIにより回収されたと報道されています。
日本国内でも多くのランサムウェア被害が報告されています。
2021年10月、国内の町立病院がランサムウェア「Lockbit」による攻撃を受け、約85,000件の電子カルテや会計システムにアクセスできなくなる被害が発生しました。
同病院では迅速に感染システムをネットワークから遮断し、災害対策本部を設置。
同病院は事前に用意していた、事業継続計画(BCP)に基づき、診療業務を早期に再開しました。
本事例では個人情報漏えいの事実は確認されていませんが、システムの復旧には数か月を要し、システムの復旧費用は数億円にも上ったようです。
2020年11月、国内の有名大手ゲームメーカーがランサムウェア攻撃を受け、データの暗号化・窃取の被害を受けました。
ランサムウェア感染の原因は、予備の旧型VPN機器からの侵入となっています。
個人情報の流出があった旨の発表もされています。
この被害を踏まえ、同社はネットワーク接続を常時監視するSDCサービスや不審なふるまいを検知するEDRの導入などのセキュリティ強化を行っています。
では、実際にランサムウェア攻撃を受けた際には、どのような対処をすべきでしょうか。
企業として行うべき対処方法を順を追って説明します。
ランサムウェアは、ネットワークを介して他の端末に感染を拡大させます。
ランサムウェア感染が確認されたら、まずは感染したデバイスをネットワークから切り離し、被害の拡大を防ぎましょう。
ランサムウェアに感染してしまうとセキュリティツールを用いて、ランサムウェアに感染したファイルを特定し、駆除を行いたくなるところですが、駆除をしてしまうとフォレンジックを行うことができなくなってしまいます。
フォレンジックとはセキュリティ事故が起きてしまった際に端末やネットワーク内の情報を収集し、被害状況の解明や犯罪調査に必要な法的証拠を明らかにする取り組みのこと。
感染した端末が切り離されたことが確認されたら、感染時のデータを証拠として確保しましょう。この際に注意するべきは所定の手続きに則って行う必要があります。
むやみに電源を切ったり、バックアップを取るなどの操作を重ねるとハッシュ値などが書き変わってしまう恐れがあり、感染経路の特定や復元作業の妨げとなってしまう可能性があるので注意しましょう。
これら手順の確認も含めて、システム管理者へ相談、通知しましょう。
最初に行うべきことは、攻撃の影響範囲を特定することです。
どのシステムやデータが影響を受けているのか、感染が内部ネットワークに拡散していないかを確認します。
影響を受けたシステムを特定したら、すぐに文書化し、記録を取っておきましょう。
この情報は、後続の対応策を決定する際の基礎となります。
感染が他のシステムやデバイスに拡散するのを防ぐために、影響を受けたシステムをネットワークから隔離します。
インターネット接続を切断し、内部ネットワーク内の通信もただちに停止させてください。
これにより、ランサムウェアがネットワーク内で拡散するのを抑えることができます。
ランサムウェアの種類を特定することが次のステップです。
セキュリティソフトウェアを使用してスキャンを行い、感染源を特定します。
また、ランサムウェアの挙動や特徴から、感染したマルウェアの種類を特定することが可能な場合もあります。この時に削除してしまうと追跡ができなくなることもありますので、
可能であればセキュリティの専門家に相談しながら行うことをお勧めします。
データが暗号化されたり、システムがロックされたりした場合、事前に取得していたバックアップからの復旧が最善の対応策です。
重要なのは、感染する前の最新のバックアップを使用すること。
復旧作業を安全に行うためにも、バックアップデータがランサムウェアに感染していないことを必ず確認しましょう。
復旧作業には時間がかかることがあるため、事業継続計画に従って対応し、必要に応じて顧客や関係者に通知を行うことも必要となってきます。
ランサムウェア被害は、大企業だけの問題ではありません。
2023年上半期のランサムウェア被害件数では、中小企業が60件(全体の58%)となり、大企業30件(29%)を上回る結果となっています。
今やランサムウェアによる被害は、企業の規模や業種を問わず警戒しなければならない脅威となっているのです。
企業が実施すべきランサムウェア被害対策のポイントは、以下のようになります。
ランサムウェアの被害から身を守るには、まず「感染させない」ための予防が最も効果的です。
また、万一感染した場合、速やかにデータを復旧し被害を最小限にとどめるには、計画的なバックアップとデータの安全な保管が不可欠となります。
「対策方法はわかったけれど、具体的に何をすればいいのかわからない」
「自社で使用しているシステム全てを把握している担当者がいない」
このような場合は、セキュリティ対策を外部企業に委託するという選択肢があります。
特にセキュリティに関する知識やリソースが不足している中小企業では、専門家によるサービスを利用することで、少ないリソースでも、より踏み込んだランサムウェア対策を行うことが可能です。
事例を見てもわかるように、ランサムウェアの被害は甚大で、被害にあうと専門機関や有識者の介入が不可欠となります。
アウトソーシングの詳細については、次の記事も併せてご参照ください。
