近年、企業や組織に対するサイバー攻撃の中で最も多くの被害が報告されているのが、身代金を要求するマルウェア(ランサムウェア)です。
ランサムウェアに感染すると、企業は金銭を要求され、解決するまでスムーズな業務進行が難しくなったりします。
本記事では、身代金要求型マルウェアによる被害の内容や感染時の対処法、予防策を詳しく解説していきます。
ランサムウェア(ransomware)とは、「ransom(身代金)」と「software(ソフトウェア)」を組み合わせた造語です。
コンピューターや利用者に被害をもたらすことを目的とした悪意あるソフトウェアを「マルウェア」と呼びますが、その中でもマルウェアの一種、ランサムウェアは攻撃だけにとどまらず、金銭まで要求してきます。
ランサムウェアは身代金要求型マルウェアという名前でも呼ばれており、感染したコンピューターのファイルを暗号化したり、システムをロックしたりといった攻撃を行ったのち、解除のための身代金を支払わせるのが最終的な目的です。
そのため、個人よりも支払い能力の高い企業や組織を狙う傾向があり、要求される身代金も高額となっているのが特徴です。
身代金要求型マルウェアの攻撃を受けたらどのような被害が起こるのでしょうか。
感染した場合の被害の流れを見ていきましょう。
身代金要求型マルウェアの被害は、まずネットワークへの侵入から始まります。
ソフトウェアの脆弱性や防御の薄いネットワーク機器を利用して攻撃者がシステム内に侵入し、サーバー等を狙ってランサムウェアを実行。
感染するとランサムウェアは迅速にシステム内のファイルを暗号化し始め、少しの間に完了させてしまいます。
ファイルが暗号化された後、攻撃者はデバイスの画面に身代金を要求する脅迫メッセージを表示させます。
また、支払わなかった場合にデータを消去するといった脅しや、支払期限までの残り時間が表示され、被害者を煽ります。
身代金の支払いは通常、追跡が困難なビットコインなどの暗号通貨で行われることが多く、支払方法の指示や決済画面のリンクが貼られている場合もあります。
マルウェア感染が確認されてから、駆除を完了しデータを復旧して業務を再開するまでには数日を要することもあります。
そうなると、最も手っ取り早い解決方法として、身代金の支払いという選択肢を選びたくなることもあるでしょう。
しかし、攻撃者の要求には決して応じてはなりません。
この章では、マルウェア感染時に身代金を支払うべきではない理由を解説します。
身代金を支払ったとしても、攻撃者が約束通りデータを元に戻してくれるとは限りません。
これは、身代金を支払って複合キーを受け取った場合でも同様であり、データが元通りになる保証はありません。
身代金を支払うことで、「この企業は脅迫に屈する」「支払う能力がある」と見なされ、さらなる攻撃・脅迫を受ける危険があります。
また、身代金を支払った事実が知られることにより、他の犯罪者からマルウェア攻撃のターゲットにされる可能性もないとは言えません。
国際的には、サイバー犯罪グループを経済制裁の対象としている国もあります。
このような場合、犯罪者に金銭を支払うことが、犯罪への加担と見なされてしまうのです。
日本では身代金を支払ったことが直ちに違法となるわけではありませんが、米国ではサイバー犯罪者は制裁の対象となっており、これに支援を行った場合は民事上の法的責任を問われる可能性があります。
身代金要求型マルウェアに感染したら、被害を最小限に食い止めるため、適切な順番で対処を行う必要があります。
マルウェア感染時に行うべきことを順を追って解説します。
マルウェア感染の疑いがある場合、最初にすべきことは、他の端末への感染拡大を防ぐことです。
マルウェアがネットワークを介して他の端末に感染を広げる危険がありますので、感染が疑われるデバイスをすぐにネットワークから切り離し、隔離しましょう。
感染端末を隔離したら、セキュリティソフトを使ってマルウェア感染したファイルを特定し、削除します。
この段階で端末はオフラインとなっていますので、ウイルス定義をアップデートすることができません。
そのため、日常的にセキュリティソフトの更新を行い、定義ファイルを最新にしておくことが重要となります。
身代金要求型マルウェアによって暗号化されたデータを元の状態に戻すのは非常に困難です。
これは、身代金を支払って複合キーを受け取った場合でも同様。データが元通りになる保証はありません。
そのため、データを複合するのではなく、安全なところに保管してあるバックアップデータを使って復旧する方法が最も確実です。
マルウェアは、さまざまな感染経路からの侵入リスクがあります。
感染を防ぐには、これらの侵入経路に対する予防策を講じることが肝心です。
テレワークの普及により、社外からの安全なネットワーク接続を確保するために導入されているVPNですが、マルウェアの侵入口として狙われるケースが後を絶ちません。
これは、VPNが社内ネットワークへの入口となっているため、ここを押さえれば社内のネットワークにアクセスが可能となるからです。
マルウェア攻撃者は古いVPNの脆弱性を突いて侵入を試みますので、機器のリプレイスやセキュリティパッチの適用を行い、機器を安全な状態に保ちましょう。
パソコンを遠隔で操作するリモートデスクトップからマルウェア感染するケースも多く報告されています。
リモートデスクトップへの侵入は、総当たり攻撃や辞書攻撃による認証突破がメインの手口ですので、利用者や用途を限定する・多要素認証を用いて認証を強化するなどの対策が必要です。
メールに添付された不審なファイルやリンクをクリックしてしまい、マルウェア感染する事例も依然として多く見られます。
フィルタリングソフトを利用して危険なメールをブロックすることももちろん有効ですが、メールの送信元アドレスや本文に怪しい点がないかを利用者が各自で確認し、疑わしいものはむやみに開かないよう慎重に取り扱うことが最重要です。
日常的なWebサイトの閲覧にも、マルウェア感染の危険が潜んでいます。
出所不明のリンクや不審なサイトにはアクセスしないよう注意喚起し、ソフトウェアのダウンロードは公式サイトから行うよう徹底しましょう。
また、インターネット上で配布されているフリーソフトの中にはマルウェアを含んでいるものもあります。
会社で利用するソフトは管理者が定めたものに限定し、自由にソフトをインストールさせないというのも一つの方法です。
身代金要求型マルウェアの攻撃を受けると、企業の運営に欠かせないデータやシステムを人質に取られ、業務の遂行が困難となってしまいます。
そこで、企業のマルウェア対策では、次の2点を並行して行うことが望まれます。
マルウェアの侵入阻止や感染の早期発見のためには、セキュリティツールの導入やネットワークの常時監視が有効です。
また、感染後に身代金を支払わず、自社でデータを復旧するためには、定期的にバックアップを行い、安全な場所にデータを保管しておく必要があります。
しかし、
「利用している機器やネットワークを完全に把握・管理できていない」
「対応できる人材がいない・リソース不足で着手できない」
このような悩みを抱えている企業様には、セキュリティ対策を外部にアウトソーシングするという選択肢もあります。
セキュリティ診断を行い、必要なシステムの構築・運用・保守まで任せることもできますので、これまで管理できていなかったセキュリティの穴を埋めることも可能に。
アウトソーシングの詳細はこちらの記事で解説していますので、ぜひあわせてお読みください。
