ランサムウェアとは？
攻撃の手口と対処・対策方法を解説

企業規模、業種を問わずランサムウェア攻撃による被害が多発しています。攻撃を受け自社の業務が停止することは、自社のみの影響に留まらず、取引先のビジネスにも大きな影響を及ぼすことになります。本コラムではランサムウェア攻撃の手法と対策について解説いたします。

1.ランサムウェアとは？

ランサムウェア(Ransomware)とはサイバー攻撃手段の一種で、実行するとシステムを暗号化し身代金（ランサム）を要求する脅迫文を表示したり、データの外部転送（窃取）やウイルス（ワーム）のようにネットワーク経由で脆弱性を悪用して感染を拡大する機能まで有する場合がある等、様々な種類の悪意あるソフトウェア（マルウェア）です。

攻撃者がシステムに侵入後、重要なデータの窃取や、ランサムウェアを実行することで、システム（サーバや利用者のPCまで）及びデータを暗号化により破壊し、復号キーによる復旧と交換条件に身代金(Ransom)を要求します。企業側はランサムウェアによりシステム及びデータが使えなくなることと、ネットワーク遮断などの影響封じ込め対応などのために、業務停止に追い込まれることになります。また、ダークウェブなどに窃取した一部データが公開され脅迫を受けることもあります。企業は難しい判断を迫られることになりますが、身代金を払ったとしてもシステムが復旧される保証はありません。海外では身代金を払うことを法律で禁止するといった動きもあります。

1.ランサムウェア攻撃の手口

VPN経由、エンドポイント経由など様々な手段でシステムへ侵入し、内部ネットワークを探索・侵入範囲を拡大し、個人情報などの機密情報を窃取後、ランサムウェアを実行しシステムが利用できないようにします。

3.ランサムウェア攻撃による証拠隠滅

ランサムウェア攻撃の動機には様々ありますが、この犯罪に直接・間接的に関わる者に共通する目的は金です。低リスクでリターンを得るために、窃取した情報をダークマーケットなどで販売し、身代金も取れればなお良しと考え、身元は割れないように様々な工夫をしています。ランサムウェアの実行によりシステムを破壊すると必ず気づかれるため、サーバ側のシステムへの攻撃としては最終段階であることが一般的です。攻撃者がシステムに侵入し、範囲を拡大、情報の窃取（データの外部転送）をするまでは、なるべくシステムやネットワークの管理者に気づかれないように進めます。それらの攻撃をやり尽くした後、最後に証拠隠滅を兼ねてランサムウェアによりシステムを暗号化し、あわよくば身代金を取ろうというケースが多いです。証拠隠滅の動機が強い場合、身代金を支払っても、犯罪者から入手した復号キーでは全部ないしは一部が復旧できないケースもあります。いくら大金が手に入っても、身元が割れて逮捕されたくないため、証拠隠滅をするということです。逆に、ランサムウェア犯罪集団として身代金を支払えばシステムが復旧できることの信用を重視している場合もあります。その場合は、闇バイト同様、攻撃実行犯は使い捨ての意味合いが強くなります。サイバー攻撃者としては有用だが、多額の身代金を得られるなら捕まっても良いと、ランサムウェア犯罪集団は考えているのでしょう。

4.攻撃手法例

ノーウェアランサム攻撃とは？

ノーウェアランサム攻撃とは、データの暗号化を伴なわず、窃取した情報を人質にした脅迫をノーウェアランサム攻撃と呼びます。攻撃を受ける企業側からすると、データが暗号化されず、脅迫されるまで気づきにくいという特徴があります。インシデント対応パターンとして想定しておくべきケースの1つです

ダブルエクストーションとは？

ダブルエクストーション(二重脅迫)とは、窃取したデータの公開と、暗号化したシステムの復旧の、両方について身代金を要求する攻撃のことです。攻撃者がデータを窃取した上でランサムウェアを実行し、まず、暗号化したシステムの復旧について身代金を要求し、その後、窃取したデータの公開についても脅迫する、などのケースが多数発生しています。

5.ランサムウェア攻撃のプロセス

攻撃対象となるシステムの脆弱性を調査する悪意のあるハッカー、ランサムウェアを開発するエンジニア、身代金を要求する交渉者といったように、サイバー攻撃は分業化が進んでいます。

▼ 初期侵入

公開サーバやネットワーク機器などのシステムの脆弱性を突いて侵入してくるケース、添付メールやUSBメモリ経由で利用者のPCを乗っ取るケースなど、攻撃手法は様々です。

▼ 内部活動

最初に乗っ取ったシステムから、他のシステムへと侵入範囲を拡大し、機密情報が保管されているシステムへのアクセスを試みます。機密情報へのアクセス権や特権を奪取するために、 更にシステムの脆弱性を悪用したり、パスワードの推測や総当たり攻撃等、試行錯誤します。Active Directoryなどの認証サーバの脆弱性が悪用され、 乗っ取られるインシデント事例も多く、こうなると、攻撃者はやりたい放題となります。

▼ 情報持ち出し

持ち出される機密情報は個人情報のみに限らず、設計書、取引先のリスト、研究開発データなど多岐に渡ります。 日本企業にとっては海外からの攻撃が多いこともあり、情報の内容を確認して取捨選択するのでなく、ファイルサーバなどの情報を丸ごと窃取（外部転送） されることが一般的です。

▼ ランサムウェア実行

個人情報などの機密情報を窃取（外部転送）後、ランサムウェアを実行し、システムやデータを暗号化します。脅迫により身代金が支払われるように、攻撃者は可能であればバックアップ側から暗号化します。
身代金を要求する脅迫文は、サーバ上にテキストファイルを置いたり、画面（モニタ）に表示したり、プリンターから大量に印刷するケースもあります。

なお、サイバー攻撃は自社に留まらず、最初に侵入した企業を経由(踏み台)して、ネットワークなどでつながる取引先へと侵入されることで、被害者であり加害者にもなってしまう事案が多発しています。

6.ランサムウェアによる被害

ランサムウェア被害にあうと、自社の業務やサービスの停止による売上の低下、復旧対応などに伴う費用発生による利益の押し下げ、信用の失墜、決算発表の延期、業績見通しへの影響株価の下落など経営に与えるインパクトは計り知れません。また、被害は自社のみに留まりません。自社の事業が停止することで、サプライチェーン上の取引先のビジネスが止まってしまったり、自社を踏み台にして取引先が攻撃を受ける可能性もあります。 サイバー攻撃対策は経営課題であるという認識の元、経営陣を巻き込んで全社一丸となり対策を進めていく必要があります。

7.ランサムウェア攻撃被害例

業務・サービスの停止

ランサムウェア被害にあうと、システムの停止、データの暗号化などにより、業務・サービスの停止に追い込まれます。自社の業務が止まることは自社のみの影響にとどまらず、自社の商品が出荷できないことにより、サプライチェーン全体のビジネス停止にもつながりかねません。

信用の失墜

ランサムウェア被害からデータ流出などに発展すると、信用を失墜することにつながりかねません。取引停止だけでなく、新規取引に参加できないといったビジネスへの影響が懸案されます。個人情報を取り扱うEC企業などは事業継続上の大きなリスクにつながりかねません。

業績・株価の下落

事業停止に伴う売上の低下、復旧費用にかかる一時コストの発生など業績が業績の押し下げ要因になり、信用失墜も相まって、株価の下落につながります。また、システム停止により決算が締められない、業績見通しを発表することができない、といったIR面への影響も発生します。

8.もしもランサムウェア被害にあった場合は

利用者のPCにおいて被害が確認された場合、ネットワークから隔離することで、少しでも被害の拡大を抑止します。この時点では攻撃の原因や影響範囲が特定できていないため、隔離したことで自社システムやネットワーク全体の安全が確認されたわけではありません。当該PC及び他のサーバやPCについて対策ツールが何か検知していないか、外部と不審な通信をしていないか、画面（モニタ）に不審なメッセージが表示されていないか等、可能な確認をすべきです。

社内サーバにおいて被害が確認された場合、既にかなりの範囲で侵入されている可能性があるため、対策ツールで検知できていないのであれば、深刻な事態となっているかも知れません。

いずれの場合であっても、攻撃を個別に検知し食い止められないのであれば、ネットワーク全体のインターネットからの遮断が確実な打ち手であり、緊急の判断をすべきです。

その上で、これ以上の判断や対応が難しかったり、専門的な調査が必要であれば、早めにセキュリティ専門ベンダーに相談をすることを強く推奨します。早期の対処が影響の最小化につながります。保守を委託しているベンダーが第一発見者となるケースもあるため、日ごろから既存ベンダーとインシデント発生時の対応や連絡方法について取り決めをしておくことも重要です。

GSXでは年間300件のサイバー攻撃被害のご相談を承っています。インシデントレスポンス、フォレンジック、暫定対応、恒久対応までワンストップでご提供しています。更に、コンサルティング・ソリューション提供・従業員教育といった攻撃復旧から恒久対応に必要な支援を取り揃えています。

緊急対応サービス

https://www.gsx.co.jp/services/emergency.html

9.ランサムウェア被害を防ぐための対策方法

ランサムウェア攻撃に備えるためのGSXサービスをご紹介します。また、万が一被害にあった際の復旧支援サービスもご提供しています。

脆弱性診断

攻撃者はシステムの脆弱性を突いて侵入してきます。近年はVPNの脆弱性を突いて侵入するケースが多発しています。ファームウェアの脆弱性のみならず、設定の不備を突いて攻撃されるケースもあります。そこで、診断により脆弱性を見つけ、侵入口を塞ぎます。システムやネットワーク機器は保守などによって環境が変わっていったり、潜在的な脆弱性が顕在化していくことから、定期的な診断を推奨しています。また、すべての資産に対して脆弱性診断を実施することは金銭的にも人的資源的にも限界があるため、どの資産を攻撃された場合に事業に対する影響が大きいかを評価し、プライオリティを付けて実施することが望ましくあります。様々なノウハウが必要となるため、外部ベンダーへの委託が推奨されます。

Webアプリケーション診断

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。

https://www.gsx.co.jp/services/findrisk/webapplication.html

プラットフォーム診断

サーバやネットワーク機器のプラットフォーム(OSやミドルウェアなど)に対し、弊社ホワイトハッカーが実際の攻撃と同等の手法で攻撃を行い脆弱性を検出、診断結果とともに具体的な改善策を提言するサービスです。

https://www.gsx.co.jp/services/findrisk/platform.html

エンドポイント対策

メールの添付ファイルを開くことで端末を乗っ取り、そこから内部への侵入を果たす攻撃が長年続いています。EDR(Endpoint Detection and Response)ツールを導入することで、端末のログを取得・解析することでマルウェアや攻撃の兆候を検知します。検知・解析には人的資源、ノウハウが必要になることから、自社の状況に応じ運用を外部に委託することを検討ください。また、多くの企業がメールを取り扱う従業員のリテラシーを高める教育や訓練に取り組んでいます。

CrowdStrike

https://www.gsx.co.jp/services/incidentavoidance/crowdstrikefalcon.html

トラップメール - 標的型攻撃メール訓練サービス

https://www.gsx.co.jp/services/securitylearning/trapmail.html

ログ管理

ランサムウェア攻撃を含むサイバー攻撃の原因や影響範囲を特定するために、通信や各種システムへのアクセスのログを分析します。GSXはこれまで数多くの復旧支援を実施してきましたが、ログを保管していなかったり、インシデント発生時に速やかな分析をする手段がないため、調査や復旧に長い期間を要した企業を多く見て来ました。ログの保管をしていない、保管期間が短い、取得対象が限定的など様々な状況があり、原因調査を困難にしています。ログは貯めるほどに費用が嵩むため、ログ管理方法については専門家のアドバイスを受けることを推奨します。

ALog

https://www.gsx.co.jp/services/incidentavoidance/alogcloud.html

CSIRT体制構築

サイバー攻撃を受けた際に、迅速に対応できるよう平時から体制(CSIRT：Computer Security Incident Response Team)やルールを構築しておくことが求められます。CSIRTはインシデント発生

CSIRT構築運用支援サービス

CSIRT構築運用支援サービスとは、サイバー攻撃を早期に検知し、迅速かつ適切に対応する組織「CSIRT」の構築及び運用を支援するサービスです。

https://www.gsx.co.jp/services/cybersecurityorganization/csirt.html

10.まとめ

脆弱性を突いたサイバー攻撃、ランサムウェア被害が後を絶ちません。脆弱性診断を実施することが攻撃抑止につながります。システムは運用の過程でアップデートされていくため、定期的な診断を推奨いたします。一方で、すべてのシステムを対象に診断を実施することは、費用や人的資源の観点から現実的ではなく、どのシステムが被害を受けた際に事業継続に影響度合いが大きいのかトリアージして診断対象を決めていくことが求められます。

サイバー攻撃の被害は自社のみならず、取引先にも及ぶ可能性があるため、怪しい痕跡・動作が確認される場合は、躊躇わずすぐにセキュリティ専門ベンダーに相談をすることを強く推奨します。早期の対処が被害抑止につながります。

緊急対応サービス

https://www.gsx.co.jp/services/emergency.html