サイバー攻撃は年々高度化、巧妙化しています。中でも、現在最も大きな脅威として「ランサムウェア」による被害が大きくなっています。
「ランサムウェア」とは、「Ransom(身代金)」と「Software(ソフトウェア)」を掛け合わせた造語で、企業などのデータを暗号化し、または窃取するなどするものです。
そしてデータの復旧や、窃取したデータを開示しない約束の引き換えに金銭を要求するというサイバー攻撃の手段です。
データを人質に取り、身代金を要求する犯罪とも言えるでしょう。
今回はこの、重大な脅威としてのランサムウェアとはどのようなものなのか、また、どのように対応するべきかなどについてご紹介します。
企業の情報セキュリティ10大脅威
情報処理推進機構は、2022年の情報セキュリティの10大脅威として、以下のようなものを挙げています(図1)。
図1 組織向けの情報セキュリティ10大脅威
(出所:「第7回産業サイバーセキュリティ研究会 事務局説明資料」経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/007_03_00.pdf p2
「ランサムウェア」が最も大きな脅威となっています。
そして、令和3年中のランサムウェアの実際の被害金額は以下のようになっています(図2)。
図2 ランサムウェアによる被害
(出所:「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」警察庁)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei_sokuhou.pdf p5
まず、被害からの復旧には即時から1か月という被害が多くなっています。ただ、なかには2か月以上経ってようやく復旧したというケースもあります。
また、金額としては、「1000万円以上〜5000万円未満」が最も多くなっています。なかには5000万円以上の被害を被った事例もあります。これは組織、特に中小企業にとっては経営の維持に関わりかねない甚大な被害と言えるでしょう。
ランサムウェアの具体的被害
ランサムウェアによる攻撃で生じた被害には、以下のようなものがあります*1。
2021年に徳島県内の病院がランサムウェアに感染した事実を公表しています。この攻撃では、同病院の電子カルテのデータが暗号化され、患者約8万5000 人分の記録が参照できなくなったほか、受付・診察・会計まで、すべてのITシステムがダウンしました。
また、病院内のプリンタから大量に文章が印刷されました。
その内容は「身代金を払わなければ、盗んだデータを公開する」といった旨の英語の脅迫文でした。
また、同2021年に大手製粉会社がランサムウェアの被害を受け、このケースではバックアップデータも暗号化されたため、サーバの早期復旧が困難な状況に陥りました。
それほどの脅威を持つランサムウェアとは、どのようなサイバー攻撃の形なのでしょうか。
ランサムウェアの2つの形態
ランサムウェアには現在、2種類が確認されています。
それぞれの特徴をみていきましょう。
不特定多数へメール・ファイルを送りつけてデータを暗号化
ひとつは、メールやファイルの送付という手段で、不特定多数に攻撃を仕掛け、社内データにアクセスし、勝手に暗号化することで組織内でのデータへのアクセスや利用を不可能にしてしまうタイプのランサムウェア攻撃です(図3)。
図3 不特定多数を標的にするランサムウェア攻撃
(出所:「DX時代のサイバーセキュリティ対策」経済産業省)
https://www.meti.go.jp/policy/it_policy/privacy/cybersecurity_privacy_governance_seminar1.pdf p2
このようなランサムウェアに感染した場合、当該のパソコンだけでなく、同一ネットワーク上のファイルサーバや、接続している記録媒体などにもその影響が及ぶ場合があります。具体的には、感染したパソコンが(その際、ログインしているユーザの権限で)アクセス可能な場所にあるファイルに影響が及ぶ可能性があるのです。
また、2016年に報告があったランサムウェアに関する相談の多くは、「受信したメールの添付ファイルを開いてしまったことでファイルが暗号化された」というものでした。
ランサムウェアによって攻撃を受けたパソコンには、このような画面が表示されます(図4)。
図4 攻撃を受けたパソコンに表示された画面
(出所:「ランサムウェア(Ransomware)とは」トレンドマイクロ)
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/ransomware.html
「無料でいくつかのファイルを解錠することができる」とする一方で、すべてのファイルを解錠したい場合には支払いが必要としています。
7日以内に支払いをしない場合、ファイルを永久に解錠することはできない、とのメッセージも表示されています。
あからさまに金銭を要求しているのです。
新たなランサムウェア攻撃〜データの窃取と暗号化
そして、上記のランサムウェアが進化し、データの暗号化だけでなく窃取を同時に行うランサムウェアもあります(図5)。
図5 データ窃取・暗号化を目的としたランサムウェア攻撃
(出所:「DX時代のサイバーセキュリティ対策」経済産業省)
https://www.meti.go.jp/policy/it_policy/privacy/cybersecurity_privacy_governance_seminar1.pdf p2
こちらは、先ほどの攻撃方法とは違い、最初から組織・企業を狙い撃ちするものです。そして、企業や組織のネットワークに入り込むと、データを暗号化するだけでなく、データそのものを奪ってしまいます。
この場合、データやシステムの復旧と引き換えに身代金を要求するだけはありません。
窃取したデータを非公開にする引き換えに、さらに身代金を要求するという二重の脅迫をするのです。
この場合、顧客の個人情報や機密情報を含むデータが窃取されると、犯人との駆け引きは慎重なものにならざるを得ません。まさに「人質」を取られている状況になってしまうのです。
ランサムウェアへの対策方法はあるか
情報処理推進機構は、ランサムウェアはその他のウイルス同様で不正プログラムの一種、としたうえで、感染防止のために次のような対策が有効だとしています*2。
・OS およびソフトウェアを常に最新の状態に保つ:
OS およびソフトウェアのバージョンを常に最新の状態に保ち、脆弱性を解消することで感染リスクを低減する。
・セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ:
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つことで、ランサムウェアへの感染リスクを低減する。
・メールや SNS のファイルや URL に注意する:
メールや SNS の添付ファイルを開くことや、本文中の URL をクリックすることでウイルスに感染する可能性がある。受信したメールは送信者、添付ファイル、文面等に十分に注意を払い、心当たりのないメールや英文メール、文面の意味が分からないメールなどは、安易に開かないことが重要である。
最近では、メール送信者情報として実在する企業を騙ったり、メール本文も当該企業が送信するメールを模倣したりするケースが多く確認されており、不特定多数の人物にメールを開かせる手口が巧妙になっている。メールの添付ファイルを開くことは極力避け、どうしても開く必要がある場合は、万が一ウイルスに感染しても影響がない環境を用意した上で開くことが望ましい。
ランサムウェアによって失うのは復旧までのビジネスチャンスや身代金だけでなく、企業の情報管理の在り方を問われるケースも出てきます。
また、情報処理推進機構は、一部のランサムウェアに対する復号ツールを提供しています*3。
こちらもご参考のうえ、ランサムウェアの脅威について知り、どのようなケースがあるのかを今一度確認しておいて下さい。
*1
「情報セキュリティ白書」情報処理推進機構
https://www.ipa.go.jp/files/000100472.pdf p22-23
*2
「ランサムウェアの脅威と対策」情報処理推進機構
https://www.ipa.go.jp/files/000057314.pdf p8
*3
「NO MORE RANSAM」情報処理推進機構
https://www.nomoreransom.org/ja/index.html
