ランサムウェア被害の実態、日本企業の事例や対策方法を解説

企業規模の大小を問わず、ランサムウェアによる被害が増えています。近年、多くの企業が被害に遭っているランサムウェアとは何か、最近の被害状況や手口、感染経路の変化や傾向まで基本的な情報を解説。被害事例や感染した場合の対処法、感染を防ぐ対策などに加え、万が一感染した場合はもちろん、感染に備えて専門機関に相談する際のポイントについても解説します。

ランサムウェアとは

悪意のあるプログラム、マルウェアの一種であるランサムウェア。ランサム（Ransom）は身代金を意味する言葉です。感染したコンピューターやデータを暗号化するなどしてアクセス不能な状態にし、データの復号の対価として身代金の支払いを要求する悪意あるソフトウェアをランサムウェアといいます。

ランサムウェアの被害状況や手口、感染経路

警察庁の資料から、近年のランサムウェアによる被害件数や被害状況などの実態、感染経路をみていきましょう。2022年に警察庁に報告されたランサムウェア被害は230件。前年比で57.5％と急伸しています。2020年下半期以降、被害件数は伸び続けており、事業規模や業種問わず、多くの企業・団体がターゲットとされています。

手口としては、データの暗号化にとどまらず、データを搾取して、「身代金を払わなければデータを公開する」といった二重恐喝（ダブルエクストーション）が多くを占めています。感染経路は、VPN機器からの侵入が最多。続いてリモートデスクトップからの侵入と、テレワークで利用する機器からの侵入が特徴的です。

【出典】警察庁資料「令和４年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

代表的なランサムウェア

ランサムウェアは「ばらまき型」と呼ばれる不特定多数に送られるタイプが主流でしたが、近年では特定の組織を狙った「標的型」も増えてきています。代表的なランサムウェアとしては、2017年に世界中で攻撃の被害が報告された「WannaCry」が有名です。拡散速度が早く、感染したパソコン1台からネットワーク経由で感染が広がります。他にも、Windowsの脆弱性を狙ったもの、暗号化した情報の身代金要求だけでなく情報を公開するという二重脅迫を行うものなど、さまざまなランサムウェアが確認されています。

企業が受けるランサムウェアの被害の影響

企業がランサムウェア攻撃を受けた場合、どのような影響が考えられるのか、ランサムウェア被害の内容や影響について解説します。

被害対応コストや人的リソースの増加

ランサムウェアに感染すると、データ復旧やセキュリティ対策の強化を専門業者に依頼する必要があります。社内のセキュリティ担当者など対応にあたる人的コストも含めると、甚大な被害となります。

社会的信頼失墜による売上減少

ランサムウェアによって重要な顧客情報が流出するなどの事故があれば、世間の不信感が高まり、イメージダウンだけでなく、売上減少につながるなど企業は莫大な損害を被るリスクがあります。速やかに調査を行い、世間に事実を公表し再発防止の対策を講じることが企業の信頼を回復できる最善策です。

システムダウンによる企業活動の停止

ランサムウェア感染によってシステムダウンやシステム障害が起きると、企業活動そのものが停止に追い込まれることもあります。取引先との受発注をはじめ、社内外にかかわるあらゆる手続きが困難になるほか、ECサイトでは直接ユーザーに影響を及ぼします。

損害賠償などの法的リスクの発生

たとえば情報漏洩によって顧客に損害を与えた場合は、被害者から損害賠償責任を問われる可能性があります。賠償金が経営に影響を及ぼすほど多額に及ぶ場合には、倒産に追い込まれる可能性もあります。

ランサムウェアによる国内企業の被害事例

独立行政法人情報処理推進機構セキュリティセンターのコンピューターウイルス・不正アクセスの届出事例から、ランサムウェアによる国内企業の被害事例の一部をご紹介します。

【出典】独立行政法人情報処理推進機構「コンピューターウイルス・不正アクセスの届出事例」
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108764.pdf

VPN装置へ管理者 ID で不正ログイン、サーバー上のファイルが暗号化

企業の共有サーバーが使用不可になっていたため、外部機関に調査を依頼したところ、LockBit3.0 によりサーバー上のファイルが暗号化されていたことが判明。調査の結果、セキュリティソフトのアンインストールなどの不正操作、バックアップ取得用の外付けハードディスクの暗号化が行われており、VPN装置へ管理者IDでの不正ログインが確認されました。ほとんどのデータの復元に成功できず、再発防止策としてVPN装置のID変更、ベンダーとの保守契約などが実施されました。

ECサイトへの不正アクセスにより顧客の個人情報やクレジットカード情報が数十万件流出

企業のECサイトへの不正アクセスと10万件以上の個人情報・クレジットカード情報の漏洩が外部調査で判明。原因はサイトのセキュリティ脆弱性を突き、HTMLに外部から悪意のあるスクリプトを挿入されたクロスサイトスクリプティングで、一定の状況で管理画面への不正アクセスが可能な状況になっていました。サーバーは破棄、移設が行われ、運用・管理体制の見直しと、定期的な脆弱性診断やペネトレーションテスト等が実施されることになりました。

ランサムウェア感染への対策

ランサムウェアの感染を予防するためには、不審なメールを開かないなど従業員一人ひとりに対策を徹底させると同時に、企業として技術的対策を施すことで予防や対策をさらに高めることが重要です。

EPPやEDRの導入は基本ですが、リモートワークが一般化した現在、ゼロトラストの観点から、エンドポイントのセキュリティを包括的に高めるSASE（Secure Access Service Edge）の導入が、今後主流となっていく流れと言えるでしょう。

不審なメールや添付ファイルを検疫し、万一のアクセスも防止・検知する

従業員個人が、メールの添付ファイルやリンクを不用意に開かないよう意識するのはもちろん、組織として不審なメールやファイルを開かせない、開いたら検知する技術的対策も重要です。なりすましメールを検疫するDMARCの導入や、悪意あるサイトへのアクセスを検知・防止するEDRやSWGと呼ばれるツール・システムの活用が有効です。

OSやソフトウェアは常に最新版にしておく

多くのランサムウェアは既知の脆弱性を悪用して侵入する特性があります。OSやソフトウェアのアップデートを定期的に実施し、セキュリティの脆弱性を修正することでランサムウェアからの攻撃を予防することができます。

不正なサイトへのアクセスを防止・検知する

ランサムウェアが仕掛けられた、本物のWebサイトそっくりに作られた不正サイトに誘導して感染させる手口も増えています。従業員個人が、掲示板サイトや違法動画サイトなどを不要に利用しないよう意識付けが必要です。また、フィルタリングサービスでアクセス可能なサイトをあらかじめ制限するなどの対策の他、フィッシングサイトへのリダイレクトなどを検知・防止するツール・システムであるEDRやSWGの導入が効果的です。

外部メモリーの接続に注意する

USBメモリーや外付けHDDなどの外部メモリーからランサムウェアに感染する危険性があるため、出所が不明のUSBや外付けHDDを不用意に接続しないことが重要です。また、こうした外部デバイスに対しては、情報漏洩防止のためのセキュリティツール・システムDLP（Data Loss Prevention）で侵入を防止するほか、EPP/EDRのセキュリティ機能で外部接続デバイスの制御を行うなどの対策があります。

従業員教育を実施する

従業員の些細な不注意により、事故が起こるケースも多くあります。情報セキュリティに関する意識を高めておくことはもちろん、正しい知識と最新の情報を含め社員教育を定期的に実施することで、被害を避けることにつながります。

サイバーセキュリティの専門家に事前に相談しておく

サイバーセキュリティは、自社のセキュリティ部門だけでなく、平時から専門の調査会社へ相談しておくのが確実です。もし感染が発生した場合にも、適切な対応を早急に行うことで、被害を最小限に食い止めることが可能です。

ランサムウェアに感染した際の対処法

ランサムウェアに感染しないように注意し、事前に対策を講じておくことは重要ですが、避けるのが難しい不慮の事故もあります。万が一、ランサムウェアに感染してしまった時のための対処法を紹介します。

ネットワークから切り離す

ネットワーク内の別の端末まで感染が広がる危険性があるため、すぐに端末をネットワークから切り離すのが大前提です。しかし、これだけではランサムウェアの感染対応には不十分です。昨今のランサムウェアでは、ネットワークに侵入して管理者権限まで掌握し、ドメイン配下へ攻撃範囲を拡大していく、ラテラルムーブメントという手法も多く見られます。そのため、ネットワークを切断するのみではリスクは抑制できていない可能性が高く、影響範囲や被害実態の調査のためにも迅速に専門家への調査依頼を進めるのが適切です。

機器をシャットダウンしない

ネットワークから切り離しても、機器自体をシャットダウンしてしまわないように注意。保存されているログ情報が削除されてしまう可能性があります。再起動や電源オフはせずに、起動したままで維持しておくのが重要です。

サイバーセキュリティの専門業者に調査を依頼する

対応が遅れると被害が大きくなる可能性が高まるので、早急に適切な対処をすることが重要です。自社のセキュリティ部門への連絡と、サイバーセキュリティの専門業者への調査依頼を迅速に進めましょう。「ネットワークから切り離す」の項でも触れたとおり、感染の経路や被害状況、流出したデータなど詳細な調査を実施して適切な対応を早急に行い、被害を最小限に食い止めるには専門業者への相談が適切です。今後の予防策を万全にするためにも必要な対応です。

ランサムウェア感染した場合の対応、サイバーセキュリティ調査はFRONTEOへ

昨今、ランサムウェア被害が増加し続け、手口も複雑・難解になってきています。日々、アップデートするランサムウェアに関する最新情報を追いながら、万全の対策を講じるのはもちろん、有事の際に迅速に対処するためには、専門家のサポートが欠かせません。

FRONTEOでは、有事の際に最低限必要な調査をまとめたFRONTEOの「サイバーセキュリティ調査パッケージ」を提供しています。「サイバーセキュリティ調査パッケージ」は、サイバー攻撃被害に対応する企業に向け、初期対応に必要な高品質の調査パッケージ。多くの調査を手掛けてきた実績をもとに、パッケージ化により、調査の効率とスピードを加速。有事の際に迅速で的確な解決に導きます。ランサムウェア感染への対策は、FRONTEOの「サイバーセキュリティ調査パッケージ」が最適です。

社内でサイバーセキュリティに関する知識をつけることは必要ですが、さらに重要なのは、事前の予防策と事後の対応策を万全に整えておくこと。自社が抱えるリスクを把握し、専門知識を持つ業者に任せるのが賢明です。FRONTEOと連携体制を整えることで、自社だけでは気づけないセキュリティリスクを洗い出し、万全のセキュリティ対策を進めましょう。