1. コラム
  2. コラム
  3. ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説

ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説

クラウド

ランサムウェアの脅威は一部の大企業だけでなく中小企業にもおよび、多くの企業が対策に腐心しています。ランサムウェアの被害をニュースなどで見聞きする機会が増える中、ランサムウェアの被害は対岸の火事ではないと感じており、感染経路や対策が知りたい企業担当の方もいるのではないでしょうか。

ランサムウェアの危険性や「感染経路を断つ」というセキュリティ対策の重要性、根本的な感染対策に効くツール整備を知ることで、自社や関連会社をランサムウェアの脅威から保護できます。感染経路の遮断と感染拡大の抑止を両立させ、巧妙化するランサムウェア攻撃から企業資産を守りましょう。

そこでこの記事では、ランサムウェアの攻撃手法のトレンドや感染経路、感染対策についてご紹介します。

ランサムウェアの危険性とは?


ランサムウェア(Ransomware)とは、ファイルやストレージを暗号化したりデバイスをロックしたりして、復号(暗号化の解除)やロック解除のために身代金(Ransom)を要求するマルウェアの総称です

ランサムウェアに感染するとディスプレイ上に警告や送金方法などが表示され、仮想通貨やオンライン送金サービスでの支払いへ誘導されます。

身代金の要求額は1億円以上になるケースも多い上、支払っても正常な状態に復元するとは限りません。実際にランサムウェアによる暗号化を復号するのは非常に困難で、「感染しないこと」を目的としたセキュリティ対策が求められます。

巧妙化するランサムウェアの攻撃手法


ランサムウェアの攻撃手法は巧妙化を続けており、二重脅迫型ランサムウェアやRaaSと呼ばれるビジネスモデルが脅威を増しています。また、ばらまき型攻撃から標的型攻撃へのシフトや、サプライチェーン攻撃が増えていることも懸念点です。ここでは、ランサムウェアの攻撃手法のトレンドを解説します。

二重脅迫型ランサムウェア

近年は「二重脅迫型」のランサムウェアの被害が増えています。従来のランサムウェアは暗号化・ロックの解除に身代金を要求するものが主流でしたが、感染した組織がバックアップデータを用意していれば自力で復元できるため、攻撃者は身代金を受け取れません。

そこで二重脅迫型ランサムウェアは、身代金を支払わない場合、窃取した機密情報や個人情報を暴露すると脅迫します。

さらに身代金を支払うまでDDoS攻撃(複数コンピュータから標的システムに異常な高負荷を掛ける攻撃)を掛け続けたり、標的組織の顧客やパートナー企業へ脅迫したりするなど、3重・4重に脅迫する凶悪なランサムウェアも登場している状況です。

「RaaS」の台頭とサイバー犯罪者の増加

近年は「RaaS(Ransomware as a Service)」と呼ばれる、ランサムウェアをサービスとして提供するビジネスモデルが台頭していることも懸念点です。従来はランサムウェア組織からの個別の攻撃が主流でしたが、RaaSはパッケージ化された攻撃方法を、ランサムウェア攻撃をしたい個人・組織に有償で提供します。

つまり悪意と資金さえあれば、知識・技術がなくても誰でもランサムウェア攻撃を行える状況です。複雑な二重脅迫型ランサムウェアもRaaSとして提供されており、サイバー犯罪者の増加に拍車が掛かっています。

「ばらまき型」から「標的型」へ

ランサムウェア攻撃は不特定多数の個人・組織を標的とする「ばらまき型」と、特定の個人・組織を標的とする「標的型」に分けられます。

以前は2017年に猛威を振るった「WannaCry」などのばらまき型ランサムウェアが主流でしたが、近年は標的型ランサムウェア攻撃が増えている状況です。

標的型ランサムウェア攻撃は標的組織向けにカスタマイズしたランサムウェアを使用することがあり、一般的なセキュリティソリューションでは対応しにくく、被害が深刻化しやすい傾向にあります。

サプライチェーンを狙った大規模攻撃も

近年は「サプライチェーン攻撃」が増えているのも懸念点です。サプライチェーン攻撃とは、標的企業に直接攻撃するのではなく、グループ企業や海外拠点などセキュリティの脆弱な組織を「踏み台」とするサイバー攻撃を指します。

サプライチェーンのどこかにセキュリティの弱い部分があれば、そこを足掛かりとしてランサムウェアに感染させ、標的となる企業を脅迫する手口です。

このタイプの攻撃で工場が稼働停止に追い込まれるなどした企業は珍しくありません。自社だけでなく関連各社と連携したセキュリティ対策が求められます。

お問い合わせはこちらから

ランサムウェアの感染経路7選


ランサムウェアの感染経路は以下のように多彩です。

・メール
・Webサイト
・アプリ
・USBメモリ
・ネットワーク
・VPN機器
・リモートデスクトップ機能

近年ではVPN機器やリモートデスクトップ機能が感染経路のトレンドです。ランサムウェアの感染経路を知り、「感染しないために何ができるのか」をよりクリアにイメージしましょう。

フィッシングメールや標的型攻撃メール

古くからある一般的なランサムウェア攻撃として、メールの添付ファイルやリンクを感染経路とする手法があります。比較的危険を察知しやすいばらまき型のフィッシングメールも多い一方、近年は標的型攻撃メールも増えている状況です。

このタイプの攻撃は、社内事情を熟知した上で、思わずクリックしたくなるような文章によりランサムウェア感染へ誘導します。内容に真実味があるだけでなく、自然な日本語のメールも増えているため注意が必要です。

ミラーサイトや改ざんされた正規サイト

Webサイトを感染経路とするランサムウェア攻撃もあります。これは「ドライブバイダウンロード」と呼ばれる攻撃手法により、あらかじめWebサイトにランサムウェアを仕込んでおき、Webサイトを開くと同時に自動的にダウンロードさせるパターンが一般的です。

Webブラウザなどの脆弱性を悪用し、ユーザーが気付かないうちに感染させます。ひと目で怪しいサイトと分かるものだけでなく、正規サイトのURLを一部改変したミラーサイトや、内容を改ざんした正規サイトが感染経路となることも見受けられます。

攻撃用アプリや改ざんされた著名アプリ

アプリを感染経路とするランサムウェア攻撃もあります。スマホアプリやデスクトップアプリにランサムウェアを混入させ、インストール時やアプリ使用時にランサムウェアが稼働を始める攻撃手法です。

ランサムウェア攻撃のために開発されたアプリが、信頼できるアプリに見えるよう偽装しているケースの他に、著名なアプリが改ざんを受け感染経路とされてしまうケースもあります。

USBメモリなどのリムーバブルメディア

USBメモリなどのリムーバブルメディアが感染経路となるランサムウェア攻撃も存在します。この攻撃手法では一見普通のUSBメモリなどにランサムウェアが仕込まれており、PCへの接続時に自動的にランサムウェアを感染させます。

ランサムウェア入りのUSBメモリを送り付ける攻撃手法も増えているため、出所不明のUSBメモリは信用しないことが大切です。

社内LANや広域ネットワーク

社内外のネットワークを感染経路とするランサムウェア攻撃も一般的です。社内で1台のPCがランサムウェアに感染すると、社内LAN内の全てのデバイスに感染拡大する恐れがあります。

また広域ネットワークで接続されたデータセンターや支社・工場などに感染拡大するケースも少なくありません。つまり感染経路がひとつでもあれば、ネットワークを通じて全社的にランサムウェアに感染する恐れがあるということです。

脆弱性が放置されたVPN機器

近年被害が急増しているのは、VPN機器を感染経路とするランサムウェア攻撃です。この攻撃手法では、VPN機器の脆弱性を悪用してランサムウェアに感染させます。

テレワークの浸透もあってVPNを導入する企業は増えていますが、この状況を利用したランサムウェア攻撃です。VPN機器のファームウェアをアップデートしていなかったり、古い機種を使ったりしていると、容易に感染経路となってしまう恐れがあります。

【関連記事:VPN接続とは?VPNの基本やメリット・デメリットをわかりやすく解説

ログイン待ちのリモートデスクトップ機能

リモートデスクトップ機能を感染経路とするランサムウェア攻撃も増えている状況です。リモートデスクトップとは、手元のパソコンから遠隔地にあるパソコンを操作できる機能で、テレワーク環境で多く活用されています。

ログイン待ちのPC・ネットワークに対して総当たり攻撃(暗号化・パスワードの力ずくの突破)を仕掛け、管理者権限を取得してセキュリティソフトを停止させ、ランサムウェアに感染させます。これもVPN機器のケースと同じく、テレワークの浸透に便乗したランサムウェア攻撃です。

推測しやすいパスワードを使っていたり多層的な保護対策を講じていなかったりすれば、簡単に不正アクセスを許してしまう恐れがあります。

ランサムウェアの感染対策6選


ランサムウェアの暗号化は強力で、自力での復旧は困難です。そこで「まず感染しないこと」「感染を想定してバックアップを取っておくこと」が、セキュリティ対策の指針です。ここでは、ランサムウェアの感染対策を見ていきましょう。

システムを最新の状態に保つ

ランサムウェアに感染させないためには、システムを最新の状態に保つことが重要です。システムの脆弱性を狙ったランサムウェアは多いため、システムを最新の状態にアップデートすれば、少なくとも既知の脅威に関しては対策できます。

OSやWebブラウザだけでなく、VPN機器のファームウェアなど、あらゆるデバイスを最新の状態に保つことが大切です。またサポートが終了しているハードウェア・ソフトウェアは廃棄し、信頼性の高いプロダクトに切り替えることも検討しましょう。

メールのフィルタリング処理をする

メールを感染経路とするランサムウェア攻撃に対しては、メールにフィルタリング処理をすることが効果的です。件名やメールアドレスでフィルターを掛けることで、ランサムウェア感染の危険があるメールを開くことを回避できます。

セキュリティソフトのウイルスチェック機能や迷惑メールチェック機能を利用することもできますが、セキュリティ対策の効果は受信者の判断力に依存する部分も大きいため、そもそもメールを使用しない環境作りが理想です。

URLフィルタリングを活用する

Webサイトを感染経路とするランサムウェア攻撃に対しては、URLフィルタリングが効果的です。ブラックリストの作成もできますが、危険なWebサイトは増え続けるため、十分な効果は望めません。

そこで信頼できるWebサイトのリスト、つまりホワイトリストのみにアクセスする方法が効果を発揮します。ただし正規サイトを改ざんされる恐れもあるため、Webブラウザのアップデートによる脆弱性対策などは必須です。

定期的にバックアップを取る

ランサムウェアに感染してしまったケースを想定し、定期的にバックアップを取ることは重要です。これは基本的なランサムウェア対策ですが、ネットワークに接続されたストレージが連鎖的に暗号化される恐れもあります。

そこでオフラインのストレージを活用するなどして2重3重のバックアップを取り、復旧用のデータを退避させておく、つまり同一ネットワークに保存しないことが大切です。

セキュリティソフトの導入

これも基本的なランサムウェア対策ですが、アンチウイルスソフトなどのセキュリティソフトを導入することも重要です。ただし一般的なセキュリティソフトは既知の脅威のみを対象とするため、標的型ランサムウェア攻撃には無力であるケースも珍しくありません。

そこでAIを活用した、未知の脅威にも対応できるソリューションも組み合わせ、多層的な防御システムを構築するのが効果的です。ただし、社内ネットワークの完全な保護には非常に高額なセキュリティ対策費が掛かるため、資金に余裕のある大企業ならまだしも、中小企業には現実的ではない場合もあります。

クラウドストレージでデータを一元管理する

ここまでは主に「デバイス内または同一ネットワーク内にデータを保存している場合」のランサムウェア対策です。

クラウドストレージはバックアップ先としても使えますが、機密情報や個人情報を社内ネットワークから分離、つまり社内ネットワークから見て所在不明な場所で一元管理できます。

ランサムウェア対策には、まず感染経路を断つことが重要です。万が一暗号化されても簡単に復旧させられたり、感染拡大を防止できたりする、強力なセキュリティ機能のあるクラウドストレージが大きな保護効果を発揮します。

ランサムウェアの根本的な感染対策はイッツコム!


社内ネットワークにデータを保存していると、ランサムウェアの感染リスクや感染拡大リスクを排除できません。クラウドストレージ「Box」なら感染経路を遮断してファイルを一元管理でき、感染拡大も起こさず、社内外の安全なコラボレーション環境も構築できます。

感染経路を遮断してファイルを一元管理「Box」

メールの添付ファイルやUSBメモリがランサムウェアの感染経路になることは多く、またネットワーク経由の感染拡大も危険です。

世界最高峰のセキュリティレベルを誇るクラウドストレージ「Box」を活用すれば、業務に必要なあらゆるデータが常に一カ所に保存されます。社内だけでなく社外のユーザーも同じフォルダでコンテンツの受渡しが可能なため、メールの添付ファイルもUSBメモリも使う必要がなくなり、機密情報や個人情報を社内ネットワークから分離できます。

有料版Boxの全てのプランは容量無制限で、1,500以上のアプリのファイルマネージャーとしても利用できるため、あらゆるファイルの一元管理が可能です。

130種類以上のファイル形式のオンラインプレビューに対応し、ファイルにはコメント・タスクを追加できるため、Box上でコラボレーションも完結できます。

ランサムウェアの感染拡大を起こさない「Box」

Boxは「感染拡大させない」ためのコンテンツマネジメントにも最適です。全てのファイルは保存時にBox側で強力に暗号化されており、Box上にはランサムウェアが実行可能な環境もありません。

オフラインでBox上のファイルを編集できる「Box Drive」や「Box Sync」を利用すると、デバイス側でランサムウェアに感染した場合、不正に暗号化されたファイルを同期する可能性があります。この場合でも感染拡大は起こらず、またBoxは50以上のバージョンを自動保存しているため、簡単な操作で感染前のバージョンにロールバックが可能です。

加えてオプションの「Box Shield」を活用すれば、巧妙化する未知のランサムウェアも高度なAIにより検知し、ほぼリアルタイムで感染拡大をブロックします。

社内外の人材との安全なコラボレーションにも「Box」

Boxは社内外を問わないコラボレーションにも活用できます。7種類のアクセス権限設定や、70種類以上の操作ログの監視、外部ユーザーの二要素認証にも対応し、社外ユーザーを安全に招待しつつBox上で行われる操作を完全にコントロール可能です。

また複数のメンバーで同時に編集ができる「Box Notes」によるプロジェクト立案、「Box Relay」によるワークフロー自動化なども利用でき、複雑だった工程もスムーズに進行できます。

支社やパートナー会社の人材ともBox上でコラボレーションできるため、高度なセキュリティを社内外で標準化でき、サプライチェーン攻撃の対策にも効果的です。

お問い合わせはこちらから

まとめ


ランサムウェアはメールやWebサイトだけでなく、VPN機器やリモートデスクトップ機能から感染することも増えています。また二重脅迫型ランサムウェアやサプライチェーン攻撃の脅威も増しているため、関連会社も含めて感染拡大を防ぐセキュリティ対策が重要です。

「Box」であれば感染経路を遮断してファイルを一元管理できる上、感染拡大も起こりません。自社の情報資産を守ることはもちろん、関連会社とのコラボレーションプラットフォームとしても最適です。ランサムウェアの脅威から資産を守ることをお求めなら、安全なコンテンツマネジメントができるイッツコムにご相談ください。

お問い合わせはこちらから

おすすめ記事