ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説
目次
ランサムウェアの感染経路としてリスクが高いものに、リモートワーク環境で使用するVPNサーバやリモートデスクトップ機能(RDP)を挙げられます。組織的かつ長期的なランサムウェア攻撃による深刻な被害事例も多数報告されており、攻撃手法の変化に合わせた柔軟な対策が急務となっています。
この記事では、「ランサムウェアはどこから感染するのか」「どのように防衛できるのか」「感染してしまったらどうすべきか」といった疑問にお答えします。社内ネットワークの潜在的なリスクに備え、安全性の高いコンテンツクラウドを活用することも検討しましょう。
企業が対策すべきランサムウェアとは?
ランサムウェアとは、ランサム(Ransom/身代金)とソフトウェア(Software)を組み合わせた造語で、身代金要求型不正プログラム(身代金要求型ウイルス)とも呼ばれるマルウェアの一種です。
ランサムウェアに感染すると、PCやサーバがロックされる、またはファイルが暗号化され、使用できなくなります。その後、データの復旧と引き換えに金銭や暗号資産を要求する「ランサムノート」と呼ばれるメッセージが表示されます。
代表例として、2017年に世界中で大規模な被害をもたらした「WannaCry」が知られています。ランサムウェアの種類は多岐にわたるため、企業の規模を問わず感染リスクが存在します。さらに、工場の操業停止を招く事例も報告されており、警察庁やIPA(情報処理推進機構)は、こうした攻撃への警戒を強く呼びかけています。
ランサムウェアの主な感染経路
従来のランサムウェア攻撃は、メールを通じて不特定多数に感染させる手口が主流でした。しかし、近年ではVPN機器などのネットワーク機器の脆弱性を悪用する手法が増えています。
警察庁の発表によると、2023年度のランサムウェアの感染経路は「VPN機器からの侵入」が63%、「リモートデスクトップからの侵入」が18%を占め、これらで全体の約82%に達しました。その他の感染経路としては、「不審メールやその添付ファイル」が5%にとどまっており、この傾向は2024年上半期も続いています。
脆弱性が放置されたVPN機器
近年被害が急増しているのは、VPN機器を感染経路とするランサムウェア攻撃です。この攻撃手法では、VPN機器の脆弱性を悪用してランサムウェアに感染させます。
テレワークの浸透もあってVPNを導入する企業は増えていますが、この状況を利用したランサムウェア攻撃です。VPN機器のファームウェアをアップデートしていなかったり、古い機種を使ったりしていると、容易に感染経路となってしまう恐れがあります。
【関連記事:VPN接続とは?VPNの基本やメリット・デメリットをわかりやすく解説】
リモートデスクトップ機能(RDP)で開放されたポート
Windows環境でリモートデスクトップを実現するプロトコル(通信規約)「RDP(Remote Desktop Protocol)」を感染経路とするランサムウェア攻撃も一般化しています。テレワークの普及でPCやサーバを遠隔操作できるリモートデスクトップの活用も広がりましたが、RDP利用の際には特定のポートを外部に開放する仕様です。この開放されたポートを狙ったランサムウェア被害が拡大しています。
例えば、RDPポートを開放したログイン待ちのPC・ネットワークに対して総当たり攻撃(暗号化・パスワードの力ずくの突破)を仕掛け、管理者権限を取得してセキュリティソフトを停止させ、ランサムウェアに感染させます。これもVPN機器のケースと同じく、テレワークの浸透に便乗したランサムウェア攻撃です。
推測しやすいパスワードを使っていたり多層的な保護対策を講じていなかったりすれば、簡単に不正アクセスを許してしまう恐れがあります。
フィッシングメールや標的型攻撃メール
古くからある一般的なランサムウェア攻撃として、メールの添付ファイルやリンクを感染経路とする手法があります。比較的危険を察知しやすいばらまき型のフィッシングメールも多い一方、近年は標的型攻撃メールも増えている状況です。
このタイプの攻撃は、社内事情を熟知した上で、思わずクリックしたくなるような文章によりランサムウェア感染へ誘導します。内容に真実味があるだけでなく、自然な日本語のメールも増えているため注意が必要です。
ミラーサイトや改ざんされた正規サイト
Webサイトを感染経路とするランサムウェア攻撃もあります。これは「ドライブバイダウンロード」と呼ばれる攻撃手法により、あらかじめWebサイトにランサムウェアを仕込んでおき、Webサイトを開くと同時に自動的にダウンロードさせるパターンが一般的です。
Webブラウザなどの脆弱性を悪用し、ユーザーが気付かないうちに感染させます。ひと目で怪しいサイトと分かるものだけでなく、正規サイトのURLを一部改変したミラーサイトや、内容を改ざんした正規サイトが感染経路となることも見受けられます。
攻撃用アプリや改ざんされた著名アプリ
アプリを感染経路とするランサムウェア攻撃もあります。スマホアプリやデスクトップアプリにランサムウェアを混入させ、インストール時やアプリ使用時にランサムウェアが稼働を始める攻撃手法です。
ランサムウェア攻撃のために開発されたアプリが、信頼できるアプリに見えるよう偽装しているケースの他に、著名なアプリが改ざんを受け感染経路とされてしまうケースもあります。
USBメモリなどのリムーバブルメディア
USBメモリなどのリムーバブルメディアが感染経路となるランサムウェア攻撃も存在します。この攻撃手法では一見普通のUSBメモリなどにランサムウェアが仕込まれており、PCへの接続時に自動的にランサムウェアを感染させます。
ランサムウェア入りのUSBメモリを送り付ける攻撃手法も増えているため、出所不明のUSBメモリは信用しないことが大切です。
巧妙化するランサムウェアの攻撃手法
ランサムウェア攻撃は、悪意あるメールやWebサイトから配布される「ばらまき型」のものから、特定の組織を狙ってネットワーク内部へ侵入する「標的型」のものへ変化しています。二重脅迫型ランサムウェア攻撃や組織犯罪の増加、サプライチェーンを狙った大規模攻撃のリスク増大なども、懸念すべき変化です。
「ばらまき型」から「標的型」へ
ランサムウェア攻撃は不特定多数の個人・組織を標的とする「ばらまき型」と、特定の個人・組織を標的とする「標的型」に分けられます。
以前は2017年に猛威を振るった「WannaCry」などのばらまき型ランサムウェアが主流でしたが、近年は標的型ランサムウェア攻撃が増えている状況です。
標的型ランサムウェア攻撃は標的組織向けにカスタマイズしたランサムウェアを使用することがあり、一般的なセキュリティソリューションでは対応しにくく、被害が深刻化しやすい傾向にあります。
二重脅迫型ランサムウェア攻撃
従来のランサムウェア攻撃は、データの暗号化やロックの解除と引き換えに対価を要求する手法が一般的でした。しかし、近年では「二重脅迫型ランサムウェア攻撃」が主流になりつつあります。
この新たな手口では、攻撃者が標的の組織に侵入し、機密情報を盗み取った後にランサムウェアを展開します。そして、データの復号に加え、「機密情報を公開されたくなければ対価を支払え」と二重に脅迫する手法を用います。
さらに身代金を支払うまでDDoS攻撃(複数コンピュータから標的システムに異常な高負荷を掛ける攻撃)を掛け続けたり、標的組織の顧客やパートナー企業へ脅迫したりするなど、3重・4重に脅迫する凶悪なランサムウェア攻撃も登場している状況です。
「RaaS」の台頭とサイバー犯罪者の増加
近年は「RaaS(Ransomware as a Service)」と呼ばれる、ランサムウェアをサービスとして提供するビジネスモデルが台頭していることも懸念点です。従来はランサムウェア組織からの個別の攻撃が主流でしたが、RaaSはパッケージ化された攻撃方法を、ランサムウェア攻撃をしたい個人・組織に有償で提供します。
つまり悪意と資金さえあれば、知識・技術がなくても誰でもランサムウェア攻撃を行える状況です。複雑な二重脅迫型ランサムウェアもRaaSとして提供されており、サイバー犯罪者の増加に拍車が掛かっています。
サプライチェーンを狙った大規模攻撃も
近年は「サプライチェーン攻撃」が増えているのも懸念点です。サプライチェーン攻撃とは、標的企業に直接攻撃するのではなく、グループ企業や海外拠点などセキュリティの脆弱な組織を「踏み台」とするサイバー攻撃を指します。
サプライチェーンのどこかにセキュリティの弱い部分があれば、そこを足掛かりとしてランサムウェアに感染させ、標的となる企業を脅迫する手口です。
このタイプの攻撃で工場が稼働停止に追い込まれるなどした企業は珍しくありません。自社だけでなく関連各社と連携したセキュリティ対策が求められます。
ランサムウェア感染を防ぐための対策方法
ランサムウェアの感染被害を防ぐための基本的な対策方法は、「感染経路を閉じる」ことです。システムの脆弱性を放置せず、攻撃者やランサムウェアのネットワーク内部への侵入を防止することが求められます。
ただし、対策を講じても感染経路や感染リスクをゼロにすることは困難であるため、感染後の確実な復旧を目的とした対策も重要です。
システムを最新の状態に保つ
VPNやリモートデスクトップなど、外部から内部への接続手段の脆弱性を狙ったランサムウェア攻撃に対策することは必須です。セキュリティの専門機関や信頼できるベンダーから脆弱性についての最新情報を収集するとともに、利用可能なセキュリティパッチ(更新プログラム)を速やかに適用しましょう。
システムを最新の状態にアップデートすれば、少なくとも既知の脅威に関しては対策できます。OSやWebブラウザだけでなく、VPN機器のファームウェアなど、あらゆるシステムを最新の状態に保つことが大切です。またサポートが終了しているハードウェア・ソフトウェアは廃棄し、信頼性の高いプロダクトに切り替えることも検討しましょう。
不審なメールやWebサイトを開かない
メールやWebサイトを感染経路とするランサムウェア被害も多数報告されています。特定の従業員を狙った標的型攻撃メールや正規サイトを改ざんした偽サイトは本物と見分けが付きにくく、またアンチウイルスソフトなどで検知できない未知のランサムウェアが攻撃に使用されることもあります。
不用意にメールの添付ファイルやリンクは開かないように、社内で周知徹底することが大切です。送信元のメールアドレスは偽装されていることも多いため、取引先からのメールであっても送信元本人に確認するように注意喚起しましょう。
とはいえ、受信者のミスによる感染は防ぎ切れません。ファイル共有の代替手段を整備するなど、なるべくメールを使用しない環境作りも求められます。
認証情報(ID・パスワード)を適切に設定・管理する
システム全体で、ID・パスワードといった認証情報を適切に設定・管理することも重要です。ID・パスワードはすでに流出している可能性もあり、また強度の低いパスワードは総当たり攻撃などで突破される恐れがあります。
管理者権限を乗っ取られると被害が深刻化しやすいため、PC・サーバ・ネットワーク機器などのパスワードは、以下のポイントを押さえて強度の高いものに変更しましょう。
・文字数は最低でも10文字以上にする
・数字や記号を混ぜる
・大文字・小文字両方のアルファベットを入れる
・サービスごとに異なるパスワードを設定し、使い回しをしない
・パスワードは定期的に変更する
多要素認証やSSO(シングルサインオン)など、より強度の高い認証方法を採用することも検討しましょう。
セキュリティソフトの導入
アンチウイルスソフトやファイアウォールなどのセキュリティソフトを導入し、常に最新の状態にアップデートすることも重要です。ただし一般的なセキュリティソフトは既知の脅威のみを対象とするため、標的型ランサムウェア攻撃には無力であるケースも珍しくありません。
そこでAIを活用した、未知の脅威にも対応できるソリューションも組み合わせ、多層的な防御システムを構築するのが効果的です。ただし、社内ネットワークの完全な保護には非常に高額なセキュリティ対策費が掛かるため、資金に余裕のある大企業ならまだしも、中小企業には現実的ではない場合もあります。
バックアップデータを保護する
ランサムウェアに感染してしまったケースを想定し、定期的にバックアップを取ることは重要です。ただし、バックアップデータやバックアップサーバ自体も攻撃対象とするランサムウェア攻撃も一般化しており、安全なリストアポイントで復旧できないケースも珍しくありません。
そこで、複数のデータコピーを作成し、テープ媒体などオフラインのストレージも活用することが重要です。オフサイト(地理的に離れた場所)にバックアップデータを保存する簡便な方法として、クラウドストレージの活用も広がっています。
ランサムウェアに感染してしまったら?感染時の対処方法
ランサムウェアの感染対策を行っても、感染被害に遭う場合があります。ランサムノートの要求通りに金銭や暗号資産を支払ったとしても、攻撃者がシステムのロックやファイルの暗号化を解除したり、窃取した機密情報の公開をやめたりする保証はありません。要求に応じず、まず以下の対処を行いましょう。
感染した端末をネットワークから隔離する
ランサムウェアは、ネットワーク上の他の端末へ連鎖的に感染する恐れがあります。そのため、感染した端末を速やかにネットワークから隔離し、拡大を防ぐことが重要です。有線LANの場合はLANケーブルを抜き、無線LANの場合は端末を機内モードに切り替えるか、Wi-Fiルーターの接続を解除しましょう。
感染した端末の電源を切らない
感染拡大のリスクを抑えようとして、思わず端末の電源ボタンを長押ししたり、電源コードを引き抜いてしまったりするかもしれません。しかし、電源を強制的に落としてしまうと、感染原因などの調査に必要なログが消失する場合もあります。PCやネットワーク機器は、ネットワークから隔離した後、電源を落とさないようにしましょう。
組織全体で対応する
本社・支社の拠点間接続や企業間取引のために広域ネットワークを構築している場合などは、遠隔地の拠点や企業へ感染が拡大する恐れもあります。また、感染に遭った拠点は踏み台として狙われただけで、本命の標的は本社や取引先かもしれません。支店や提携会社などにも速やかに連絡し、サプライチェーン全体で感染被害を抑えることも重要です。
都道府県警察のサイバー犯罪相談窓口などに通報・相談する
サイバー犯罪の実態を明らかにし、被害の拡大や再発を防止するには、被害を潜在化させないことが重要です。保存した通信ログやシステム構成図などを持参し、最寄りの警察署や都道府県警察本部のサイバー犯罪相談窓口に通報・相談しましょう。IPAやJPCERT/CCなど専門機関への初動対応の相談、セキュリティ専門企業への調査依頼も考えられます。
復号ツールを利用する(一部のランサムウェアのみ)
感染したランサムウェアの種類によっては、復号ツールを利用できる可能性があります。各国の警察機関やセキュリティ専門企業による「No More Ransom」プロジェクトのWebサイトにて、復号ツールを検索・ダウンロースすることが可能です。
ランサムノートや暗号化されたファイルの拡張子から、ランサムウェアの種別やバージョンを特定し、復号ツールが適用できるか確認しましょう。
容量無制限のコンテンツクラウド「Box」でファイル共有とランサムウェア対策を両立しよう
ランサムウェアの感染リスクを完全に排除することは難しいため、感染後の復旧を見据えた対策が重要です。
「Box」は、各国の政府機関も採用するコンテンツクラウドで、容量無制限のストレージにより、全てのファイルを安全に一元管理できます。保存時に暗号化され、プログラムを実行する環境がないため、ランサムウェアがBox経由で拡散する心配はありません。
デスクトップで感染したファイルが同期されても、50世代以上のバージョン管理機能により簡単に復元可能です。さらに、AIを使った脅威検知や多要素認証といったセキュリティ機能も充実しており、リモートワーカーや取引先とも安全にファイル共有ができます。
【関連記事:クラウドストレージ「Box」の魅力は?使い方やメリットを徹底解説】
まとめ
リモートワーク環境で使用されるVPNやRDPを感染経路とするランサムウェア攻撃が猛威を振るっています。社内からメールやWebサイトを閲覧する機会も多いため、社内LAN内のPCやサーバには潜在的な感染リスクがあります。また、バックアップデータを感染させるランサムウェア攻撃が一般化していることも懸念点です。
安全性の高いコンテンツクラウドを活用すれば、社内ネットワークの感染リスクを大幅に軽減できます。容量無制限の「Box」は、感染拡大の防止や感染後の復旧に役立つ機能も備え、ランサムウェア攻撃の対策と業務効率化を両立できます。Boxの活用をお考えなら、導入時・運用中に充実したサポートを提供できるイッツコムにご相談ください。