ランサムウェア(身代金要求ウイルス)

悪質なコンピューターウイルスであるランサムウェアの被害が世界中で拡大しています。この攻撃の被害を予防する方法と、万が一感染してしまった際の保険としての具体的な対策をご紹介します。

ランサムウェアとは

ランサムウェアとはマルウェアの一種で、感染してしまうとデータを強制的に暗号化し、ファイルを開けるようにするためには金を払えと身代金を要求してくる不正プログラムです(Ransom=身代金)。身代金の決済は銀行振り込みではなくネット上でビットコインまたはPayPalで行われるため、後を追うことは極めて困難です。

画面拡大画像(JPG)[177KB]
ランサムウェア感染により作成される身代金要求文書

新型ランサムウェアの出現

マカフィー公式ブログで「簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者らに注目されている」とされ、新種のランサムウェアの出現は後を絶ちません。2016年以降に流行した新種をご紹介します。

PETYA

PC再起動時のOSが読み込まれる前に身代金要求メッセージが表示されるランサムウェアです。通常であればPC起動時にOSを読み込み中であることを知らせるWindowsアイコンが表示されるはずです。しかし、この「PETYA」に感染すると、背景が赤で白のドクロマークが点滅して表示されます。

WannaCry

2017年5月以降に話題になったランサムウェアです。従来のランサムウェアは、新しい添付ファイルを開くなどの行為をしなければ、感染の恐れはほぼありませんでした。しかし「WannaCry」は、社内の誰かが一度感染してしまうと、PCの脆弱性を利用して内部感染を拡大していくタイプのウイルスでした。

Bad Rabbit

ロシアやウクライナなどの地域を中心に公共交通機関やメディア、政府機関に影響を与えたランサムウェアです。日本国内でも被害が確認されており、注意が必要であるといえるでしょう。「WannaCry」同様に、Windowsの脆弱性を利用して感染拡大します。

ランサムウェアの感染経路

ランサムウェアの感染経路は主に二つあります。メールの添付ファイルを開いて感染するパターンと、改ざんされたWebサイトを閲覧して感染するドライブ・バイ・ダウンロード(注1)によるものです。

  • (注1)ドライブ・バイ・ダウンロード…ユーザーが改ざんされたWebサイトを訪れると、埋め込まれたJavaScriptやリダイレクト(別のサイトにアクセスし直させること)を行うHTML構文によって別のサイトに誘導し、ユーザーのPCにあるOSやソフトウェアの脆弱性を突いてウイルスに感染させる仕組み。

メールからの感染

メールの添付ファイルを開くことで感染

攻撃の第一歩はメールです。請求書や配達通知などを装った偽装メールを送りつけ、添付ファイルをクリックさせる手口で感染させようとしています。感染すると壁紙を脅迫文の画像に変更し、全てのファイルを暗号化したことを使用者に伝え、身代金を要求します。

かつてのメールは不正送金ウイルスのメールをはじめ、偽Webサイトへ誘導するフィッシングメールが主体でした。いかにも偽装されたアドレスからの送付で見破ることは容易でしたが、昨今はそのメールが変化しています。実在する人物になりすまし、業務に直接関係があると思われる件名、本文、そして拡張子が偽装されたマルウェアが添付されているため、非常に開封率が高くなっています。

メール本文中のURLにアクセスすることで感染

閲覧者のソフトウェア(OS・Java・Flash・ブラウザー)が古く、脆弱性がある状態で不正な細工がされたWebサイトにアクセスしてしまうと、ドライブ・バイ・ダウンロード攻撃によってランサムウェアに感染してしまいます。

Webサイトからの感染

改ざんされた正規のWebサイトや不正な細工をされた広告を閲覧することで感染

閲覧者のソフトウェアに脆弱性がある状態で、改ざんされた国内を含む正規サイトや細工がされた不正広告を閲覧するだけでドライブ・バイ・ダウンロード攻撃によってランサムウェアに感染します。

【動画】ランサムウェア感染までの流れ(1分18秒)

Webサイトからダウンロードしたファイルを開いて感染

Webサイトからダウンロードしたファイルがランサムウェアに感染するように細工がされていて、ソフトウェアの脆弱性の有無に関わらず、そのファイルを開いてしまうことで感染します。

基幹業務システムがランサムウェアの攻撃を受けた場合のリスク

企業の心臓である基幹業務システムがインストールされているPC・サーバーがランサムウェアに感染してしまうと、システムが使えなくなり、業務が全て停止する・資金繰りが把握できなくなるなど、企業経営にとって致命的なリスクとなってしまいます。

被害の一例

大塚商会が対応した感染事例

1.取引先の公開サイトが改ざん

公開サイトが改ざんされており、ランサムウェアが仕込まれているサイトへのリンクが貼られる。

2.いつもと違うサイトに飛ばされ、ランサムウェアに感染

いつものように取引先のサイトにアクセスしリンクをクリックしたところ、別のサイトに飛ばされ、PCにランサムウェアが侵入。そして、再起動が求められPCが暗号化された状態に。

3.感染被害がさらに拡大!

ネットワークを経由して2台のサーバーやほかの端末にも感染が拡大。社内の業務システムは完全にストップ状態に!

1.取引先の公開サイトが改ざん

公開サイトが改ざんされており、ランサムウェアが仕込まれているサイトへのリンクが貼られる。

2.いつもと違うサイトに飛ばされ、ランサムウェアに感染

いつものように取引先のサイトにアクセスしリンクをクリックしたところ、別のサイトに飛ばされ、PCにランサムウェアが侵入。そして、再起動が求められPCが暗号化された状態に。

3.感染被害がさらに拡大!

ネットワークを経由して2台のサーバーやほかの端末にも感染が拡大。社内の業務システムは完全にストップ状態に!

システム停止による被害コスト

上記のケースにおいて、ランサムウェア感染の報告を受けてからシステムが使える状態に戻るまでにかかった期間…約1週間。
仮に年商30億円の企業の場合、停止した1週間(5営業日)の売上高を日割りで見ると

30億円÷12カ月÷20日(1カ月の営業日)×5日(停止した営業日)=6,250万円(年間売上の約2.1%)

たった1台のPCが感染しただけで、これだけの売り上げに影響してしまう可能性があります。まだまだ続くと見られるランサムウェア、貴社の対策は十分ですか?

ランサムウェアの被害を防ぐ 5つの有効な対策

1.見覚えのないメールに注意する

ランサムウェアに限らず、電子メールを経由したウイルス感染は後を絶ちません。マルウェアが侵入するかしないかはメールを受け取った人のリテラシー次第ではありますが、前述のとおり偽装手口が巧妙化しており、偽装メールを誤って開封してウイルスに感染してしまうケースが増えています。見覚えのない差出人からのメールに記載されているリンクをクリックしない・添付ファイルを開かないなどの用心が必要です。

標的型メール訓練サービス(無償版)

標的型メールを模した訓練メールを送信し、そのメールに対する従業員の対応結果をレポートとして提供するシステムを無償でご利用いただけます。標的型メールへの対応について、従業員の実態を可視化できます。

標的型攻撃メール訓練サービス

  • * 本サービスはご利用回数やユーザー数に制限がございます。訓練内容をお客様のご要望にあわせて実施する有償のサービスもご用意しています。

2.OSやソフトウェアのバージョンを常に最新にする

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。Windows UpdateなどのOSアップデート、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションのアップデートを行い、脆弱性を解消するのが有効です。

関連記事

なぜ「Windows 10」だけが、新型ランサムウェア“WannaCry”に感染しなかったのか?

第34回 “ランサムウェア”“働き方改革”「Windows 10」が再び注目されてきた理由とは?

脆弱性を修正する更新プログラムが提供されたら速やかに適用すべきですが、運用や検証・管理場の問題ですぐにはアップデートできない場合もあります。

仮想パッチで脆弱性を保護

サーバーの脆弱性を自動検知し、すばやく仮想パッチを当てて正規パッチが適用されるまでサーバーを保護します。サーバーごとに必要な仮想パッチを自動的に適用するため、システム管理者は適用する仮想パッチを意識することなくサーバーを運用することができます。また、正規のセキュリティパッチ適用後は自動的に仮想パッチが解除されます。OSの脆弱性だけでなく、ミドルウェア等のソフトウェアの脆弱性も保護します。

3.ネットワークセキュリティ対策を強化する

ファイアウォールやWebフィルタリング、アンチスパムなどさまざまな機能を搭載した「UTM(統合脅威管理)」や、重要情報を保管している端末を「セキュリティスイッチ」でネットワーク分割することなどが大切です。

ランサムウェアの感染を防ぐ対策

ネットワーク対策は未実施、ファイアウォールから対策を始める場合

企業のネットワークには攻撃が多く、入念なセキュリティ対策が必要ですが、ウイルスや不正侵入などの脅威に個別で対応していくのは手間がかかり、大変です。そこでUTM(統合脅威管理機器)をおすすめします。UTMには複数のセキュリティ機能がまとめて搭載されているため、導入や管理に手間をかけずにさまざまな脅威に対応することができます。

既にファイアウォールを導入済みで、さらにセキュリティ強化をしたい場合

Webサイトからのランサムウェアの感染は、犯罪者がインターネット上に用意したC&Cサーバー(司令塔サーバー)に接続できないと、ファイルを暗号化する動作を行いません。このため、不正アクセス先を検知してブロックする機能を持ったセキュリティ製品を導入することが、有効な対策となります。

万が一感染した場合の対策

早期発見・対処を実施する

Cloud Edgeのログ監視・分析を通して、マルウェア侵入の可能性をメールでお客様にお伝えし、被害の拡大を防ぎます。

たよれーる EasySOC for Cloud Edge

内部拡散を食い止める

標的型攻撃の脅威は外部攻撃対策だけで防ぐのは困難です。ウイルス感染したPCによる内部からの攻撃の検知や通信遮断など、セキュリティスイッチによる社内ネットワークでのセキュリティ対策が必要です。

4.PC1台からできるランサムウェア対策

ネットワークをすりぬけてクライアントPCに脅威が及ぶ可能性を考え、PC1台からできるランサムウェア対策をご紹介します。

暗号化を検知してPC内のファイルを防御

ソフォス株式会社のランサムウェア対策ツール「Intercept X」をご提供します。ランサムウェアがファイルを暗号化しようとするふるまいを検知して、PC内のファイルを防御します。

PCのバックアップデータを安全な場所に保護

ランサムウェアに感染したPCは、Excel・Word・PDF・JPGなどのファイルが暗号化されて開けなくなります。またその被害はファイルサーバーの共有フォルダーのデータなど、「PCから共有で見えているサーバーのフォルダー」にも影響することが分かっています(本項目は2016年3月時点の情報を元にしています)。

5.バックアップを取る

ランサムウェアに感染してファイルが暗号化されてしまうと、そのデータの復旧は不可能です。元に戻すためには、感染前のバックアップデータをリストアする必要があります。

重要

バックアップデータのポイント

  • 感染を防ぐためにオフラインのメディアに取得、もしくはネットワーク越しに見ることができないサーバーに保管されている。
  • バックアップ自体も複数世代にさかのぼれる世代管理が重要(発見が遅れた場合、直近のバックアップデータは既に感染しているリスクがあります)。
  • * ただし世代管理は大量のデータを保存する必要があります。

クライアントPCデータのバックアップ

サーバーデータのバックアップ

重複排除バックアップソリューション

重複排除機能を持ったバックアップ用装置であれば、保存するデータの量を削減できるため、バックアップ世代を多く残せて安心です。また重複排除後の小さくなったデータは遠隔地への転送も容易で、災害対策としても活用することができます。

重複バックアップデバイス iStorage HS

バックアップ先、アーカイブ先(長期保管用)に適した、堅牢で拡張性のあるストレージです。重複排除機能で効率良くバックアップデータを複数世代保管することができます。さらに、大塚商会では保管データのランサムウェア対策に、感染経路を遮断した筐体内クローン設定(オプション)もご用意しています。

遠隔地へのバックアップ

少しでも被害を低減するため、バックアップ運用をローカル・リモート(クラウド)・オフサイト(テープ保管)と多重化する検討が必要です。

関連記事

万が一の感染時にも基幹業務システムを止めないために

フェア・セミナー

大塚商会セキュリティ専門チームが、豊富なメニューでサポート

「セキュリティサービスガイド」ダウンロード

限られた予算の中で、何をどこまで行えば良いのか? 大塚商会では、お客様の状況・目的・体制に合わせたセキュリティ対策をご提案します。

こちらのカタログでは、大塚商会がご用意する豊富なセキュリティ対策メニューを「現状把握・計画」「ルール・体制整備」「対策実行」「検知・運用」「教育・訓練」の5つの切り口から具体的なサービスをご紹介します。

カタログをダウンロードする

お問い合わせ・ご依頼はこちら

製品導入に当たって、疑問・質問はございませんか?お取引実績130万社の経験からお客様のお悩みにお答えします。資料のご請求、お見積りから、実機でのデモンストレーション希望など、お気軽にご相談ください。

お電話でのお問い合わせ

0120-220-449

受付時間
9:00~17:30(土日祝日および当社休業日を除く)
総合受付窓口
インサイドビジネスセンター

ページID:00251747