[フレーム]
このページの本文に移動

ランサムウェア、あなたの会社も標的に?被害を防ぐためにやるべきこと

[イラスト:ランサムウェア攻撃をして、「ファイルは暗号化した。解除してほしかったら身代金を払え!」と脅迫する人物(ハッカー)。ランサムウェア攻撃でパソコンが被害を受け、青ざめている会社員。]

企業や教育機関、医療機関、行政機関など様々な組織が、ランサムウェア攻撃によって被害を受けています。ランサムウェアは、コンピュータに感染し、データを暗号化して使えなくし、その復元の対価として金銭を要求するコンピュータ・ウイルス(不正プログラム)です。近年、被害件数が増加するとともに悪質化してきています。どうすれば被害を防止できるのか。また、攻撃を受け、被害に遭った場合、どのように対応していけばよいのかを解説します。

1「ランサムウェア」とは?

「ランサムウェア」とは、「身代金」を意味する英語「ランサム(Ransom)」と「ソフトウェア(Software)」とを組み合わせた言葉です。パソコンやスマートフォンをウイルスに感染させて、保存されているファイル等のデータを勝手に暗号化することで使用できない状態にした後、それを元に戻すことと引き換えに「身代金」を要求する不正プログラムです。

ランサムウェアに感染すると、ファイルが暗号化されて使用できなくなり、パソコンの画面には、ファイルの復号のための金銭の支払いを要求するメッセージ、又は連絡先が表示されます。
万一、会社の業務システムやオンラインシステムなどが感染すると、通常の業務運営ができなくなってしまいます。実際に国内の大手メーカーにおいて、受発注システムがランサムウェアに感染したため、工場の操業を一時停止せざるを得なくなった事案も発生しています。

[画像:ランサムウェア被害を受けたパソコン画面のイメージ。「Your files have been encrypted!」の文字と身代金の支払い期限の時間が表示されている。]

2ランサムウェアの感染経路や手口は?

近年のランサムウェアに感染させる主な手口は、テレワーク等のために用いられるVPN(注記)機器を始めとするネットワーク等のインフラの脆弱性や強度の弱い認証情報等を狙って企業・団体のネットワークに侵入する手口です。

また、従来の手口は、ランサムウェアがデータを暗号化してパソコンを使えなくして、元に戻すための対価を要求するというものでしたが、現在は、ネットワーク内のデータを盗み取って「身代金を支払わなければ、このデータを公開する」という「二重恐喝(ダブルエクストーション)」と呼ばれる、より悪質な手口が主流となっています。

さらに、データを暗号化する(ランサムウェアを用いる)ことなくデータを盗み取り対価を要求する手口「ノーウェアランサム」による被害も確認されています。

(注記)VPN:「Virtual Private Network」の略で「仮想専用線」と呼ばれます。拠点間を仮想の専用線で結び安全に情報をやり取りするための仕組みです。オフィスにVPN機器を設置し、パソコンにインストールしたVPN接続用のソフトウェアからオフィスにアクセスすることで、テレワークを実施することができます。

[イラスト:よくあるランサムウェア攻撃の手口は、企業・団体を標的に攻撃し、ネットワーク内で侵害範囲を拡大し、管理サーバからネットワーク内の端末やサーバを攻撃し、データ・システムの普及と引き換えに身代金を要求。さらに窃取したデータを公開しないことと引き換えに身代金を要求。]

3被害の未然防止や軽減のために企業ができる対策は?

インターネットが普及した昨今、企業・団体においてもインターネットやパソコンは、ビジネスや業務運営で欠かせないものとなっています。あらゆる企業・団体がインターネットでつながって業務が行われていることから、全ての企業・団体においてランサムウェア対策に取り組む必要があります。
ランサムウェアによる被害の未然防止対策として、主に次のようなものがあります。

個々の社員が行う対策

不審なメールやウェブサイトを開かない

近年のランサムウェアはVPN機器等のぜい弱性を悪用する例が多くなっていますが、特定の社員等を狙う標的型攻撃メールも依然として多数報告されており、メールやSNSの添付ファイルを開いたり、メールの本文に書かれたURL(リンク先)へアクセスしたりすることでウイルスに感染したり、認証情報を盗み取られたりすることがあります。ウイルス対策ソフトなどでも検知できない未知のウイルスも存在しますので、メール等の送信者、文面、添付ファイルなどに注意を払い、心当たりがない場合や内容に不自然な点がある場合は、ファイルを開いたり、リンクをクリックしたりしないようにしましょう。

また、夏休みなどの長期休暇明けにメールを開封するときは十分に気を付けてください。長期休暇明けは、多くのメールが溜まってしまい、あまり慎重に確認せずに開封しがちです。送信元のメールアドレスは偽装されていることも多いので、たとえ取引先からのメールでも疑問に感じたら、面倒でも送信元の本人に確認をするようにしましょう。

パスワードは適切に設定・管理する

パスワードは、次のことに留意して設定しましょう。

  • 最低でも10文字以上の文字数で構成する。
  • パスワードの中に数字や、「@」、「%」、「“」などの記号も混ぜる。
  • パスワード内のアルファベットに大文字と小文字の両方を入れる。
  • サービスごとに異なるパスワードを設定する(使いまわしをしない。)。

管理者の許可を得ずソフトウェアをインストールしない

業務や作業に有益な無料ソフトと偽って、不正なプログラムをダウンロードさせ、ウイルスに感染させるための手口も報告されています。ソフトウェアのインストールは、会社のシステム管理者の管理下で行うようにしましょう。

セキュリティ教育を受けリテラシーを高める

ランサムウェアに感染させる手口は、日々、深刻化、巧妙化しています。こうした状況に適切に対応するためにも、積極的にセキュリティ教育を受け、個人のセキュリティリテラシーを向上させましょう。

企業・団体全体で行う対策

企業・団体でランサムウェアの被害を未然に防ぐため、また、万一、ネットワーク内にランサムウェアが侵入してしまった場合に被害を軽減するために、次のような対策をしておく必要があります。

OS等を最新の状態にする

ランサムウェアの感染を防ぐための基本的な対策として、利用している機器のOS(基本ソフト)やソフトウェアなどの更新ファイルやパッチ等を適用して、常に最新の状態を保つようにし、脆弱性を残さないようにしましょう。OSやソフトウェア、通信機器のファームウェアのアップデートを放置することは、非常に危険です。

ウイルス対策ソフト等を導入する

ウイルス対策ソフトやEDRを導入し、常に最新の状態に保って管理しましょう。ランサムウェアに感染するリスクを低減できます。

認証機能を強化する

多要素認証などの認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に活用しましょう。

ファイアウォール等を設定して不審な通信をブロックする

ファイアウォールやIDS/IPSで外部との不審な通信を制限しましょう。また、メール送信ドメイン認証機能を導入し不審なメールをブロックしましょう。

アクセス権などの権限を最小化する

ランサムウェアに感染した場合に、暗号化されてしまう範囲を最小限にとどめるため、それぞれのユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。また、個々のユーザーが利用する端末等からアクセス可能なネットワークの範囲も限定しましょう。

ネットワークを監視する

ネットワーク内の不審な動きを早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することにつながります。迅速な検知を実現するためには、振る舞い検知機能等を導入しログの監視を自動化して、異常を検知した場合は迅速に対処しましょう。

データの定期的なバックアップとネットワークから切り離してバックアップを保管する

ランサムウェアの感染に備えて、定期的にデータのバックアップをとっておきましょう。ランサムウェアに感染すると、バックアップのためにつないでいた記憶媒体も暗号化されて使えなくなる場合もあります。バックアップデータは外付けの記憶媒体にも保存し、ネットワークから切り離して保管しておきましょう。
加えて、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。

[画像:ランサムウェアに感染した端末から、ネットワーク内の端末やLAN・USB等で常時接続しているとネットワーク内の端末やサーバも感染(暗号化)される。バックアップ用の外付け記録媒体は必要時のみ接続することで、暗号化を防ぐ。]

セキュリティ教育と業務継続計画(BCP)

上記『個々の社員が行う対策』のほか、「❹被害に遭ったときの対応は?」に記載した対策について周知と訓練をしましょう。また、あらかじめ業務継続計画(BCP)を定め、被害に遭ったときの行動を決めておき、警察など関係機関への連絡についても記載しておきましょう。

4被害に遭ったときの対応は?

ランサムウェアの被害に遭った場合、犯人の要求どおり金銭を支払っても、犯人が暗号化したデータを復号する保証も、盗み取ったデータの公開をやめてくれる保証もありません。被害に遭ったときには、次に挙げる対策を講じるとともに、すぐに警察へ被害の通報をしてください。

ランサムウェアの被害に遭ったときの対処法

感染した端末をネットワークから隔離

ランサムウェアは、ネットワーク上に接続されている他の端末にも感染を広げます。
有線LANであればLANケーブルを抜きましょう。無線LANであれば、端末を機内モードに設定するか、Wi-Fiルータの電源を落として、ネットワークから隔離しましょう。

感染した端末の電源を切らない

感染した端末内に復元に必要な情報が残っていることがあります。感染した端末の電源は切らないようにしましょう。

組織全体で対応する

ランサムウェアは、他の端末に感染を広げます。そのため、組織全体で状況を把握することが必要です。場合によっては、支店や提携会社などにも速やかに連絡してください。感染拡大の防止につながります。

警察に相談・通報する

サイバー犯罪の実態を明らかにし、被害を拡大させないため、被害に遭ったら、自社を管轄する警察署又は警察庁ウェブサイトのサイバー事案に関する通報等のオンライン受付窓口に相談・通報してください。
警察に相談・通報することで、ランサムウェア対策について助言を得ることもできます。また、業種によっては、所管省庁へ報告するほか、取引のあるセキュリティ企業やIPA、JPCERT/CCに連絡し、事後対応の指示を受け行動しましょう。

まとめ

ランサムウェアの被害を防ぐために、ふだんから次のことを心がけましょう。

社員

  1. 不審なメールやウェブサイトは開かない。
  2. パスワードは適切に設定・管理する。
  3. 管理者の許可なくソフトウェアをインストールしない。
  4. セキュリティ教育を受け、リテラシーを高める。

企業等

  1. OS等を最新の状態にする。
  2. ウイルス対策ソフトを導入する。
  3. 認証機能を強化する。
  4. アクセス権などの権限を最小化する。
  5. ネットワークを監視する。
  6. データの定期的なバックアップとネットワークから切り離してバックアップを保管する。
  7. セキュリティ教育を行う。

警察では、サイバー犯罪に対する様々な対策を行っています

ランサムウェアを始めとするサイバー犯罪の実態を明らかにし、被害を拡大させないためには、被害を潜在化させないことが重要です。
被害に遭ったら、最寄りの警察署又は警察庁ウェブサイトのサイバー事案に関する通報等のオンライン受付窓口に相談・通報してください。
警察へ寄せられたサイバー犯罪に関する事件捜査を行うほか、情報を分析し、被害企業における対策に必要な情報の提供・助言、他の企業などへの被害拡大を防止するための注意喚起といった、被害防止の取組を行っています。

[画像:企業の皆様からの情報提供がサイバー空間の安全につながります。サイバー犯罪に関する情報の分析。サイバー犯罪事件の捜査。被害の拡大防止、再発防止。]

「No More Ransom」で、暗号化されたデータが復元できるかもしれません

「No More Ransom」は、ランサムウェアの被害低減を目指す国際的なプロジェクトです。ランサムウェアの危険性と対策に関する情報を公開し、無料の復号ツールをはじめとしたランサムウェアの被害者に有用なリソースの提供を目的として活動しています。
一部のランサムウェアについては、「No More Ransom」プロジェクトのウェブサイトで復号ツールが公開されています。ランサムウェアの種類が判別できたら、「No More Ransom」サイトで、暗号化されたデータが復号可能か否かを確認してみましょう。
「No More Ransom」プロジェクトのウェブサイトで公開されている復号ツールの使用方法についてはJC3のウェブサイトを参考にしてください。

(取材協力 警察庁 文責 内閣府政府広報室)

このコンテンツは役に立ちましたか?
このコンテンツは分かりやすかったですか?
このコンテンツで取り上げたテーマについて関心が深まりましたか?

ご意見・ご感想

送信中です

ランキング

関連サイト

外部のウェブサイトに移動しますが、よろしいですか。
よろしければ以下をクリックしてください。

Link
ご注意
  • リンク先のウェブサイトは、内閣府政府広報室のサイトではありません。
  • この告知で掲載しているウェブサイトのURLについては、2023年11月21日時点のものです。
  • ウェブサイトのURLについては廃止や変更されることがあります。最新のURLについては、ご自身でご確認ください。
Top

AltStyle によって変換されたページ (->オリジナル) /