ランサムウェアの種類は数百以上もある!被害事例と対策を一挙にご紹介 (vol.8)

序章

「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から作成されました。IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。昨年に続き今年も「ランサムウェアによる被害」が1位となっています。各企業がセキュリティ対策を行っている中で、依然として規模の大小を問わず攻撃や被害を受けています。そこで、どのようなマルウェアの種類があるのか? 何故被害が無くならないのか?を過去の被害事例を交えながら解説していきます。

ランサムウェアとは?

ランサムウェアとは、感染したコンピュータがログインできなかったり、内部のファイルを暗号化したりして復旧することと引き換えに「身代金」を要求するマルウェアのことです。なお、ランサムウェア(Ransomware)という言葉は身代金(Ransom)とソフトウェア(Software)を組み合わせた造語になります。

ランサムウェアの感染経路は、メールが多く本文や添付ファイル内のリンクをクリックさせて感染させます。また正規Webサイトの改ざんによってランサムウェアを埋め込んだり、不正サイトへ誘導する方法もあります。手段についても近年はコンピュータの暗号化やロックだけではなく、企業が持つ情報を搾取して公開するという二重恐喝が増えてきているのです。

代表的なランサムウェアとその種類

ランサムウェアの種類は数百種以上あると言われています。ここでは代表的な5つを紹介します。

  • Cryptolocker

2013年に流行した亜種も多くつくられたランサムウェア。感染したコンピュータのファイルだけでなく、ネットワーク上のドライブにも影響を及ぼす可能性があった。

  • WannaCry

2017年に世界的に被害が拡大したランサムウェア。暗号化された感染したコンピュータから増殖して周囲のコンピュータも感染させる。日本を含めて被害を受けた国も多く、ニュースを通じて一般の人々もランサムウェアという言葉を知るきっかけとなった。

  • LockBit

2013年に確認されたランサムウェア。侵入したネットワーク内で自律的に拡散する。また「ABCDランサムウェア」とも言われています。

  • Conti

2020年に確認されたランサムウェア。Windows OSが対象でMac OSLinuxは影響を受けない。非常に破壊力があり拡散するため、ネットワーク全体が対象となる可能性がある。

  • Qlocker

2021年に確認されたランサムウェア。NASの脆弱性を突いて侵入し、暗号化を行なう。

ランサムウェア被害事例

近年のニュースになった有名な国内2例と海外1例をご紹介いたします。

  • 2020年 ゲーム、コンテンツ会社

サーバー内の情報の暗号化に加えて身代金の要求がされた。また身代金の支払拒否をしたと思われるため、顧客の個人情報の流出に発展した二重に脅迫をされた事例。

  • 2021年 町立病院

メインサーバー、バックアップサーバーがマルウェアに感染。85000人分の電子カルテが閲覧できなくなり、自動受付機も稼働できなくなった。復旧までに2か月近くかかった。

  • 2021年 燃料供給会社

レガシーVPNへのパスワードのみによる不正アクセスから始まっていると言われ、1週間にわたって操業停止に追い込まれた。また解決するために身代金440万ドル(約48000万円)を支払うことになった。

ランサムウェア被害を防ぐための対策

ランサムウェアの被害を防ぐための対応についてご紹介いたします。

  • セキュリティソフトの導入

端末レベルのウイルス対策ソフト、セキュリティソフトの導入は最低限の必須対策となります。

  • OSやソフトウェア、ファームウェア等の最新化

ランサムウェアにはOSやソフトウェアの脆弱性を突いてくるタイプが、数多くあります。そのため修正パッチは、必ず迅速に適用する必要があります。またマルウェアに対しても有効な回避手段の一つとなります。

  • 多要素認証の導入

パスワード以外に生体認証や物理トークンを用いた多要素認証を利用することで、認証が突破されにくくなります。認証を突破され不正アクセスで感染するケースがあるため、認証を強化することは重要になります。

  • 定期的なバックアップ

ランサムウェアに感染しても、バックアップがされていれば復元は可能です。ただし、バックアップ先までランサムウェアの影響化が及ばないように、社内システムと隔離できるストレージサービスやクラウドサービスが有効となります。

  • 信頼できないメール開封やWebサイトを開かない

メールの添付ファイルはランサムウェアでよく使われる手法です。必ず開封前に、差出人やアドレスの確認が必要です。またWebサイトへ誘導してマルウェアの感染源となるファイルをダウンロードさせようとします。業務と関係のないサイトの閲覧や、サイトからのファイルダウンロードには十分に気を付けることが大事です。

「発症させない」セキュリティソフトのAppGuard

検知型のセキュリティソフトでは、新しいマルウェアが発見されてから対応するまでのタイムラグがあります。すべてのマルウェアを検知することが難しく、すり抜けることもあります。また同様にOSの脆弱性が発見され、修正パッチの作成、適用にも時間がかかりその間に感染する恐れもあるのです。

そこで、従来の「検知」型セキュリティの設計とは発想がまったく異なるセキュリティソフトが必要になります。「AppGuard」は端末、サーバー上で動作するあらゆるものを信用しないことからから始まります。その上で必要となるものだけを、安全かつ必要最低限の動作に制限した状態でのみ動作させます。

通常では起動が許可されるアプリケーションを信頼されることになりますが、AppGuardは起動した後も信用せずに制御・監視を継続します。つまり、「やって良いこと・悪いこと」を明確に規定した上で「やって良いこと」のみを許可していく考え方です。実行主体が何であったとしてもシステムを害する行為を一切認めなくするため、守るべき対象を侵害することが理論上不可能となります。

まとめ

「ランサムウェアの種類は数百以上もある!被害事例と対策を一挙にご紹介」と題しまして、ご紹介してきました。日々進化するランサムウェアを防ぐためには、前述したようなランサムウェア対策を十分実施したうえで、今後もランサムウェアの被害にあわないように最新の情報を入手し継続的に対応が必要となります。

弊社ではゼロトラストの考えを取り入れたAppGuardの紹介資料「ランサムウェア対策ソリューション AppGuard基本ガイドバック」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。