「会社のサーバーにあるファイルが突然開けなくなった」「PCの画面に見慣れない脅迫文が表示されている」 ある日突然、このような事態に陥るのがランサムウェア攻撃の恐ろしさです。近年、企業の事業継続を脅かすサイバー攻撃として、ランサムウェアの被害は深刻化の一途をたどっています。攻撃者は一体どこから侵入してくるのでしょうか?
本記事では、企業のセキュリティ担当者が知っておくべき最新のランサムウェアの感染経路と、今すぐ実施できる具体的な対策、そして万が一感染してしまった場合の初動対応までを専門家の視点から分かりやすく解説します。
この記事を読めば、漠然とした不安を解消し、自社のセキュリティレベルを一段階引き上げるための具体的なアクションプランが見えてくるはずです。
巧妙化するランサムウェア攻撃から組織を守るため、まずは自社の現状把握をすることが重要です。セキュリオではチェックシートを無料で配布しています。ぜひ、貴社のセキュリティ強化にお役立てください。
ランサムウェアとは?その脅威と近年の動向
まず、ランサムウェアがどのようなものか、改めて確認しておきましょう。
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、感染したコンピュータやシステム上のファイルを暗号化して使用不能にし、その復旧と引き換えに身代金を要求するマルウェア(悪意のあるソフトウェア)の一種です。
近年では、単にファイルを暗号化するだけでなく、暗号化する前に機密情報を窃取し、「身代金を支払わなければ情報を公開する」と二重に脅迫する「二重恐喝(ダブルエクストーション)」の手口が主流となっており、企業にとってその脅威は計り知れません。
企業を狙うランサムウェアの主な感染経路トップ5
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024」においても、「ランサム攻撃による被害」は組織編で第1位となっており、引き続き最大の脅威となっています。
攻撃者は、どのような経路で組織のネットワークに侵入してくるのでしょうか。ここでは、特に報告の多い5つの感染経路を、具体的な手口と合わせて解説します。
感染経路1:VPN機器の脆弱性を悪用した侵入
テレワークの普及に伴い、多くの企業で導入されているVPN(Virtual Private Network)。しかし、そのVPN機器のファームウェアが古いまま放置されていたり、適切な設定がなされていなかったりすると、そこが攻撃者にとって格好の侵入口となります。
- 具体的な手口:
- 公開されているVPN機器の脆弱性を悪用し、外部から不正にアクセスする。
- 脆弱性を突いて認証を突破し、社内ネットワークに侵入する。
- 対策:
- VPN機器のファームウェアを常に最新の状態に保つ。
- 多要素認証(MFA)を導入し、ID/パスワード以外の認証要素を追加する。
- 不要なポートを閉鎖し、アクセスを必要最小限に制限する。
感染経路2:リモートデスクトップ(RDP)からの侵入
VPNと同様に、テレワークで利用機会が増えたリモートデスクトップ(RDP)も、主要な感染経路の一つです。特に、設定が不十分なまま外部に公開されているRDPは、常に危険に晒されています。
- 具体的な手口:
- 推測しやすい単純なパスワード(例: password, 123456)や、初期設定のままのパスワードを狙った総当たり攻撃(ブルートフォース攻撃)を仕掛ける。
- ダークウェブなどで不正に入手した認証情報を使い、正規のルートでログインする。
- 対策:
- パスワードを複雑で推測しにくいものに設定し、定期的に変更する。
- アカウントロックアウト機能(一定回数ログインに失敗したアカウントをロックする機能)を設定する。
- 可能な限りRDPを外部に公開せず、VPN経由でのみアクセスできるように構成する。
- 多要素認証(MFA)を導入する。
感染経路3:フィッシングメール(標的型攻撃メール)
古典的ですが、依然として効果的な手法がメールを悪用した攻撃です。業務連絡や取引先を装った巧妙なメールで受信者を騙し、マルウェアに感染させます。
- 具体的な手口:
- 請求書や見積書、荷物の配送通知などを装ったメールに、不正なマクロが仕込まれたWordやExcelファイルを添付する。
- 実在するサービス(Microsoft 365, Google Workspaceなど)のログイン画面を模倣した偽サイト(フィッシングサイト)へのリンクを記載し、IDとパスワードを窃取する。
- 対策:
- 身に覚えのないメールや、不審な日本語が使われているメールの添付ファイルは安易に開かない。
- メール本文中のURLをクリックする前に、リンク先のドメインが正規のものか確認する癖をつける。
- 従業員向けのセキュリティ教育を定期的に実施し、フィッシングメールへの耐性を高める。
- ウイルス対策ソフトやメールフィルタリングサービスを導入し、不審なメールを検知・ブロックする。
感染経路4:Webサイトの閲覧
業務でWebサイトを閲覧するだけでも、ランサムウェアに感染するリスクは存在します。
特に、OSやWebブラウザ、プラグインなどが古い状態だと危険性が高まります。
- 具体的な手口:
- ドライブバイダウンロード攻撃: Webサイトを閲覧しただけで、ユーザーが気づかないうちにマルウェアを自動でダウンロード・実行させる。改ざんされた正規のサイトや、不正広告が悪用されることが多い。
- 対策:
- Windows Updateなどを通じて、OSやソフトウェア(Webブラウザ、Adobe Acrobat Reader, Javaなど)を常に最新の状態に保つ。
- ウイルス対策ソフトを導入し、定義ファイルを常に最新の状態に更新しておく。
- 業務に関係のないサイトや、信頼性の低いサイトへのアクセスは控える。
感染経路5:USBメモリなどの外部記憶媒体
USBメモリを介した感染は、一時期に比べて減少傾向にありますが、依然として注意が必要です。特に、オフライン環境のコンピュータを狙う際に悪用されることがあります。
- 具体的な手口:
- マルウェアに感染したUSBメモリを社内のPCに接続することで、ウイルスが自動実行され感染が広がる。
- 対策:
- 私物のUSBメモリの業務利用を禁止するルールを策定し、徹底する。
- PCのウイルス対策ソフトで、外部記憶媒体の自動スキャン機能を有効にする。
- USBポートの利用を物理的またはソフトウェア的に制限する。
もし感染したら?被害を最小限に抑えるための初動対応チェックリスト
どれだけ対策を講じていても、100%感染を防ぐことは困難です。万が一「感染したかも?」と思った際に、冷静に行動できるかどうかで被害の大きさが決まります。ここでは、インシデント発生時の初動対応をチェックリスト形式でまとめました。
- [☑] 感染した端末をネットワークから隔離する
- 最優先事項です。 まずはLANケーブルを抜き、Wi-Fiを切断してください。他のPCやサーバ✓への感染拡大(横展開)を防ぐことが目的です。
- [☑] システム管理者・情報セキュリティ担当部署に報告する
- 個人の判断で対処しようとせず、速やかに担当部署へ正確な状況を報告してください。(いつ、どのPCで、どのような画面が表示されたか、など)
- [☑] 関係者への連絡と情報共有
- 担当部署は、経営層や関連部署へ状況を報告し、対応体制を確立します。
- [☑] バックアップデータからの復旧可能性を確認する
- ネットワークから隔離された、正常なバックアップデータがあるかを確認します。感染した端末をバックアップ用のネットワークに接続してはいけません。
- [☑] 身代金の要求には応じない
- 警察庁や政府機関は、身代金の支払いに応じないよう呼びかけています。支払ってもデータが復旧される保証はなく、犯罪組織の活動を助長するだけです。
- [☑] 専門機関への相談・届出
- 被害状況に応じて、管轄の警察署やIPA(情報処理推進機構)、個人情報保護委員会などに相談・届出を行います。
まとめ:継続的な対策でランサムウェアの脅威に備えよう
本記事では、最新のランサムウェアの感染経路と、企業が取るべき具体的な対策について解説しました。
- 主な感染経路: VPN機器、リモートデスクトップ、フィッシングメール、Webサイト閲覧、USBメモリ
- 対策の基本: 脆弱性管理、認証強化、従業員教育、セキュリティ製品の導入
- 感染時の対応: ネットワークからの隔離を最優先に、迅速な報告と連携
ランサムウェアの攻撃手口は日々進化しており、一度対策をすれば安心ということはありません。自社のセキュリティ体制を定期的に見直し、継続的にアップデートしていくことが、大切な情報資産を守る上で不可欠です。
巧妙化するランサムウェア攻撃から組織を守るため、まずは自社の現状把握をすることが重要です。セキュリオではチェックシートを無料で配布しています。ぜひ、貴社のセキュリティ強化にお役立てください。
