ランサムウェアは、コンピューターのデータを暗号化して身代金を要求するマルウェアの一種です。ランサムウェアに感染すると、企業は営業停止、信用の失墜など大きな損害を出してしまいます。
本記事では、ランサムウェアの概要と、感染を防ぐための具体的な対策と、万が一感染した場合の初動対応について解説します。
自社のランサムウェア対策でお悩みの情報セキュリティ担当者は、ぜひ参考にしてみてください。
ランサムウェアとは?
ランサムウェアとは、感染者に対して身代金を要求するマルウェアの一種です。名前の由来はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語といわれています。
ランサムウェアは1989年頃から活動を開始し、以降も手段を変えながら世界中で活動を続けています。
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」の組織編では、2021年以降5年連続で「ランサム攻撃による被害」が脅威の1位に挙げられています。
「情報セキュリティ10大脅威 2025」について、詳しくは以下で紹介しています。
▼ランサムウェアの基礎知識はこちら
ランサムウェアの意味、仕組み、種類といった基礎的な情報については、こちらの記事で解説しています。あわせてご覧ください。
ランサムウェアの被害事例
ランサムウェアの事例を見て、具体的にどのような被害にあっているのかを知っておきましょう。
| 業種/企業規模 | 攻撃手口/感染経路 | 主な被害・影響 |
|---|---|---|
| 米国の大手パイプライン企業 | VPNへの不正アクセス | 1週間の操業停止。身代金440万ドル(約6.6億円)を支払う。 |
| 大手製粉会社 | サーバーがランサムウェア攻撃を受ける | ほとんどのサーバーが暗号化し基幹業務停止。バックアップシステムも被害を受け、復旧期間は2か月以上。 |
| 地方の町立病院 | 院内のプリンターに英文の脅迫文が出力され発覚 | 院内の電子機器が使用不能に。患者8万5,000人分の電子カルテが紛失。 |
| 中堅食品加工会社 | ランサムウェア「Lockbit」によるファイル暗号化 | 基幹システムが利用不能となり、取引処理を手動で行うなど業務に重大な支障。 |
| 大手自動車メーカー(サプライヤー) | サプライチェーン攻撃(取引先企業が被害) | 大手自動車メーカーの国内全14工場28ラインが稼働停止。 |
| 主要港湾の運営システム | ランサムウェア攻撃 | 港湾のコンテナターミナルシステムが丸一日以上停止し、物流に甚大な影響。 |
| 大手飲料メーカー | ランサムウェア攻撃 | 国内グループ各社の受注・出荷業務がほぼ停止。一部工場では稼働停止に。個人情報流出の可能性も。 |
| オフィス用品通販大手 | ランサムウェア攻撃による基幹システムの暗号化 | 法人・個人向け通販の受注・出荷システムが全面停止。物流子会社経由の取引先にも影響拡大。個人情報流出の可能性も。 |
ランサムウェアの主な感染経路
メール・添付ファイル
メールの添付ファイルにランサムウェアを仕込み、メールの受取人がダウンロード&実行してしまうと感染します。
ランサムウェアに限定すれば、メールからの感染は多いわけではありません。
しかし、フィッシングメールがランサムウェアを媒介するケースも増えてきています。
Emotetなど主にメールを介するマルウェアへの感染からランサムウェアへの感染につながるため、十分に注意しておくべきでしょう。
VPN機器
VPN機器の脆弱性を狙った攻撃は、ランサムウェアのよくある攻撃手法です。
VPNは、企業が外部(インターネット)に接続している部分ですが、ネットワーク機器を細かくメンテナンスしている企業は多くありません。
ランサムウェアは脆弱性を持っているVPNを見つけ、不正アクセスで侵入してくるのです。
リモートデスクトップ
リモートデスクトップもランサムウェアが好む侵入経路の1つです。
新型コロナウイルスの登場でリモートワークに移行する企業が増え、リモートデスクトップからの感染が増加しました。
リモートデスクトップはセキュリティ強度を下げてしまうと、簡単に侵入されてしまうおそれがあります。
たとえば、ID・パスワードが盗まれるなどの被害です。
リモートデスクトップの脆弱性を放置するとランサムウェアに狙われやすくなります。
Webサイト
閲覧しているWebサイトが改ざんされていて、ランサムウェアをダウンロードしてしまうケースもあります。
こういった攻撃は「水飲み場型攻撃」と呼ばれ、企業の公式サイトなどを改ざんすることで、無防備なユーザーを狙う方法です。
資料のダウンロードリンクにランサムウェアを仕込んでおけば、ユーザーは警戒せずに偽装ファイルを実行してしまうでしょう。
アプリケーションの実行
一見便利そうなアプリケーションを装い、ダウンロードさせてランサムウェアに感染させます。
注意したいのは、パソコンだけでなくスマートフォンアプリでもランサムウェアに感染するケースが増えている点です。
ダウンロードするだけで自動実行されてしまう事例も報告されています。
USBメモリなど外付けHDD
所有者のわからない不審なUSBメモリや外付けHDDを拾ってパソコンに接続すると、ランサムウェアに感染します。
これらの外部メディアは、ファームウェアを書き換えると接続するだけでファイルが自動実行できてしまうため「中身を見るだけ」でもリスクが高い行為です。
ランサムウェア感染を防ぐための対策
ここからは、ランサムウェア感染を防ぐためには、具体的にどのような対策をとるべきかを見ていきます。
バックアップの徹底と隔離
ランサムウェアはシステム内のファイルを暗号化するため、ファイルやOSシステムの定期的なバックアップは有効です。
ただし、バックアップしたファイルはパソコンやネットワークから切り離した場所に保管するようにしましょう。
ランサムウェアは、バックアップファイルも検索して一緒に暗号化してしまうためです。
バックアップがあれば、業務が完全に停止するのを防ぐ、またはOSごと感染前の状態にリカバリーできる可能性があります。
メール内の添付ファイルの開封やリンククリックに細心の注意を払う
一昔前の偽装メールは、ひと目でわかるほど怪しいものがほとんどでした。
しかし、最近は巧妙に偽装されたメールが増えてきており、気づかないうちにファイルをダウンロードして感染しているケースもあるほどです。
メール内のリンクや添付ファイルをクリックする場合は、送信元が正規の相手か確認する、添付ファイルに違和感を覚えたら開かないといった対策をしましょう。
添付ファイルに違和感を覚えたら、メール以外の方法(たとえば電話など)で確認するのがおすすめです。
ファイアウォールやメールフィルターを適切に設定し、不審な通信をブロックする
サイバー犯罪者は、ランサムウェアで攻撃する際に、不正アクセスでネットワークにアクセスしています。
こういった不正アクセスをファイアウォールなどで検知し、不審な通信をブロックすることが重要です。
また、不審メールについてもシステム側で検知・除去できるようにすることで、従業員がだまされるリスクを低減できます。
不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する
以前は使っていたけど今は利用していないサービス、たとえば、RDP(Remote Desktop Protocol)やSMB(Server Message Block)は使わない場合は無効にします。
これらのサービスは、放置していると外部からの不正アクセスの入り口として利用されるリスクがあります。
OSやアプリケーション・ソフトウェアを最新の状態にアップデートする
OSやアプリケーション・ソフトウェアは、脆弱性が見つかると脆弱性対応パッチを配布します。
対応パッチが配布されたらすぐに適用し、OSやアプリケーションを最新の状態に保ちましょう。適用が遅れれば、それだけランサムウェアに感染するリスクは高まります。
また、VPN機器についても定期的にアップデートを確認するように、ルールを策定・運用するのが望ましいでしょう。
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
セキュリティソフトは、定期的に定義ファイルの更新を促してきます。
定義ファイルは、マルウェアなどを見つけるための辞書のようなもの。この辞書が古ければ最新のマルウェアを検知してくれません。
そのため、定義ファイルは常に最新の状態に保つのが鉄則といえます。
パスワードの設定を見直す
誰でも簡単に思いつくような平易なパスワードや、複数サービスで使い回しているパスワードを使っていないか社内で見直しましょう。
とくに、パスワードの使い回しは危険です。
利用しているサービスのどれか1つでもID・パスワードが流出すれば、あっという間に認証を突破できるようになってしまうからです。
パスワードを使い回していると社内ネットワークに侵入されやすくなってしまいます。
TD SYNNEXが提供するランサムウェア対策ソリューション
TD SYNNEXでは、ランサムウェアなどのサイバー脅威に対応するため、サイバーセキュリティ分野をリードする「Symantec」や「Carbon Black」をはじめ、高度なセキュリティ技術を備えた各種製品やソリューションを提供しています。
Symantec Endpoint Security
Symantecのエンドポイントセキュリティ製品「Symantec Endpoint Security」には、あらゆるマルウェアへの防御機能を備えたEPP/NGAV(次世代アンチウイルス)や、脅威の検知や駆除ができるEDR、先進技術を用いた防御機能などが搭載されています。
これにより、デバイスやOSの保護の強化が可能です。
Carbon Black
Carbon BlackのEDRは、セキュリティオペレーションセンター(SOC)を対象とした高度なセキュリティ製品です。
常にエンドポイントの状況を監視・可視化し、脅威を検知した際には、アラートの通知や感染した端末の隔離といった速やかな対処を行います。
Carbon BlackのEDR機能を活用することで、脅威の検知から対応業務までの効率化につながります。
導入・運用まで包括的にサポート
TD SYNNEXでは、上記のような製品のご提供に加え、導入のご相談から運用までの包括的なサポート体制を整えております。
企業の安全なIT環境の構築に向けて、セキュリティ製品の導入をご検討中の情報セキュリティ担当者様は、ぜひお気軽にお問い合わせください。
企業が必ずおさえるべき、セキュリティトレンドとは?
急速に進むDXや生成AIの登場によって複雑化する企業のIT環境を踏まえ、近年重要性が増すセキュリティトレンド「ゼロトラスト」の基本と「生成AIとそのリスク」を中心に、今の時代に必要なセキュリティ対策をわかりやすくまとめています。
ランサムウェアに感染した際の対応と流れ
万が一、ランサムウェアに感染した場合、初動の速さが被害の拡大を防ぐ鍵となります。
すぐに動けるように、組織内で対応手順を定めておきましょう。
初動対応の基本4ステップ
1.感染した端末をオフラインにする
ランサムウェアがネットワーク越しに別の端末に感染しないように、感染が確認された端末はまっさきにオフラインにします。
具体的には、LANケーブルを抜く、Wi-Fiをオフにするといった方法をとりましょう。ほかにも、外部ストレージなどに接続している場合は切断してください。
ランサムウェアは外部ストレージファイルも攻撃対象にするためです。
2.上長・情報システム部門への報告と連携
ランサムウェアは、ネットワーク経由で他のデバイスやサーバーへ感染を広げる特性があるため、組織全体で状況を把握し、連携して対応することが極めて重要です。
感染が確認されたら、速やかに組織内で定められたルールに従い、上長や情報システム部門へ報告し、全社的な対応に移ってください。
事前に、誰に(報告先)、何を(感染端末・状況)、いつ(タイミング)報告すべきかを明確にした連絡体制を構築しておくことで、初動の遅れによる被害拡大を防ぐことができます。
3.ランサムウェアの種類を特定・駆除
感染に対処するためにもランサムウェアの種類を特定します。特定方法としては、「No More Ransom」プロジェクトの「Crypto Sheriff 」を利用するのがおすすめです。
ランサムウェアが残すランサムノートのファイル名から特定する方法もありますが、一刻を争う状況ではツールを利用したほうが特定は早いでしょう。
ランサムウェアを駆除するためには、精度の高いセキュリティ対策ソフトを使ったフルスキャンを実行します。
無料のセキュリティ対策ソフトでは、すべてのマルウェアを検出できる保証がないため、可能な限り信頼性の高いものを利用してください。
4.データの復号を試みる
ランサムウェアの種類によっては、暗号化されたファイルを複合できる可能性があります。「No More Ransom」プロジェクトが公開している復号ツールを使って、感染したランサムウェアに対応した複合ツールをダウンロードして使いましょう。
身代金要求に「決して」応じない
ランサムウェアに感染しても、個人の判断で身代金要求には決して応じないでください。
身代金を支払っても、データが元に戻る確証がないばかりか、別の攻撃者に「支払い可能な企業」として狙われるなど、二次被害にあう事例も報告されています。
また、米国の規制(OFAC規定)により、制裁対象となる組織に身代金を支払った場合、自身も制裁対象となるおそれがあるため、極めて危険です。
ランサムウェアへの感染が発覚した場合は、速やかに自社の対応フローを確認し、まずはセキュリティの専門家や警察へ相談することをおすすめします。
プロの専門知識と連携し、冷静に正しく対処しましょう。
まとめ
ランサムウェアは、システム停止だけでなく、身代金要求やデータ公開を伴う極めて悪質なマルウェアであり、企業にとって最も注意すべきサイバー脅威です。
自社の損失を未然に防止するため、バックアップの隔離、システムの最新化、従業員教育といった事前対策を徹底してください。万一感染した場合は、直ちに端末を隔離し、身代金要求には応じず、策定した初動対応手順に従って対応することが重要です。
TD SYNNEXでは、ランサムウェアに関するご相談を受け付けております。
ランサムウェア対策でお困りの際は、ぜひサービスページをご覧ください。
これからのセキュリティ強化に役立つ資料を公開中
急速に進むDXや生成AIの登場によって複雑化する企業のIT環境を踏まえ、近年重要性が増すセキュリティトレンド「ゼロトラスト」の基本と「生成AIとそのリスク」を中心に、今の時代に必要なセキュリティ対策をわかりやすくまとめています。ぜひご覧ください。
[著者プロフィール]
Y.Kuroda
MLエンジニア&Web開発者&ITライター MLエンジニアとして働きながらとSEOの知見を活かした記事を執筆しています。ライター業務を効率化するWebサービス『MOJI-KA』を開発・運用中です。
