ランサムウェアとは?有効な対策をプロが解説します

2015年から急速に増しているランサムウェアの脅威。社内で感染してしまうと、業務をする上で重要なデータが使えなくなり、機会損失による膨大な被害が生じる可能性があります。そこで今回はバリオセキュア株式会社 VDP事業部 部長の篠原様に、ランサムウェアとは何かといった基本的な知識から、実際にどんな被害が発生しているか、また必要な対策などについて伺いました。

バリオセキュア様の事業内容
マネージドセキュリティ/セキュリティ機器販売といった、インターネット上のさまざまな脅威からお客様の環境をお守りするサービスを展開。日々変化するインターネットの脅威に対して常に進化し、脅威に対する防御を最適に保つ防御をサービスとして提供することを使命とする。

ランサムウェアとは?

カゴヤ・ジャパン株式会社 森:
最近はメディアでランサムウェアに対する脅威が頻繁に取り上げられています。今回紹介する『クラウドバックアップ/VDP』も、ランサムウェア対策に有効なバックアップサービスですが、そもそもランサムウェアとはどういったものでしょうか。

バリオセキュア株式会社 篠原様:
インターネット上にはマルウェアと呼ばれる悪意のあるソフトウェアが存在していますが、その一種として出現したのがランサムウェアです。ランサムウェア自体は数年前からありましたが、2015年から急速に増加しました。

このプログラムは、PCやサーバーに感染しその中のデータを暗号化します。ファイルをメールに添付して送る際は意図して暗号化しますが、ランサムウェアは勝手に暗号化するわけですね。

この暗号を解いてファイルを読める状態に戻すためには、メールに添付したファイルと同様にパスワードが必要です。そこで『ファイルをもとに戻したければ金を払え』と要求するのがランサムウェアの目的であり脅威です。ランサムウェアは、身代金という意味の英語『ランサム(ransom)』とソフトウェアをつけた造語です。

ランサムウェアによる被害額

―重要なデータが暗号化されて使えなくなるというのはおそろしいですね。ランサムウェアに感染した事例では、どの程度の被害が生じているのでしょうか。

篠原様:
暗号化されたデータの重要度によって被害額がきまってきます。必要性の低いデータであればもう一度作り直せばよいということになりますが、経理データや見積もりデータなど企業が保存するデータはほとんどが重要なものですね。法律的に必要なデータまで含めてランサムウェアによって暗号化されてしまうこともあります。

ウイルス対策ソフトのメーカーの調査したところですと、被害額は500万円~1億円以上といわれています。ランサムウェアによって生じる具体的な被害の内容としては、取引が停止となったり業務・稼働がとまったりしたことによる、機会損失や復旧のための工数などいろいろあって、その全体として中には被害額が1億円以上になることもあるわけです。

―身代金を支払った場合はその金額も含まれるわけですね。身代金はどの程度要求されるものでしょうか。

篠原様:
相手によって変えてくるようです。たとえば個人や中小企業が相手なら、確実に身代金をとるために身代金として4~5万円程度要求するというケースも目にします。その一方で、アメリカのある病院では患者のカルテなどの情報がすべて暗号化されてしまったために、日本円にして数千万円にのぼる身代金を要求され支払ったといわれています。ただし、支払ったことによってファイルを取り戻せたかどうかは定かではありません。

―身代金を支払ってもファイルが取り戻せないのは救いがないですね。

スマートフォンは安全ではない

―スマートフォンもランサムウェアに感染しますか。

篠原様:
はい、スマートフォンもターゲットにされます。仮に個人がターゲットでも1万円~2万円なら支払える? と身代金を要求してくるケースもあります。

また、One Drive(※1)やiCloud(※2)などと同期の設定がされていれば、そちらのデータも暗号化されてしまいます。クラウド上のストレージは便利ですが、安全性を考えると自動の同期は解除した方がいいかもしれませんね。

※1
Microsoftが提供するクラウドストレージサービス

※2
アップル社が提供するクラウドストレージサービス

他のマルウェアと大きく異なるランサムウェア

―ランサムウェアが他のマルウェアと異なる点はありますでしょうか。

篠原様:
他のマルウェアはネットワーク上の他のPCなどへ感染しようとさまざまなプログラムを送り付けますが、簡単に感染は広がりません。それに対しランサムウェアが行うのは一般的に行われるのと同じ暗号化であるため、一挙に被害が広がってしまいます。感染したことに気づかないPCが放置されると、たった数時間で全社のデータが暗号化されてしまうこともあるのです。

その上ウイルスを作る側からすると、動作が単純なので標的型攻撃やオンラインバンクの詐欺ツールと比べランサムウェアは簡単に作れてしまうという特長もあります。

―それがランサムウェアによる脅威が増している要因の1つなんですね。

ランサムウェアに感染しないための対策

―ランサムウェアの脅威は分かりました。それではランサムウェアに感染しないようにするためにはどうすればよいでしょうか。

篠原様:
まず社員が悪意のあるサイトへアクセスしないようにするためのファイアーウォールやウェブフィルタリング、メールに添付されたウイルスを検知・駆除するためのウイルスプロテクションといったUTM(※3)によって実現できる対策があります。

次に、社員が使うPCをエンドポイントといいますが、そのエンドポイントにウイルス対策ソフトを導入する対策があげられます。その他、OSのセキュリティパッチやFlash PlayerやJavaなどのソフトウェアのバージョンを最新にするといったところが最低限必要な対策です。

しかしこれだけでは100%ランサムウェアの脅威を防ぐことはできません。

―それはなぜでしょうか。

篠原様:
あらたなマルウェアが数十秒単位でうまれている一方で、アンチウイルスベンダーが対策するためのプログラムを1つ作成するのに数時間かかるといわれています。つまりアンチウイルスなど事前の対策が間に合わないわけです。その上、悪いことにランサムウェアは既に述べた通り作成が比較的簡単なので続々と亜種が登場する。

またウイルスに感染しようとさせる方法が巧妙化しており、プリンタから自動送信されるメールなど、普段私たちが日常的に目にするようなメールのように振舞って届けられるのです。そのため社員は開いてよいメールか否かの判断ができず、添付ファイルを開いてウイルスに感染してしまうことも後を絶ちません。こういったことから、ウイルスがすり抜けた後の対策が必要となります。

※3
複数のセキュリティ機能を統合して使えるようにした装置。

ランサムウェアに感染してしまった場合の対応

―ランサムウェアに感染してしまった場合を想定して対策を立てる必要があるわけですね。それでは感染した後はどうすればよいでしょうか。

篠原様:
ランサムウェアがPCに感染するとそのPCばかりでなく、ネットワークで接続されている共有フォルダすべてが暗号化されてしまいます。そのため、社員数の多い会社ほど被害も大きくなるわけです。

ランサムウェアの目的は『感染』の次の『暗号化』ですから、その被害はネットワーク全体にあっという間に広がります。被害を最低限に抑えるためには、できるだけ速やかに感染したPCを切り離す必要があります。

ただし、それには感染したことに気づいた本人が、いち早く報告をあげることが必要ですが実はその教育が一番難しい。あやしいファイルは開かないように、感染が疑われるようであればすぐに報告するようにと社員教育をしても、なかなかできないのが実際のところです。

そのために、バックアップをとっておいて後からデータを戻すという対策が必要になってきます。仮に暗号化されてしまっても、データを戻せればいいじゃないかという発想ですね。

ランサムウェアの被害事例ここではどのようにランサムウェアに感染するのか、また感染するとどうなるのかを、実際の事例をもとに解説いただきました。

社内複合機(プリンター等)を装った偽メールの事例

篠原様:
これは、複合機から日常的に送られてくるメールを装った事例です。実在する社員個人のメールアドレス宛に送られてきます。メール本文にはそれらしい文言が並んでいる上に、本物のサイトのURLが記載されているためウイルスと見分けがつきにくいですね。添付ファイルをクリックするとウイルスに感染してしまいます。こういったメールがウイルスプロテクションをすり抜けて社員に届いてしまうわけです。

篠原様:
これは実際にランサムウェアに感染してしまった事例です。暗号化されるとファイル名が改ざんされ、.pptや.xlsといった拡張子がすべて.zeptoという拡張子に変換されます。このように感染するともうファイルは開けません。このランサムウェアは、拡張子の名前をとって『zepto(ゼプト)』と呼ばれています。

有効なバックアップ方法は?

―なるほど、バックアップが重要なわけですね。それではどのようなバックアップをとればよいのでしょうか?

篠原様:
バックアップにはさまざまな方法があります。

まずネットワーク共有PCへのデータコピーやデータ保存があげられますが、ランサムウェアに感染したPCとネットワークで接続されているため、すぐにバックアップまで暗号化されてしまいます。RAID・ミラーリングは暗号化されたデータがコピーされてしまうのでやはり対策になりません。

遠隔地にデータを保管するリプリケーション・クラウドを利用したバックアップも、同じようにランサムウェアに感染したPCとネットワークで接続されており、同様に暗号化されてしまいます。

テープに記録されたデータはネットワークから切り離されていれば、ランサムウェアは暗号化できないのでテープドライブは助かります。外付けのHDDなども感染PCとネットワークで接続されていれば、すべて感染してしまうのでアウトです。

―それでは有効なバックアップはテープドライブだけでしょうか?バックアップすべきデータ量やサーバー数が多いと手間がかかってしまいそうですね。他に有効な対策はありますか?

篠原様:
はい、あります。専用のアプライアンスを使った弊社VDP (Vario Data Protect)をご提案できます。

次回は篠原様に、ランサムウェア対策に有効な「クラウドバックアップ/VDP」についてくわしく解説していただきます。

高速でセキュアな環境で運用できるWordpressユーザー向けに特化したWordPress専用サーバー

人気記事ランキングトップ10

カテゴリ一覧

新着記事Pick Up!