目次
ランサムウェアとは
ランサムウェア(Ransomware)とは、感染した端末やサーバのデータを暗号化、または窃取(せっしゅ)し、復旧や非公開と引き換えに金銭(身代金)を要求するマルウェアの一種です。
近年では単なる暗号化型ではなく、データ窃取と公開脅迫を組み合わせた攻撃(多重恐喝)が主流となっています。
ランサムウェアの特徴
- ファイルやシステムを暗号化して使用不能にする
- 機密情報を外部へ送信(窃取)する
- 復号や非公開と引き換えに金銭を要求する
- 支払っても復旧が保証されない
業務停止+情報漏えい+金銭要求の複合被害になります。
現在の主流:多重恐喝
| 従来 | データを暗号化 → 身代金要求 |
| 現在 | データ窃取(先に盗む) 暗号化 公開サイトでの暴露脅迫 取引先への連絡(追加脅迫) |
ランサムウェアの感染経路
主な侵入経路は以下です。
| 1.認証情報の漏えい | ID・パスワードの使い回し フィッシング攻撃 情報漏えいリストの悪用 |
| 2.リモートアクセスの悪用 | VPN機器の脆弱性 RDP(リモートデスクトップ)の不正アクセス MFA未設定 |
| 3.メール・Web経由 | 不正な添付ファイル マルウェア配布サイト 偽装アップデート |
| 4.ソフトウェアの脆弱性 | OSやミドルウェアの未パッチ サプライチェーン攻撃 |
攻撃の流れ
| ① 侵入(VPN・メール・脆弱性) ↓ ② 認証情報の取得 ↓ ③ 内部ネットワークへの横展開 ↓ ④ 管理者権限の奪取(AD侵害など) ↓ ⑤ バックアップの削除 ↓ ⑥ データの窃取 ↓ ⑦ データ暗号化 ↓ ⑧ 身代金要求 |
暗号化の前に内部侵害が完了しているケースがほとんどです。
ランサムウェアとC2サーバ
ランサムウェアは多くの場合、C2(Command & Control)サーバと通信して動作しますが、通信を行わないオフライン型も存在します。
ランサムウェアの役割:
- C2サーバから攻撃指示を受信
- 盗んだデータの送信
- 暗号化処理の実行
※一部のランサムウェアは、通信を行わずローカルで暗号化を実行する場合もあります。
主な被害
| 1.業務停止 | システムが使用不可 サービス停止 |
| 2.情報漏えい | 顧客情報 社内機密情報 取引先情報 信用低下 |
| 3.金銭的損失 | 身代金 復旧コスト |
国内の主要事例
| 徳島県つるぎ町立半田病院(2021年) | 電子カルテが全面停止、約2か月以上、紙運用へ移行 原因:VPN機器の脆弱性放置、ID/パスワード管理の不備 |
| トヨタ自動車(2022年) | 取引先(小島プレス工業)への攻撃、国内全工場停止(約1日) 原因:サプライチェーン経由の侵害 |
| 大阪急性期・総合医療センター(2022年) | 電子カルテ停止、数万件規模の患者情報に影響 原因:VPN装置の設定不備・認証不備 |
| 名古屋港運協会(2023年) | コンテナ搬出入停止(約2日)、日本の物流に影響 |
| 出版取次会社(複数)(2023年) | 書籍流通システム停止、出版物流に影響 |
| KADOKAWA(2024年) | ニコニコなどサービス停止、長期間の復旧対応、情報漏えいの可能性 特徴:大規模サービス停止、多重恐喝型の典型 |
ランサムウェアの対策
| 対象 | 対策の要点 | 具体例(簡潔) |
|---|---|---|
| 企業(情報システム担当) | 侵入前提での多層防御と被害最小化 | MFA導入、EDR監視、ネットワーク分離、権限管理、オフラインバックアップ、ログ監視 |
| 個人・中小企業 | 感染を防ぐ基本対策と簡易バックアップ | OS更新、ウイルス対策ソフト、不審メール回避、MFA設定、外部バックアップ |
EDR監視(EndpointDetectionandResponse)とは、PCやサーバ(=エンドポイント)の動きを常時監視し、不審な挙動を検知・対応する仕組みです。
リンク
関連の記事