ランサムウェアとは、Ransom（身代金）とSoftware（ソフトウェア）からなる造語で、感染したコンピューターやシステム上で悪意のある動きをするマルウェアというウイルスの一種です。近年では日本でも被害が増加してきており、その対策の重要性も増しています。そこで今回は、企業をランサムウェアの脅威から守る対策方法を紹介。感染した場合の症状や、対処法についても解説しているのでセキュリティー担当者はぜひ参考にしてください。

ランサムウェアの予防策は次のとおりです。

次項から詳しい内容を紹介します。

ランサムウェアの感染経路と言えばメール、というくらい有名な手法として周知されたことや、セキュリティーに関するリテラシーが上がったことで、不用意に添付ファイルを開く人が少なくなり、以前よりメールからの感染は減ってきています。しかし、未だにメールからの感染報告はゼロではないのが現状です。

不審なメールが届いた際には、次のような対策を徹底する必要があります。

少しでも不審な点があったり、違和感を覚えたりした場合は、まず送信者に確認を取ることが大切です。面倒ですが、この一手間で大きな被害を防げる可能性を高められます。

改ざんされたWebサイトからの感染もランサムウェアの感染経路としてよく用いられる手法です。明らかに怪しいサイトでなくても感染することはあるので、インターネット接続時は次の点に注意しておく必要があります。

大手ECサイトやプラットフォームを偽装したサイトも確認されているため、普段使用しているサイトであっても油断は禁物です。アドレスに違和感がないかといった細かな点にも注意を払うようにしましょう。

基本的なことですが、パスワードが流出してしまうとアカウントを乗っ取られやすくなります。そのため、予測しづらいパスワードの設定が大切です。たとえば誕生日と名前の組み合わせなどは真っ先に見破られるため、パスワードへの使用は避けるのが無難です。

また、自分が忘れないようにデスクトップの画面の端や机上にパスワードを記載したポストイットを貼っている従業員を見かけることがありますが、内部に情報を流出させている人物がいないとは限りません。こうした従業員を見かけた場合は、パスワードの適正管理を促すようにしましょう。

ランサムウェアを仕込んだUSBやハードディスクを使用させることで、デバイスやシステムに感染させる手法もあります。そのため、社内にあったとしても所有者がわからないUSBやハードディスクを容易に使用するのは避けましょう。

セキュリティー対策ソフトやツールを導入すれば、メールやWebサイト、コンピューター内のファイルに潜むランサムウェアなどのマルウェアの検知・駆除を始めとした対策を行ってくれます。また、セキュリティーソフトやツールは、定期的にアップデートを行っています。最新版がリリースされるたびにアップデートを行えば、後発の攻撃手法やウイルスなどに対応できるため、より高いセキュリティー環境の構築が可能です。

OSやソフトウェアは開発段階でも十分にセキュリティーへの配慮がなされています。しかし、攻撃者側も柔軟に手法を変化させながら攻撃を試みるため、開発当初は対策ができていたとしても時間の経過とともに不十分になってきます。これに対してOSやソフトウェアも新たな脅威や脆弱性への対策として随時修正を行い、アップデートを実施しています。OSやソフトウェアを最新の状態に保つことで、現在までに見つかっている脅威・脆弱性への対策が可能です。

ただし、古い機種の場合は最新のOS・ソフトウェアが対応していないケースもあります。この場合、「アップデートができない」、または「アップデートにより動作がおかしくなる」といったことがあるので、対応OS・ソフトウェアに該当するかを確認のうえ、アップデートを実行しましょう。

ランサムウェアではデバイスをロックしたり、データの暗号化を行ったりすることで、身代金を要求してきます。これに対して定期的にバックアップを取っていれば、被害を最小限に留められます。しかし、攻撃者側の手法も巧妙化しており、バックアップデータを破壊し、データの復元をできなくする攻撃も確認されています。そのため、バックアップの取り方やバックアップデータの保管方法も次のような工夫が必要です。

外付けのハードディスクにバックアップを取った場合は、接続されている外部メモリへの感染を防ぐためにもバックアップ後は外して保管しておきましょう。その際には盗難や紛失にも注意が必要です。

ランサムウェアの感染経路や感染した際の症状などを周知徹底していれば、未然に感染を防ぐことも可能です。感染したとしてもすぐにその事実に気づくことができるため、被害を最小限に抑えられます。

要は被害を最小限に抑えるためには、普段から従業員のセキュリティーに対するリテラシーを高めておく必要があるということです。デバイスの取り扱いはもちろん、セキュリティーに関する知識、ランサムウェアの攻撃対象になった場合の対処法など、事例を用いて全社的に共有できる機会を設けることで、被害に遭う確率を下げられます。

ランサムウェアに感染すると、次のような症状が現れます。

これらの症状が出た場合には、高確率でランサムウェアに感染しています。ただし、ランサムウェアは感染してすぐに攻撃を開始するのではなく、15日程度の潜伏期間があります。その間、ネットワークやメールなどでやり取りされる添付ファイル、従業員間の繋がりなどを介して組織内に徐々に浸透。感染が十分に広がったのちに攻撃を開始するケースが多く見られるため、感染が発覚した段階ですでに被害が拡大している可能性が高いと思っておいた方が良いでしょう。

ランサムウェアに感染してしまった場合、次の手順に沿って対処していきます。

感染が発覚したら、今以上の感染を防ぐために感染したデバイス・システムをネットワークから切り離して隔離します。その後、ランサムウェアの除去を行い、種類の特定を行います。ランサムウェアの種類によっては、復元ツールが公開されていることもあるので、ランサムウェアに関する情報提供サイト「No More Ransom」などで種類を特定しましょう。

より詳しい感染後の対処法については「ランサムウェアに感染したらどうなる？対処法や確認方法を徹底解説」で解説しているので、感染後に慌てないためにも事前に確認しておくことをおすすめします。

ランサムウェアに感染した際、次の行為は絶対にNGです。

感染したデバイス・システムの再起動は、暗号化が進んでしまうことから厳禁です。さらに、感染後にバックアップを取ってしまうと、バックアップの保管先にあるファイルも暗号化されてしまう恐れがあるため、素人判断をせずにセキュリティーベンダーなどの専門家に診断してもらうようにしましょう。ランサムウェアに感染すると身代金を要求されますが、支払ったからといってデータを復旧してくれるとは限らないため、身代金の要求には応えないのが正解です。

ランサムウェアなどのマルウェアに感染した際に、焦って対処してしまうと余計に被害を拡大させる可能性があります。感染した場合に平常心でいられる人は少数派です。混乱して対処に悩んでいるうちに被害が拡大することも考えられるので、確実性を重視するのであれば専門家への相談が望ましいでしょう。

また、感染経路などを調べるためのフォレンジック調査などの対応は、素人ではとても対処できるものではありません。そのため、ネットワークの遮断やランサムウェアの特定などの初動は自力で、その後の工程は専門家に依頼するのがおすすめです。感染発覚後はスピーディーに対処する必要があるため、セキュリティインシデント時の初動を事前に規定するといった際には、相談する専門家の候補も検討しておくと良いでしょう。

ランサムウェアの被害に遭わないためには、日頃からの対策が重要です。

特にランサムウェアをはじめとするマルウェアの自動検知・駆除を行ってくれるセキュリティー対策ソフトやツールの導入は必須です。従業員に周知徹底していたとしても不意に怪しいメールの添付ファイルを開いてしまうこともあります。セキュリティー対策ソフトやツールはそうした場合にも強い味方になってくれるので、まだ導入していない、もしくは導入済みのものに不安がある場合は、これを機に自社にあった商品の導入を検討してみることをおすすめします。

【関連コンテンツ】