ランサムウェアとは?代表的な種類や被害例、効果的な対策方法を紹介
ランサムウェアとは、企業や個人のコンピュータに侵入してファイルを暗号化し、復元と引き換えに金銭を要求する悪質なマルウェアのことです。
IPA(情報処理推進機構)の調査では5年連続で組織向け脅威の第1位となっており、感染すると業務停止や情報漏洩など深刻な被害をもたらします。
しかし、未然防止策・被害防止策・対処法を徹底することで、被害を最小限に抑えることが可能です。
この記事では、ランサムウェアの種類や感染経路、被害例、効果的な防止策について解説します。
目次
[ 開く ]
[ 閉じる ]
- ランサムウェア(Ransomware)とは
- ランサムウェアによる被害は2021年から5年連続で1位
- 新種のランサムウェアや亜種について
- ランサムウェアの歴史
- ランサムウェアの代表的な種類
- CryptoLocker(クリプトロッカー)
- CryptoWall(クリプトウォール)
- Jigsaw(ジグソー)
- Locky(ロッキー)
- WannaCry(ワナクライ)
- Ryuk(リューク)
- Qlocker(キューロッカー)
- ランサムウェアの感染経路
- ランサムウェアによる被害例
- ファイルの暗号化
- 個人情報や機密情報の漏洩
- システムや業務の強制停止
- 金銭的な被害(脅迫)
- ランサムウェアの未然防止策
- システムやデバイスの最新アップデート
- 従業員に対するセキュリティ教育
- 脆弱性情報の収集・修正
- 標的型攻撃の検知・ブロック
- 多要素認証・アクセス制限などの実装
- ランサムウェア侵入を前提とした被害防止策
- 3-2-1ルールに準じたバックアップ
- 管理者権限の適切な管理
- インシデント体制の構築
- セキュリティ対策ソフトの導入
- ネットワークセグメンテーションの実装
- ランサムウェアに感染した場合の対処法
- 感染領域と影響範囲の特定
- 感染領域を特定する
- 不審な事象がある端末を特定する
- 流出・盗難された情報を特定する
- 被害拡大・情報漏洩の回避
- ネットワークを切断する
- 感染した端末を隔離する
- ランサムウェアに関するよくある質問
- ランサムウェアの復旧にはどれくらい時間がかかる?
- 脅迫されたら身代金を支払うべき?
- ランサムウェアの感染を確認する方法は?
- GMOサイバーセキュリティ byイエラエのセキュリティ対策支援
- まとめ
ランサムウェア(Ransomware)とは
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、情報技術の世界において重大な脅威となるマルウェアのことです。
具体的には、マルウェアを感染させてコンピュータをロックしたり、ファイルを暗号化したりすることで使用不能にし、元に戻すことと引き換えに身代金を要求します。
2019年以降のランサムウェアは、コンピュータを使用不能にするだけでなく、組織が持つ機密情報を盗み出した上で、「身代金を支払わなければ情報を流出させる」といった脅しとともに、金銭を奪い取る手法が採用されています。
サイバー攻撃の詳細について知りたい方は以下の記事をご覧ください。
【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
ランサムウェアによる被害は2021年から5年連続で1位
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」において、組織向け脅威の第1位にランサムウェア攻撃が選ばれました。
これで2021年から5年連続の首位となり、企業にとって最大の脅威であり続けています。
2024年に発生した事案を分析すると、医療機関や製造業への攻撃が目立ち、社会インフラを狙った事例が増加傾向にあります。
順位の高さだけでなく、サプライチェーン攻撃や内部不正など、ほかの脅威と組み合わさることでより複雑化している点も警戒すべきです。
企業は自組織に関連する全ての脅威を把握し、包括的な対策を講じる必要があります。ランサムウェアとマルウェアの違いについては以下の記事で解説しています。
新種のランサムウェアや亜種について
過去数年間において、ランサムウェアの亜種や新種が次々と出現し、その攻撃手法も高度化しています。新種のランサムウェアは対策が難しく、感染すると企業に多大なる被害をもたらします。
▼最近発見された新たなランサムウェア
- Tycoon:教育機関を攻撃
- Black Basta:WindowsやLinuxを攻撃
- Bad Rabbit:公共交通機関や政府機関に影響
これらのランサムウェアは、従来の防御手段を容易に突破し、システムに深刻なダメージを与えます。そのため、新たなランサムウェアの動向を注視し、特徴を十分に理解した上で適切な対策を講じる必要があります。
ランサムウェアの歴史
1989年に登場した「AIDS Trojan」が世界初のランサムウェアとされ、フロッピーディスク経由でファイルを暗号化していました。インターネットの普及前であったため、感染規模は限定的でした。
2005年頃から感染した端末を暗号化するランサムウェアが主流となり、2010年には端末をロックする新たな手法が出現しています。
転換点となったのは2013年の「CryptoLocker」登場です。「CryptoLocker」の登場により、外部サーバーと通信して暗号化鍵を管理する仕組みが確立されました。
その後、2015年にはRaaSというビジネスモデルが生まれ、攻撃のハードルが大幅に下がったことで被害が急増しています。2017年の「WannaCry」による世界的パンデミックは自己増殖型の脅威を広く知らしめました。
現在は標的型攻撃と二重脅迫が主流となり、企業の事業継続を直接脅かす重大な脅威へと進化しています。
ランサムウェアの代表的な種類
ランサムウェアには多くの種類があり、それぞれ異なる特徴を持っています。以下、主要なランサムウェアの特徴と被害状況を詳しく解説します。
CryptoLocker(クリプトロッカー)
「CryptoLocker」は2013年頃に登場し、ランサムウェアの歴史において重要な転換点となった悪質なマルウェアです。RSA暗号化を採用している点が特徴で、当時としては画期的な強度を実現しています。
感染するとC&Cサーバーと通信して公開鍵を取得し、ローカルファイルだけでなくネットワークドライブ上のデータも暗号化します。
期限を過ぎると復号鍵を削除すると脅迫することで、被害者に迅速な判断を迫りました。推定被害額は数千万ドルを上回り、世界中で数万台のコンピュータが感染したといわれています。
CryptoWall(クリプトウォール)
「CryptoWall」は「CryptoLocker」の後継として2014年頃に出現しました。エクスプロイトキットを活用した水飲み場攻撃により、正規サイトの閲覧だけで感染するリスクが生まれました。
RSA暗号化に加えて、ファイル名自体もランダムな文字列に変更することで、重要データの特定を困難にしています。
感染の被害報告は40万件以上で、被害総額は3億ドルを超えています。個人ユーザーから大企業まで幅広く標的となりました。
Jigsaw(ジグソー)
「Jigsaw」は2016年頃に確認された心理的圧迫を重視するランサムウェアで、映画『SAW』に登場する人形の脅迫画面が特徴的です。
身代金を支払わない場合、1時間ごとにファイルを削除していくという時限式の脅迫手法を採用しています。
また、再起動を試みるたびに1,000個のファイルを即座に削除する機能により、対処を誤ると被害が拡大する仕組みも特徴の1つです。
ゲーム感覚の演出により被害者の恐怖心を煽り、冷静な判断を妨げる心理戦術が巧妙に組み込まれています。
Locky(ロッキー)
「Locky」は2016年頃から大規模なスパムキャンペーンで拡散され、1日あたり2,300万通のメールで感染を広げたランサムウェアです。暗号化後のファイル拡張子を「.locky」に変更することから命名されました。
ニュージーランドやチェコ、フランスなどでの感染事例が相次ぎ、アメリカでは複数の医療機関が診療停止に追い込まれる事態となりました。
言語別に脅迫文を切り替える機能を持ち、日本語版も確認されています。
WannaCry(ワナクライ)
「WannaCry」は2017年5月に世界150ヶ国以上で20万台を超えるコンピュータに感染し、史上最大規模の被害をもたらしました。
Windowsの脆弱性「EternalBlue」を悪用するのが特徴で、ユーザーの操作なしでネットワーク内を自動拡散する能力を持っています。
英国の国民保健サービス(NHS)では手術延期や救急搬送の受け入れ停止など、人命に関わる深刻な影響が発生しました。推定被害額は40億ドル以上に達しています。
Ryuk(リューク)
「Ryuk」は2018年頃から活動を開始した標的型ランサムウェアです。大企業や政府機関を狙い撃ちして高額な身代金を要求します。
ネットワーク内を偵察してから最終段階で「Ryuk」を展開する多段階攻撃が特徴です。
バックアップシステムを先に破壊してから本番環境を暗号化することで、復旧の選択肢を奪う戦略を採用しています。
金銭的動機を持つロシアのハッカー集団との関連が指摘されており、国家支援型サイバー攻撃の一環である可能性が高いとされています。
Qlocker(キューロッカー)
「Qlocker」はQNAP製NAS(ネットワーク接続ストレージ)を専門に狙う2021年頃登場のランサムウェアです。
脆弱性を悪用してリモートから侵入し、保存されているファイルを7zip形式で暗号化します。
個人や中小企業で利用されるNASを標的にすることで、セキュリティ対策が手薄な環境を効率的に攻撃しています。
世界中で数千台のNASが感染し、家族の思い出写真や業務データが人質に取られる被害が相次ぎました。
ランサムウェアの感染経路
ランサムウェアの感染経路は多岐にわたります。
感染経路を把握しておくことで、感染を未然に防ぐためのヒントが得られます。ランサムウェアの主な感染経路と感染シーンは以下の通りです。
| 感染経路 | 感染シーン |
|---|---|
| VPN機器 | 未更新のVPN機器の脆弱性を突き、社内ネットワークに不正アクセスする |
| Webサイト |
|
| リモートデスクトップ | リモートデスクトップの脆弱性を利用して感染させる |
| メール・添付ファイル | メールの添付ファイルやリンクを開くことで感染させる |
| ファイルのダウンロード | 悪意のあるファイルのダウンロードで感染させる |
| USBメモリ/外付けHDD | USBメモリや外付けHDDなどを利用し、物理的に感染させる |
1つの端末が感染すると、ネットワークを介して企業全体が感染するリスクもあります。上記の感染経路に注意を払い、定期的なセキュリティ対策を行うことが重要です。
ランサムウェアの感染経路については以下の記事で詳しく解説しています。
ランサムウェアによる被害例
ランサムウェア感染により、さまざまな深刻な被害が発生しています。ここでは、典型的な被害パターンとその影響を具体的に解説します。
国内・海外の具体的な被害事例については以下の記事をご確認ください。
【関連記事】国内・海外のランサムウェア事例15選を紹介!業界別に被害状況を詳しく解説
ファイルの暗号化
ランサムウェアに感染すると、業務で使用する文書や表計算ファイル、画像データなどが強力な暗号化により開けなくなります。
暗号化の範囲はローカルドライブにとどまらず、接続された外付けHDDやネットワーク共有フォルダまで及びます。
また、クラウドストレージと同期しているフォルダも暗号化の対象となるため、バックアップのつもりが被害を拡大させる結果になりかねません。
復号鍵なしでデータを復元することは事実上不可能であり、長年蓄積した資産が一瞬で失われる恐れがあります。
個人情報や機密情報の漏洩
最近のランサムウェア攻撃では、暗号化前にデータを窃取し、支払いを拒否した場合は情報を公開すると脅迫する二重脅迫が主流となっています。
顧客の個人情報や取引先との契約書、従業員の給与データなど、外部に流出すれば信用失墜に繋がる情報が標的にされるのです。
攻撃者は盗んだデータの一部をダークウェブ上で公開し、脅迫が本物であることを示して心理的圧力を強めます。実際に情報が公開された企業では、売上減少により倒産に追い込まれたケースもあります。
システムや業務の強制停止
基幹システムへの感染が発生すると、企業活動の根幹を支える業務プロセスが停止してしまいます。受発注システムや生産管理システムが動かなくなれば、製品出荷も製造も不可能です。
小売業では在庫管理やPOSシステムが機能せず、店舗営業を断念せざるを得ない状況に陥った事例が報告されています。
システム再構築まで数週間から数ヶ月を要することも珍しくありません。この間の機会損失は日を追うごとに膨らみ、取引先との信頼関係にも深刻な影響を及ぼします。
金銭的な被害(脅迫)
攻撃者が要求する身代金は数百万円から数億円に及びます。支払い期限も72時間程度と短く、冷静な判断を妨げる心理的圧迫が特徴的です。
身代金以外にも、システム復旧費用、営業停止期間中の売上損失、顧客への補償費用など、間接的な損害も発生します。
株価下落や企業価値の毀損といった長期的な経済的影響も無視できず、上場企業では数百億円規模の時価総額が失われたケースもあります。
ランサムウェアの未然防止策
近年におけるランサムウェアは、標的型攻撃(特定の個人や組織を狙った攻撃)の手法を多く採用しているため、未然防止策と侵入を前提とした被害発生の防止策が重要となります。以下、具体的な未然防止策を紹介します。
システムやデバイスの最新アップデート
OSやアプリケーションの更新を怠ると、既知の脆弱性が攻撃の入り口として悪用される危険性が高まります。
特にWindows UpdateやmacOSのセキュリティアップデートは、リリース後速やかに適用することが重要です。自動更新機能を有効化しておけば、重要パッチの即座適用が実現します。
サードパーティ製ソフトウェアも見落としがちですが、Adobe製品やJavaなども定期的な更新確認が欠かせません。
更新作業による業務影響を懸念する場合は、テスト環境での事前検証を行い、計画的な適用スケジュールを策定することが大切です。
従業員に対するセキュリティ教育
定期的な研修プログラムを通じて、最新の攻撃手法や被害事例を従業員と共有することが防御力向上の第一歩となります。疑似フィッシングメール訓練などを行えば、実践的な対応力が身につきます。
新入社員や派遣社員など、組織のセキュリティルールに不慣れな人材には特に手厚いフォローが必要です。
インシデント発生時の報告ルートを明確化し、迅速な初動対応ができる体制を全員で共有しておきましょう。月1回程度の頻度で最新情報をアップデートする機会を設けることがポイントです。
脆弱性情報の収集・修正
近年、VPN機器や外部公開サーバの脆弱性が悪用されるケースが増えています。脆弱性情報を早期に収集し、必要な修正やアップデートを行うことが重要です。
▼脆弱性情報の収集方法
- IPA:経済産業省のIT政策実施機関
- JVN:JPCERT/CCとIPAが共同管理している脆弱性情報データベース
- JVNiPedia:国内外問わず公開される脆弱性対策情報データベース
情報源の信頼性を確認し、収集した情報を評価・管理する体制が求められます。深刻な脆弱性に対しては修正プログラムを適用しましょう。
適用が難しい場合は、緩和策の適用やIPS機能による一時的な保護が有効です。おすすめの脆弱性診断ツールについては以下の記事で解説しています。
標的型攻撃の検知・ブロック
標的型攻撃は特定の組織や個人を狙い、高度な手法を用いることが特徴です。
具体的な検知方法として、添付ファイルの拡張子やファイルタイプに着目する、受信者への警告やフィルタリングを施す、侵入検知システムや侵入防止システムを活用する、などが挙げられます。
そのほか、セキュリティ対策ソフトウェアによる定期的なスキャンも有効です。
もしも標的型攻撃が検出されたら、外部への不審な通信を見つけて遮断し、被害端末の隔離と証拠保全を速やかに行いましょう。なお、機密データは事前に暗号化しておくことで、攻撃者がアクセスしても内容を読み取れないよう保護できます。
標的型攻撃メールの詳細は以下の記事をご確認ください。
多要素認証・アクセス制限などの実装
RDP(リモートデスクトッププロトコル)を利用する場合は、パスワードの強化やアクセス制限がポイントとなります。
また、遠隔操作を可能にする機能が不用意に露出していないかも確認しましょう。
▼RDPを利用する場合の具体的な対策
- 多要素認証を導入する
- 必要なサービス以外のポートを閉じる
- アクセス制限を強化する
追加のセキュリティを実装することで、システムがより強固となり、ランサムウェアの感染リスクを抑えられます。多要素認証の詳細は以下の記事で解説しています。
ランサムウェア侵入を前提とした被害防止策
ランサムウェアの侵入を100%防ぐことは困難です。
そのため、侵入を前提とした被害防止策を実施することが大切です。ランサムウェア感染前に、以下の詳細を押さえておきましょう。
3-2-1ルールに準じたバックアップ
3-2-1ルールに従って安全にバックアップを取りましょう。3-2-1ルールとは、少なくとも3つのコピーを作成し、それらを2つの異なるメディアに保存するバックアップ戦略のことです。
- ▼3-2-1ルールの全体の流れ
- まずは3つ以上のバックアップ用コピーを作成し、それを2つの異なるメディアに保存する。そのうちの1つは、ほかの2つとは異なる場所に保存する。
この3-2-1ルールを採用することで、データ暗号化に対して有効な被害防止策となります。
ただし、ネットワーク経由で全てのバックアップが暗号化されるリスクがあるため、同一のネットワーク内での保管・管理は避けましょう。
管理者権限の適切な管理
自社で利用する正規ツール、アプリケーション以外の実行権限を最小限にすることも有効です。攻撃者に管理者権限を取得されるリスクが減り、ランサムウェアによる被害を削減できます。
例えば、通常の利用者には不要だと判断される特定プログラムの実行権限などが該当します。攻撃者による内部活動を阻害するためにも、自社で利用しているツール以外は適切な実行権限に変更しましょう。
インシデント体制の構築
近年のランサムウェア攻撃は、時間をかけてシステムを無効化する傾向にあります。不審な変化に気付き、素早く対応するため、インシデント体制を構築しておきましょう。
インシデント体制とは、セキュリティインシデントが発生した際に、迅速かつ適切に対応するための体制のことです。具体的には、事前に対応方針を策定しておく、適切な人員を配置する、継続的な教育と訓練を行うなどが挙げられます。
インシデント体制を構築しておけば、不審な活動を素早く検知し、適切な対応によりランサムウェアの実被害を抑制できます。
セキュリティ対策ソフトの導入
EPP(エンドポイント保護プラットフォーム)やEDRソリューションの導入により、多層的な防御体制を構築できます。AI技術を活用した振る舞い検知で未知の脅威も発見可能です。
リアルタイムスキャン機能により、メール添付ファイルやダウンロードファイルを自動検査し、感染拡大のリスクを防ぎます。
管理コンソールから全端末の保護状況を一元的に監視し、セキュリティレベルの均一化を図ることも重要なポイントです。EPPとEDRの詳細は以下の記事で解説しています。
ネットワークセグメンテーションの実装
ネットワークを適切に分割することで、感染の横展開を効果的に阻止できます。重要システムは独立したセグメントに配置してアクセス制御を厳格化しましょう。
マイクロセグメンテーション技術を導入すれば、より細かい単位での通信制御が実現し、攻撃者の行動範囲を大幅に制限できます。
これらネットワークセグメンテーションの実装は、感染拡大の予防として検討する価値があります。
ランサムウェアに感染した場合の対処法
万が一、ランサムウェアに感染してしまった場合は、初期対応の速さと適切性が被害拡大を防ぐ上で重要となります。以下に、その具体的な対処法を解説します。
感染領域と影響範囲の特定
ランサムウェア感染が確認されたら、速やかに感染領域と影響範囲を特定しましょう。素早く特定することで、ランサムウェアによる被害を最小限に抑えられます。
感染領域を特定する
まずは、ランサムウェアに感染しているエンドポイントやデータを特定します。セキュリティツールの警告、システムのパフォーマンス低下、予期しないファイルの暗号化など、ランサムウェア感染の兆候に注意をはらい、感染領域を徹底的にチェックします。
不審な事象がある端末を特定する
通信ログやネットワーク監視ログを確認し、不審な通信を行っている端末を特定します。不正アクセスや異常なデータ転送が行われている場合、ランサムウェアによる感染の可能性があります。プロキシの通信ログ、ネットワーク監視ログも確認しましょう。
流出・盗難された情報を特定する
次に、流出または盗難された情報を特定します。データの送信元と送信先、送信されたデータの種類や量を調査し、外部に送信された情報をご確認ください。また、ランサムウェアの暴露サイト上で情報が出ていないかの調査も考慮しましょう。
被害拡大・情報漏洩の回避
感染範囲が特定できたら、被害を最小限に抑えるための対策を講じます。主な手段として、以下の2つが考えられます。
ネットワークを切断する
組織内で被害が拡大しないように、感染したシステムをネットワークから切断します。影響範囲が明確であれば、特定の部分のみを切断することも可能です。影響範囲をどの程度特定しているかによって、ネットワーク切断の対処方法が異なります。
感染した端末を隔離する
ランサムウェアに感染した端末をネットワークから隔離し、隔離した端末上で不審な操作やセッションを調査します。これにより、感染の原因となったツールや手法を特定できます。再発防止に役立てるためにも、安全な方法で端末の不審情報を調査しましょう。
ランサムウェアに関するよくある質問
ランサムウェア感染時の適切な対応について疑問を持つ方が多くいます。以下、頻繁に寄せられる質問とその回答を詳しく説明します。
ランサムウェアの復旧にはどれくらい時間がかかる?
完全復旧までの期間は被害規模により大きく異なり、数週間から数ヶ月を要するケースが一般的です。バックアップが正常に機能していれば、1週間程度で基本的な業務再開が見込めます。
しかし、バックアップも暗号化された場合、システムの再構築から始める必要があり、復旧期間は大幅に延びてしまいます。
セキュリティ強化策の実装や再感染防止のための環境整備も含めると、完全な正常化までには3ヶ月以上かかることも珍しくありません。
脅迫されたら身代金を支払うべき?
身代金の支払いは犯罪組織の資金源となり、次の攻撃を助長するため、警察やセキュリティ専門家は支払いを推奨していません。
実際に支払っても暗号化が解除される保証はないため、専門家への相談や警察への被害届提出を優先すべきです。
さらに一度支払うと「カモ」としてリスト化され、再度標的にされる危険性が高まります。
ランサムウェアの感染を確認する方法は?
ファイル拡張子が見慣れないものに変更されていたら、ランサムウェア感染の可能性が高いといえます。それ以外にも、以下のような症状が見られた場合も注意が必要です。
▼ランサムウェアの主な感染確認方法
- デスクトップ画面が開けない
- 身代金請求のメッセージが表示される
- システムの動作が異常に遅くなる
- 特定のプログラムが起動しなくなる
- アンチウイルスソフトが無効化される
不審な症状を発見したら、直ちにネットワークから切り離して専門家に相談することが重要です。
GMOサイバーセキュリティ byイエラエのセキュリティ対策支援
画像引用元:GMOサイバーセキュリティ byイエラエ
「GMOサイバーセキュリティ byイエラエ」は、世界トップクラスのホワイトハッカーによる脆弱性診断で、通常の診断では見つからない高度な脆弱性も発見し、リスク評価を実施します。
WAF導入後の運用負荷軽減やアラート対応にお困りの企業様向けに、自動運用サービスやSOCサービスをご提供します。
インシデント発生時の初動対応から原因特定、再発防止策の提案まで、包括的な支援が可能です。
ランサムウェア感染の疑いがある場合は、「デジタルフォレンジック・ インシデントレスポンス支援」をご検討ください。事前の被害防止策だけでなく、侵入後の対応や迅速な復旧も可能となります。
まとめ
この記事では、ランサムウェアの概要から歴史、代表的な種類、感染経路、防止策まで解説しました。
ランサムウェアには「CryptoLocker」や「WannaCry」など多くの種類があり、それぞれ異なる特徴と脅威を持っています。
システムアップデートや従業員教育、セキュリティ対策ソフトの導入、ネットワーク分割といった複数の対策を組み合わせることが大切です。
企業の情報資産と事業継続を守るためにも、包括的なランサムウェア対策を継続的に実施しましょう。
さらに有効な対策を講じたい方は、「GMOサイバーセキュリティ byイエラエ」の「デジタルフォレンジック・インシデントレスポンス支援」をご検討ください。
文責:GMOインターネットグループ株式会社
