※本記事は2020年に発生した過去の事例をご紹介しています。
ランサムウェアとは何か、感染した場合どうなってしまうか実例を通して知りたい方はぜひ参考にしてください。
ランサムウェアとは
IT担当者なら、「ランサムウェアとは何ですか」といったような質問を、社内外で度々受けるかもしれません。そういった場合でも即答できるよう、ランサムウェアの概要情報について、その脅威なども含めてわかりやすく解説していきます。
Ransom(身代金)+ ware =ランサムウェア
ランサムウェア(英:Ransomware)とは、「身代金」を意味する“ransom”と、ソフトウェアなどを示す“ware”をつなげた造語です。
ランサムウェアは悪意のある不正プログラム(マルウェア)の一種で、これに感染したPCやシステムはファイルを暗号化されたり、ロックをかけられたりして、通常の使用が不可能になってしまいます。そうして困ったユーザーに対して、ランサムウェアは「復元してほしければお金を払え」という趣旨のメッセージを表示し、被害者から「身代金」を奪おうとするのです。
1989年に初めてのランサムウェアが認識された当初は個人を狙うものでしたが、その後は利益効率の高さから企業を狙うようになっていきました。特に2017年には世界的にWannaCryの攻撃が増加し、夕方のニュースでも報道されるなど、ランサムウェアの認知が一気に拡大しました。2017年以降、一時的に被害が落ち着いたように見えていますが、昨今ではランサムウェアだけでなく、他の攻撃と組み合わせて企業に対して攻撃を仕掛けることが増えてきています。
こういった被害を鑑み、経済産業省所管の独立行政法人「IPA」もランサムウェア対策特設ページを設けるなど、対応に力を入れています。
参照元:IPA情報処理推進機構
後述するように、日本の大手企業も被害者となったことがあり、今後、企業や省庁の業務運用におけるDXがますます進むなか、ランサムウェア対策は火急の用であると言えるでしょう。
ランサムウェアに感染するとどうなる?
上記のように、ランサムウェアに感染した場合、そのファイルやシステムにはロックや暗号化がかけられて操作できない状態になってしまいます。場合によっては、バックアップ用のシステムにまで感染が広がることもあり、被害を受けた企業は通常の業務運用が困難になります。
ランサムウェアやその脅迫方法にはいくつか種類があります。当初は感染したシステムを単に使用不可能にし、身代金を要求するものでしたが、最近では、これに加えて使用不可能とする前に情報を不正に入手し、その情報の流出を防ぐための追加の身代金を要求するような「二重脅迫型」と言われる手法で企業を脅すことも増えています。
ランサムウェアによる攻撃者の目的は金銭の収集で、「身代金」の支払い方法は主にビットコインなど、匿名性の高い仮想通貨による振り込みを指定してきます。ランサムウェアの中には未だ解除ツールが開発されていないものも多く、その損害を憂慮して実際に身代金を支払ってしまうケースも多く報告されています。
もちろん、攻撃者の要求通りにお金を払ったからといって、攻撃者が必ずしも約束通りにシステムを復旧してくれる保証はありません。しかし先に述べた通り、攻撃者の目的は金銭です。「お金を払ってもシステムは復旧しない」という評判が立てば脅迫の効果が薄れ、結果的に継続的な利益が出なくなってしまうため、意外と約束を守るケースも多いようです。
とはいえ、脅迫に屈してお金を払うことは犯罪行為を助長してしまうことにもつながります。したがって被害を受けた企業は、「犯罪者の要求通りにお金を払うか、払わないか」という、社会倫理上の問題も含めた難しい選択を迫られることになるのです。
大企業から中小企業まで!攻撃事例で見るランサムウェア
ランサムウェアは、世界中の組織・企業・個人に被害を出しています。そしてその被害者のなかには、誰もが知る日本の大企業までもが含まれているのです。以下では、ランサムウェアが日本企業にどのような被害を出したか、その代表的な具体例を見ていきます。
最大約39万人の個人情報が流出か?「カプコン」
有名ゲームメーカーのカプコンも、ランサムウェアで損失を被った企業の1つです。カプコンは、2020年11月に社内システムへの接続障害を確認し、ランサムウェアの感染が発覚しました。
カプコンはこれによってメールやファイルサーバーの利用ができなくなり、一時的に業務停止に追い込まれました。さらに、社内のシステムで保管していた顧客や取引先の個人情報の流出も判明し、流出した個人情報は確認されただけでも15,649人、推定で最大約39万人にも及ぶと報告されています。
参照元:CAPCOM 不正アクセスによる情報流出に関するお知らせとお詫び【第3報】
参照元:CAPCON 不正アクセスに関する調査結果のご報告【第4報】
国内外の9工場が操業停止「ホンダ」
2020年6月には、自動車会社の大手であるホンダも社内ネットワークシステムがサイバー攻撃を受けたと公表しています。ホンダはこの事件の調査内容について詳細を明かしてはいないものの、一般に、ホンダに対する攻撃もランサムウェアの可能性が高いと見られています。
ホンダへの攻撃は“EKANS”という名の比較的新しい種類のランサムウェアによるものと推測されます。EKANSは特定のターゲットを狙い撃ちする「標的型」のランサムウェアです。従来は無差別的に攻撃を拡散する「ばらまき型」が多かったランサムウェアも、近年ではより狡猾に擬態した標的型攻撃が多くなっていると言われています。
ホンダはこの被害によって、アメリカ、トルコ、インドなどの計11工場での生産が停止し、国内の工場や本社でも一時的にシステムの一部に不具合が起き、通常業務ができなくなる被害に遭いました。
ホンダは2017年にもランサムウェアによる被害を受けています。繰り返し被害を受けているホンダのケースは、ランサムウェアへ対応することが如何に難しいかを物語っています。
参照元:ホンダを標的に開発か、ランサムウエア「EKANS」解析で見えた新たな脅威
全保存ファイルへのアクセスが不能に「多摩都市モノレール」
ランサムウェアの被害は大企業に限らず、中小企業にも出ています。従業員数約250名の多摩都市モノレールもその1つです。同社は2018年7月13日にランサムウェアによる被害を公表しました。
この事件では7月10日にシステムの異常が検知され、本社の一般業務系ファイルサーバーに保存された全ファイルへのアクセスができなくなりました。詳細な被害件数は明かされていませんが、このサーバーには個人情報にかかわるものも含まれており、さらにはバックアップサーバーにも被害は及んでいたそうです。
幸い、列車の運行システムなどは別系統のシステムが使われていたため、そちらに被害は出ませんでしたが、同年7月17日時点でデータ復旧の目途が経っていないと報道されており、少なくとも一週間以上はPCを使用する一般業務に支障が出たことになります。
参照元:多摩モノレールのランサムウエア被害、データ復旧のめど立たず
さまざまな目的でITを使っている教育機関も標的に「中部大学」
ランサムウェアの被害は一般企業に限りません。例えば、2018年1月には中部大学がPCやファイルサーバーにランサムウェアの被害が出たと公表しています。
報道によれば、1月9日14時頃に、同大学の工学部情報工学科研究室のパソコンとファイルサーバーが不正ログインされ、ランサムウェアのインストールがインストールされました。被害に遭ったサーバーには受講者名簿、凝視参加者名簿などの個人情報が保存されていたそうですが、端末のデータは暗号化され、ユーザがデータを使えない状況になってしまいました。
不正ログインが大学内部から行われたのか、学外からリモートで行われたのかは定かではありません。しかし、教育機関には専任の教授や事務職員など一般的な企業の社員のような立場だけでなく、外部からの講師など大学がセキュリティを管理しにくい立場の人も存在し、自社が管理する端末、私用端末が混在して多種多様な用途でIT環境を利用しています。そのため、セキュリティに関して企業のようなガバナンスを効かせることが難しいのが現状です。
教育機関とはいえ、日本では総資産が1,000億円を超える大学も珍しくなく、また学生名簿、健康診断、就職先など個人情報を豊富に保有しています。犯罪者が、一般企業を狙うように大学の資産とセキュリティの脆弱性に目を付けてもまったく不思議ではなく、実際にランサムウェアや不正アクセスなど、多くの大学が被害を報告しています。新型コロナウイルスの影響で、大学でも急激にリモートワーク、リモート授業が増える中、システムのセキュリティ対策は非常に重要となっています。
参照元:中部大でランサムウェア被害 - 不正ログイン後にインストールか
日本企業の海外拠点もランサムウェアの被害に「キヤノンUSA」
グローバル展開する日本企業も多いなか、カメラで有名なキヤノンの海外拠点である、キヤノンUSAもランサムウェアの被害を受けています。
キヤノンの報告によると、不正アクセスなどの被害を受けた期間は2020年7月20日から8月6日までとされています。この攻撃によって、キヤノンは電子メール、Microsoft Teams、ウェブサイト、そのほか、社内アプリケーションを含む多数のサービスに打撃を受けました。さらに、10テラバイト相当のデータが奪われ、その中には2005年から2020年までに同社で働いていた離職者も含む従業員の情報が含まれていました。
参照元:Canon USA confirms employees past and present affected by the August ransomware attack
まとめ
本記事では、ランサムウェアについての概要情報と、その被害に遭った企業の具体的な個別事例を解説してきましたが、その危険性や対策の必要性を理解していただけたと思います。
ランサムウェアは企業やPCのデータやシステムを人質に取って「身代金」を得ようとするマルウェアです。被害者は大事なデータを奪われたり、経済的損失を被ったりするほか、それが企業ならば社会的信用にもダメージを受けてしまいます。
ランサムウェアのなかには未だ解除ツールが開発されていないものもあるため、感染後にデータを復旧するのが困難な場合もあります。そのため企業として、従業員へセキュリティ意識を啓発したり、ネットワークから独立したバックアップを取ったりするなど、適切な予防措置を取ることは非常に重要な責務なのです。
NVCがおすすめするランサムウェア対策
弊社では増加するランサム攻撃に備える予防ソリューションとして SecurityScorecardとOrca Securityを、万が一ランサム攻撃を受けた際の防御製品としてSilverfortをお勧めしています。
- セキュリティ レーティング:SecurityScorecard
サプライチェーン全体を対象に攻撃者目線で公開IT資産を定常的に監視、ランサム攻撃を受けにくいセキュアなサプライチェーンを実現 - クラウドセキュリティ/CNAPP:Orca Security
IaaS/PaaS環境を可視化し、定常的なリスク監視を実現、ランサム攻撃に悪用されるリスクや脆弱性を迅速に発見し、攻撃経路を踏まえた優先順位付された対策を実現 - アイデンティティの認証と保護:Silverfort
組織のアイデンティティと認証を可視化、AD認証を強化しMFAを徹底することで攻撃者による正規のアカウントの悪用や権限昇格を防ぐことでランサム攻撃を阻止
増加するランサム攻撃に対してどのように対策すべきかお悩みの方、ぜひ弊社までお問い合わせください。
現在受付中のセミナー・イベント
脆弱性診断、見直しのススメ 〜コスト・範囲・目的から見直すセキュリティチェックの選び方〜
本セミナーでは、この時期に多くの組織が直面する「予算消化」と「脆弱性診断」の関係を見つめ直し、診断の目的や手段を適切に整理することで、セキュリティ投資の費用対効果を高めるための視点をお届けします。
Active Directoryに潜むリスクとは?ランサム攻撃に備える可視化戦略
本セミナーでは、同レポートの分析結果をもとに、AD運用に潜むリスクとその可視化の重要性を解説します。さらに、ランサム攻撃を含むサイバー脅威への備えとして、今後組織が取るべき具体的な対策の方向性について、実践的な視点から考察を行います。
