情報セキュリティ白書2022　220824 1.2 情報セキュリティインシデント別の手口と対策 ～ランサムウェア攻撃～ （a）ネットワークへの侵入

情報セキュリティ白書2022　220824
1.2 情報セキュリティインシデント別の手口と対策
～ランサムウェア攻撃～

（a）ネットワークへの侵入
「侵入型ランサムウェア攻撃」は、攻撃者が企業・組
織のネットワークへ侵入するところから始まる。ネットワー
クへの侵入手口として次のようなものがある。
• ウイルスメールによる侵入
　攻撃者は、企業・組織へ遠隔操作ウイルス等を添付
したメールや、遠隔操作ウイルス等をダウンロードさせ
るURLリンクを記載したメールを送り付ける。受信者
が不用意に添付ファイル等を開くことで、遠隔操作ウ
イルス等に感染させられ、パソコンが乗っ取られる。
攻撃者は、そのパソコンを足掛かりとして組織内ネット
ワークへ侵入する。
• インターネットを経由した侵入
　攻撃者は、企業・組織がインターネット上に公開して
いるリモートデスクトップサービスや VPN 製品を調査
し、アクセス制御、認証に関する設定、パスワードの
強度が不十分であれば、認証を突破して侵入する。
• 脆弱性を悪用した侵入
　攻撃者は、企業・組織が使用しているVPN 製品等
に残存する脆弱性を悪用して侵入する（「1.2.5（1）
VPN 製品の脆弱性を対象とした攻撃」参照）。
（b）ネットワーク内の侵害範囲拡大
攻撃者は、企業・組織のネットワークへの侵入に成功
した後、データの窃取やランサムウェアの感染範囲を
広げる目的で、ネットワーク内で侵害範囲拡大を行う。標
的型攻撃同様、ネットワーク構成の把握や管理者権限
の奪取を行い、これらの情報を基にして、機微情報等
が保存されているパソコンやサーバ、ドメインコントローラ
等の管理サーバ、バックアップ用のサーバ等に侵入する
と考えられる。ドメインコントローラの一種であるActive
Directory サーバを掌握されると、グループポリシーによ
るウイルスの配信が可能となるため、組織内のパソコン
やサーバのデータが一斉に暗号化される危険性がある。
（c）データ窃取
データの窃取は、攻撃者が「二重の脅迫」を狙ってい
る場合に行われる。遠隔操作ウイルスを使用する等、
攻撃者自身の操作によって、データの探索・収集、攻
撃者のサーバやクラウドストレージへのアップロード等が
行われる。
（d）データの暗号化・システム停止
攻撃者は身代金を得るために企業・組織のデータをラ
ンサムウェアで暗号化し、事業継続に関わる重要なシス
テムの停止を狙う。また、バックアップデータ等による業
務復旧を妨害するため、「1.2.2（2）ランサムウェア攻撃の
被害事例」のように、ネットワーク経由で到達可能であれ
ば、それらのデータも暗号化する可能性がある。
データを暗号化する際に OS の標準機能を使って暗
号化する等、セキュリティ製品では検知されない機能を
悪用した事例もある。例えば、Windows OS の標準機
能であるBitLockerを悪用してディスク全体を暗号化す
る事例が確認されている※ 51。
（e）窃取したデータの公開
窃取したデータの公開は、攻撃者が「二重の脅迫」を
狙っている場合に行われる。公開方法としては、攻撃
者がインターネットやダークWeb 上に設置した、データ公
開のための Web サイト（以下、リークサイト）での公開や、
オークション形式での販売が挙げられる。攻撃者は窃取
したデータをリークサイトで公開する際に、被害者への身
代金支払いの圧力を高めるため、窃取したデータを一度
にすべて公開するのではなく、一部だけ公開し、指定し
た期日までに身代金を支払わないと、徐々に公開するデー
タの範囲を広げるといった声明を出す場合がある。
身代金の交渉には電子メールのほかに、攻撃者が特
定サイト内のチャットで個別にやり取りを要求する事例も
ある。

所感
「二重の脅迫」は、個人には強烈な恐怖になる。国は個人を見据えた
技術開発が必要と考える。