ランサムウェアの概要と対策【前編】

１．ランサムウェアによる被害事例

　2021年10月31日未明、徳島県西部の人口8000人ほどの小さな町にあるつるぎ町立半田病院で、院内の十数台のプリンターが一斉に、次のような英文のメッセージを印刷し始めました。
　「データを盗み、暗号化した。身代金を支払わなければ、データをネットでさらす。」
　これは、国際的サイバー犯罪グループのLockBit 2.0によるランサムウェア攻撃でした。
 
　半田病院では、このランサムウェアにより電子カルテシステムや会計システムが使えなくなったため、新規患者の受入れを停止し、手術を先延ばしにするなど、業務を大幅に制限せざるを得なくなりました。
　そして、電子カルテデータなどを復旧し、すべての診療科で通常診療を再開するまでに、2か月以上もかかりました。
 
 　2022年2月26日、自動車の内外装部品を製造する小島プレス工業がリモート接続機器の脆弱性を利用した不正アクセスを受け、ファイルサーバーやパソコン端末の一部でデータが暗号化されたことを確認しました。
　同社は、被害拡大防止のために、すぐに全システムを停止し、同社を主要仕入先とするトヨタ自動車も、3月1日に国内14工場すべての稼働を停止しました。
　この稼働停止によって約１万3,000台の自動車の生産に影響が及びました。
　この事案も、RobinHoodと呼ばれるサイバー犯罪グループによるランサムウェア攻撃が原因でした。

　このように、近年、多くの日本企業や病院などの組織がランサムウェア攻撃を受け、被害が広がっています。
　2022年2月に情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2022」でも、「ランサムウェアによる被害」が2年連続で、組織向け脅威の1位に選出されました。

「情報セキュリティ10大脅威2022」(IPA)

２．ランサムウェアとは

　ランサムウェアとは、感染したコンピューターをロックしたり、ファイルを暗号化したりすることによって使用不能にし、元に戻すことと引換えに身代金を要求するマルウェア（悪意のあるソフトウェア）です。
　なお、「ランサムウェア」という用語は、身代金を意味する「Ransom」と「Software」を組み合わせた造語です。
 
　最近のランサムウェアは、企業などを対象とした攻撃が増え、ロックや暗号化でシステムを使用不能とするだけでなく、事前に侵入したサーバー内の情報を窃取した上で、身代金を支払わなければ情報を暴露するという二重恐喝（ダブルエクストーション）を行うものが増えています。
　実際に、国内のソフトウェア開発会社において、従業員の個人情報や業務計画などの機密情報が窃取されて、攻撃者のウェブサイト上で公開される被害が発生しています。
 
　また、事前に情報を窃取するため、従来のようにランサムウェア本体を添付したメールを大勢の人に送り付けて感染させるばらまき型の攻撃よりも、攻撃者が不正アクセスなどによって、あらかじめ標的組織の内部ネットワークに侵入するシステム侵入型の攻撃が主流となってきています。
 
　さらに、ランサムウェアによる標的組織の身代金の支払いを促すために、DDoS攻撃（複数のコンピューターからウェブサイトやサーバーに過剰なデータを送り付けて、サービスを妨害する攻撃）や、標的組織の顧客や取引先への嫌がらせを行い、標的組織の信頼を失墜させるような攻撃を行うこともあります。

2021年度の主な国内ランサムウェア被害事例

３．最近の国内ランサムウェア被害のデータ分析

　2021年からは、警察庁が国内ランサムウェア被害のデータ分析結果を公表しています。　
　2022年4月に発表された資料「令和３年におけるサイバー空間をめぐる脅威の情勢等について」を見ると、2021年中に警察庁に報告された国内のランサムウェア被害は146件（上半期61件、下半期85件）であり、前年下半期の21件から大幅に増加しています。
 
　また、大企業が49件（34%）、中小企業が79件（54%）、その他団体等が18件（12%）と、組織の規模を問わず被害が発生しています。
　業種別では製造業が55件（38%）と最も件数が多いようです。
　その理由は、製造業の場合には、システムが停止すると、関連する工場まで停止せざるを得なくなり、被害が拡大しやすいこと、サプライチェーンが幅広く、すべてのセキュリティの穴を塞ぐのが難しいことなどから、ランサムウェア攻撃の対象になりやすいためと分析されています。

　146件中、直接的な金銭の要求があったものは45件あり、この内、暗号資産による支払いの要求が41件（91%）を占めました。
　さらに、手口を確認できた97件中82件(85%)が二重恐喝の手口を取っていました。
 　感染経路については、76件中41件（54%）がVPN機器、次いで15件(20%)がリモートデスクトップからの侵入となっており、新型コロナウイルス感染の下で、急速に普及したテレワーク用機器などの脆弱性が狙われたと推測されます。
 
　攻撃されたシステムの調査や復旧にかかる損害も大きく、43%が1,000万円以上の費用を要し、5,000万円以上の費用がかかった事例も確認されています。
　また、6割以上の事例で、感染したシステムなどの復旧までに1週間以上の期間を要し、復旧までに2か月以上かかった事例もありました。

図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書

イラスト図解式 この一冊で全部わかるセキュリティの基本

ホワイトハッカー入門

---

【全体構成】

1. ランサムウェアによる被害事例

2. ランサムウェアとは

3. 最近の国内ランサムウェア被害のデータ分析

4. ランサムウェアの歴史

5. ランサムウェアの攻撃手口

6. ランサムウェアに対する対策