ランサムウェア対策（身代金要求型ウイルス）について徹底解説

Web上には、さまざまなウイルスやマルウェアの脅威が潜んでいます。私たちの生活や資産を脅かすマルウェアのなかでも、社会に大きな悪影響を及ぼす種類の一つが「ランサムウェア」です。ランサムウェアには、重要な社会サービスやインフラなどを停滞させるリスクが存在します。

今回は、ランサムウェアの意味や手口、具体的な対策方法などをご紹介します。ランサムウェアは、近年で最も危険なマルウェアといっても過言ではありません。ランサムウェアの恐ろしさや特徴を学び、ネットワークの安全性を高めていきましょう。

ランサムウェアとは

ランサムウェアとは、マルウェア（パソコンやユーザーに被害をもたらすソフトウェア）の一種です。

ファイルを暗号化して利用不可能にすることで、ファイルを復旧するための身代金を要求します。ランサム（Ransom：身代金）とソフトウェアを組み合わせた造語であり、その特徴から「身代金ウィルスウイルス」とも呼ばれています。

ランサムウェアは、時に人々の生活に重大な被害をもたらすマルウェアです。ここでは、ランサムウェアの詳細について解説していきます。

マルウェアについて詳しく知りたい方は、以下の記事も参考にしてください。

【マルウェアとは】感染したらどうなる？2023年最新の種類や対策

ランサムウェアの手口

ランサムウェアは、基本的に以下の4つのステップを踏んで実行されます。

ランサムウェアにおける攻撃者は、主に個人ではなく企業をターゲットにする傾向にあります。企業のネットワークに侵入することをスタート地点としつつ、最終的に企業ネットワーク内の端末を一斉攻撃し、データを破損させてしまうのです。

ランサムウェアの種類

ランサムウェアは、主に「ロックスクリーン型」と「暗号型」の2種類が存在しています。以下に、それぞれの特徴をまとめます。

ロックスクリーン型

ロックスクリーン型は、画面ロック型やブロッカーとも呼ばれるタイプです。パソコンのデスクトップに表示された画面をロックし、解除のための身代金（ランサム）を要求します。支払いを要求するメッセージがずっと画面に表示される点が特徴的です。

暗号型

暗号型は、暗号化型やクリプターとも呼ばれるタイプです。名前の通り、ファイルやデータを暗号化させて使用できなくしてしまいます。ロックスクリーン型と同様に復旧のためには身代金を要求されますが、支払いをしてもデータが戻る確証はありません。

ランサムウェアの最新動向

企業や団体におけるランサムウェアは、年々増加傾向にあります。2017年には個人向けのばらまき型ランサムウェア「WannaCry」が世界的に拡散しました。2018〜2019年頃からはランサムウェアの主流が標的型になり、特定の組織が狙われやすくなっています。

• ばらまき型……不特定多数の組織・企業が対象。フィッシングメールを送信し、感染した企業に対して身代金を要求する。
• 標的型……支払い能力の高い特定の組織・企業が大半。内部ネットワークへ侵入し、データを暗号化する。

国内、国外に目を向けても、2020年以降のランサムウェアは企業向けの標準型が多い傾向に。ランサムウェアはソフトウェアの種類によって名前が異なり、昨今の国内では「RobbinHood」や「Pandra」などの名前が挙げられています。

参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について

ランサムウェアによる被害

ここでは、ランサムウェアによる実際の被害例をご紹介します。昨今の主流は、企業をターゲットにしたランサムウェアです。被害例としては、大きな金銭的損失や人命リスクにかかわるものでした。過去の被害を学び、現在における対処法につなげていきましょう。

参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について

ランサムウェアの被害件数

【図解】グラフデータを活用

ランサムウェアの被害件数は年々増加傾向にあります。警察庁の発表によると、令和4年までのランサムウェア被害件数（国内）は以下の数値となっています。

 

• 令和2年下半期……21件
• 令和3年上半期……61件
• 令和3年下半期……85件
• 令和4年上半期……114件
• 令和4年下半期……116件

上記の数値は警察庁に報告のあった件数のみのため、実際の被害はさらに多いものと考えられるでしょう。令和4年に報告された230件のうち、警察が手口を確認できたものは182件に留まっています（2023年3月発表時点）。

ランサムウェアによる被害内容

ここでは、ランサムウェアによる主な被害内容をご紹介します。ランサムウェアによる被害は、主に以下の3タイプです。

• ファイルやソフトウェアにアクセスできなくなる
• 身代金を要求される
• 二重恐喝（ダブルエクストーション）

それぞれの特徴を学び、万が一被害に遭ったときにすぐに状況を確認できるよう努めましょう。

ファイルやソフトウェアにアクセスできなくなる

ランサムウェアでは、ロックスクリーン型、暗号型問わず、ファイルやソフトウェアにアクセスできなくなる傾向にあります。デスクトップ自体が完全に操作不能になってしまうケースもあれば、一部のシステムにのみ弊害が発生するケースもあるようです。

一般的なランサムウェアには感染から15日程度の潜伏期間があります。症状が発生したときには、同じネットワークを利用している他のデバイスも同じように感染してしまっているのです。一度に複数のデバイスが機能停止してしまうため、ビジネスが大幅に停滞してしまいます。

身代金を要求される

ランサムウェアで使用不可能になったデバイスを復旧させるために、身代金が要求されます。画面上に現れるメッセージは、「すべてのファイルを回復したい場合は支払いを行ってください」や「〇日以内に支払いを行わないと、ファイルを永久に凍結させます」などのように、ユーザーの危機感を煽る文面が特徴的です。

懇切丁寧に支払い方法も記載されていますが、支払いをしてもデータが回復するとは限りません。海外では身代金を支払うことでデータが復旧した事例もあるようですが、犯罪者が素直にランサムウェアを解いてくれることが毎回確約されているわけではないのです。

二重恐喝される

現在流行しているランサムウェアの多くは、二重恐喝脅迫型です。二重恐喝脅迫型ランサムウェアは、データ復旧のための身代金要求に加え、パソコン内に保存されているデータの公開を示唆する脅迫を行います。

つまり「身代金を支払わないと、お前のパソコンの中身を全世界にばら撒くぞ」という内容の脅迫です。仮に暗号化復旧における脅迫を無視できたユーザーでも、データが流出することを恐れて身代金を支払ってしまうケースが増えています。

ランサムウェアの感染経路TOP3

ここでは、ランサムウェアがどこから感染してしまうのかを解説します。ランサムウェアの感染経路は、主に以下の3つです。

• VPN機器
• リモートデスクトップ
• メール、添付ファイル

それぞれ経路が抱えているリスクを学び、デバイスやネットワークの脆弱性をケアしていきましょう。

参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について

感染経路①VPN機器からの侵入

ランサムウェア被害では、過半数の感染経路がVPN機器だといわれています。VPN機器とは、離れた拠点間を仮想的な専用線でつなぎ、通信を行うための機器です。

VPNには暗号化、認証、トンネリングなどのセキュリティ技術が取り入れられていますが、認証情報を盗まれて悪用されてしまうケースが多発しています。

感染経路②リモートデスクトップからの侵入

VPN機器に次いで侵入されやすい経路が、リモートデスクトップです。リモートデスクトップとは、離れた場所にあるデバイスを手元の端末から遠隔操作するための仕組みです。

リモートワークの推進によりリモートデスクトップを導入する企業、個人も増えており、従来よりもランサムウェアの被害が懸念されています。

感染経路③不審メールや添付ファイルからの侵入

不審なメール添付ファイルに記載されたリンクも、ランサムウェアの侵入経路になってしまいます。

攻撃者は大企業や公共機関などになりすまし、あたかも重大な情報が記載されているようにユーザーを騙すのです。なかには、請求書を装って添付した表計算ファイルを開かせる手法も確認されています。

ランサムウェアの被害事例

ここでは、数あるランサムウェアの被害事例のなかから3つの事例をご紹介します。誰もが知っているような有名企業や、人々の命や健康に携わる医療現場でも、ランサムウェアの被害が発生しているのです。

事例①株式会社カプコン

ゲームソフトメーカー「株式会社カプコン」は、2020年にランサムウェア「Ragnar Locker」の被害に遭いました。

不正アクセスにより社内のデータが盗まれたうえに暗号化され、一時的に業務が不可能な状態に陥り、発生から解決までは約5ヵ月の月日を要しています。

参考：CAPCOM「不正アクセスに関する調査結果のご報告【第4報】」

事例②大阪急性期・総合医療センター

2022年10月、「大阪急性期・総合医療センター」がランサムウェア「Phobos」の攻撃に遭いました。

患者給食業務を委託している業者経由でシステムに侵入したと考えられており、一時的に電子カルテが使用不可能に。予定していた手術や外来診療などが中止になり、大きな不安が広がりました。

参考：大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書について」

事例③株式会社日立製作所

2017年、「株式会社日立製作所」はランサムウェア「WannaCry」の被害に遭いました。主に社内システムに障害が発生し、メールの送受信を中心に業務が滞ったとのことです。

幸いなことに情報漏洩や社外への被害拡大は確認されませんでしたが、大企業をターゲットにしたサイバー攻撃の脅威を世に広めた事件といえるでしょう。

参考：日立製作所「ランサムウェアによる被害および復旧状況について」

ランサムウェア対策

ここでは、今日から始められるランサムウェア感染対策をご紹介します。

1. 不審なメールの添付ファイルやリンクを開かない
2. Windows製品の場合、 WindowsUpdateを実施しオペレーティングシステムを最新の状態に保つ
3. Webブラウザ、Javaなどのブラウザ拡張機能を最新の状態にする
4. 認証パスワードを管理する
5. ウイルス対策ソフトなどの導入
6. VPN機器などの脆弱性対策
7. パソコンはこまめにバックアップ

ランサムウェアは、一度感染すると自力で暗号化を解除することは非常に困難です。普段の生活からセキュリティ意識を高め、サイバー犯罪から身を守りましょう。

対策1.不審なメールの添付ファイルやリンクを開かない

ランサムウェア対策では、不審なメールの添付ファイルやリンクを開かないよう心がけてください。スパムメールに記載されたリンクや信用できないリンクは、クリックと同時に怪しいデータがダウンロードされ、ランサムウェアに感染してしまう可能性があります。

対策2.Windows製品の場合、 WindowsUpdateを実施しオペレーティングシステムを最新の状態に保つ

あなたのパソコンがWindows製品の場合は、WindowsUpdateを実施して常にオペレーティングシステムを最新の状態に保つように努めましょう。ソフトウェアとオペレーティングシステムが最新であることは、セキュリティパッチをアップデートすることにもつながるため、脆弱性を補完するために重要な要素です。

対策3.Webブラウザ、Javaなどのブラウザ拡張機能を最新状態にする

オペレーティングシステムと同様に、WebブラウザやJavaなどのプラウザ拡張機能も最新状態をキープしてください。とくにJavaはマルウェアに対する脆弱性が懸念される拡張機能の一つです。ブラウザごとに閲覧できるサイトを指定することも予防策につながります。

対策4.認証パスワードを管理する

ランサムウェア対策では、認証パスワードの管理を徹底しましょう。ランサムウェアの攻撃手段では、アカウント情報を元にした侵害が多い傾向にあります。多要素認証（MFA）を積極的に活用し、アカウントの悪用、侵害を予防してください。

対策5.ウイルス対策ソフトなどの導入

ウイルス対策ソフトを導入することで、ランサムウェアの感染を対策しやすくなります。日々進化するサイバー犯罪に合わせ、ウイルス対策ソフトの性能も日々アップデートされています。製品ごとのランサムウェア対策機能も強化されているため、まずは商品の機能を見比べてみましょう。

対策6.VPN機器などの脆弱性対策

ランサムウェア対策では、VPN機器の脆弱性対策が必要です。修正プログラムの適用やIPS（侵入防御システム）の設置などの方法を取り入れ、セキュリティ対策を進めてください。侵入や異常を早期検知、対処できる技術（EDR、XDRなど）を導入すると、安心感が高まります。

対策7.パソコンはこまめにバックアップ

万が一ランサムウェアに感染してしまった事態を踏まえ、こまめにパソコンのバックアップをとってください。バックアップの手法は外付けハードディスクやクラウドストレージでも問題ありませんが、外付けハードディスクの場合は感染防止のために「バックアップ後はデバイスから外す」を徹底しましょう。

ランサムウェアに感染した場合の対応

ここでは、もしもランサムウェアに感染してしまったときの対処法をご紹介します。最も重要なポイントは「犯人の要求を呑まないこと」。見慣れない画面が表示されると冷静さを失ってしまいがちですが、まずは今できる対処を一つひとつ確認していきましょう。

被害の範囲を特定する

ランサムウェアに感染すると、パソコンやデータがロック、暗号化されて使用不可になります。共用のネットワークに接続されているデバイスや、外付けデバイスなどを洗い出し、被害の範囲を特定しましょう。

感染したパソコンのネットワークから完全に隔離されているデバイスは、感染の可能性が低いと考えられます。ただし同じアカウント情報を共有している場合は感染のリスクが上がるため、すべての危険なデバイスの状態を確認してください。

身代金を支払わない

ランサムウェアではデスクトップ上に身代金の要求が表示されますが、基本的には絶対に支払ってはいけません。犯罪者とのコミュニケーションをとることも避け、都道府県警察のサイバー犯罪窓口に相談、通報しましょう。

身代金を支払ってもデータが復旧されない可能性があるだけではなく、犯人からの要求が増えてしまうかもしれません。また支払いは犯罪者への金銭的な支援と同義です。成功体験を得た犯罪者は、再犯を検討してしまうでしょう。

インターネットから切断するか判断する

ランサムウェアに感染したら、インターネットから切断するべきか判断してください。このとき、電源のオフや再起動は絶対に行なってはいけません。

「パソコンのトラブルはまず再起動」と思っている人も多いでしょう。しかしランサムウェアでは、再起動を行うと暗号化が進んでしまいます。その結果、バックアップに必要な情報も暗号化されてしまう可能性があるのです。

デバイスの電源はそのままで速やかにネットワークから隔離し、警察や専門家への相談につなげていきましょう。無線LANの場合は、デバイスの機内モード設定や、Wi-Fiのルーター電源オフなどでも対応可能です。

ランサムウェアは社会を震撼させる脅威。万全な対策を

今回は、ランサムウェアの意味や症状、対策方法などをご紹介しました。

現在のランサムウェアは企業を狙ったタイプが主流ですが、個人攻撃も完全になくなったわけではありません。ランサムウェアによる攻撃は、時に大きな経済的損失を生むばかりではなく、社会的信用も低下させます。

現代の私たちの生活は、デジタルデバイスやIT技術と非常に近しい関係にあります。安心してネットワークやデバイスを活用するために、日頃からランサムウェアへの対策を取り入れていきましょう。

ノートン360のセールス

ノートン360は世界シェアNo.1のセキュリティソフトです。世界中のセキュリティデータと数十年にわたる経験は、世界中で日々増え続けるランサムウェア対策に有効です。実に1分間に数千もの脅威をブロックしております。またノートン360は「ノートン プロテクション プロミス」というサービスを付与しており、ノートンの専門家がお使いのデバイスからランサムウェア・マルウェア・ウイルスを駆除できなかった場合は、対象となるライセンスの現行の期間に対して実際に支払った金額について、全額返金が可能です。それほど、お使いのデバイスからランサムウェア・マルウェア・ウイルスを保護する能力に自信と誇りを持っております。