ランサムウェア攻撃の実態と動向
■ランサムウェアとは
ランサムウェアとは、「身代金要求型不正プログラム」と呼ばれるマルウェアの一種です。
企業のデータを暗号化し、データの復旧と引き換えに身代金を要求する手口が多く見られます。また、身代金を支払ったとしても、ファイル自体を窃取してインターネット上に公開するなど、二重で脅迫するケースも確認されています。金銭的な被害に加え、個人情報流出のリスクもある危険な攻撃です。
ランサムウェアは組織的な攻撃フローになっており、開発、侵入、身代金交渉、支払いなど各分野の専門家が連携して攻撃する特徴があります。
また、近年では RaaS ( Ransomware as a Service )と呼ばれる、ランサムウェアをサービスとして提供するビジネスモデルが台頭していることも懸念点です。悪意と資金さえあれば、知識や技術がなくても誰でもランサムウェア攻撃を仕掛けられます。
■ランサムウェアの主な感染経路ランサムウェアの主な感染経路は下記の通りです。
|
感染経路 |
感染の手口 |
割合(2022年) |
被害 |
|
VPN機器 |
公開された VPN サーバーの脆弱性を足掛かりにする |
62% |
・データの暗号化 ・感染端末の拡大 ・データ流出 ・パソコンなどの端末のロック |
|
リモートデスクトップ |
リモートデスクトップの認証不備を足掛かりにする |
19% |
|
|
メール添付ファイル |
特定企業を標的として取引先になりすます |
9% |
(出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」)
現状では、テレワークをターゲットとした攻撃方法が8割以上を占めています。
■ランサムウェアの攻撃タイプ
これまでは「従来型(ばら撒き型)」と呼ばれる、ターゲットを限定しない方法で広範囲に攻撃を行う手法が主流でした。2017年に猛威を振るった「WannaCry」が代表例です。しかし近年では、特定企業を狙った「標的型」の攻撃が増えています。特定の企業や組織を標的として、顧客や取引先からの正当な依頼であるかのように装い、執拗に攻撃を仕掛ける傾向が見られます。
■ランサムウェアの被害
ランサムウェア攻撃の被害件数と、復旧までの時間と費用を見ていきましょう。
ランサムウェアの被害件数推移と復旧コスト
2022年、警察庁に報告されたランサムウェア被害件数は 230 件です(※1)。2020年下期と比べ、 2022年下期は約6倍に増加しました。近年では、製造業やサービス業、医療・福祉業界などが狙われるケースが増えています。工場や病院での業務停止や個人情報の漏洩など、深刻な被害が発生しています。
※1参考:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
復旧には1週間以上かかったという回答が52%、調査・復旧費用は1,000万円以上が47% と多くの割合を占めており、ランサムウェアは事業面、金銭面で大きな影響を及ぼしていることが分かります。これは警察庁に相談があったデータ(※2)のみが対象であるため、実態はこの何倍もの被害があると考えられています。
※2参考:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
■ランサムウェアの被害事例
ランサムウェアの実際の被害事例を紹介します。
感染事例1<某病院>
2021年10月にVPN機器の脆弱性からランサムウェアに感染しました。電子カルテや会計などすべてのシステムが停止し、約8万5,000人分の患者データが暗号化されました。一部のバックアップデータからシステムを復旧できましたが、診療停止期間は約2カ月にわたり、新たなシステムの構築に約2億円の費用がかかりました。
感染事例2<某大学>
2022年6月にネットワークストレージ( NAS )が不正アクセスを受け、ランサムウェアに感染しました。結果、データの一部を暗号化され、身代金を要求される事態に発展しました。復旧までに約2カ月かかったとされています。
ランサムウェア対策アプローチ
感染すると大きな被害をもたらすランサムウェア攻撃を防ぐための、対策アプローチについて解説します。
■ランサムウェア対策アプローチ
ランサムウェア侵入を完全に防ぐことはできません。アンチウィルスでは 4 割しか防げないといわれており、脅威を防ぎきるのは不可能という視点での対策が必要です。
ファイル暗号化ソリューションである「InterSafe FileProtection」は、データ流出に備えたデータ保護とバックアップの機能を備えており、被害の抑止・最小化が可能です。
■ファイル自動暗号化(InterSafe FileProtection)
InterSafe FileProtectionは、ディスクやフォルダー単位ではなく、ファイル単位で暗号化する点が特徴です。ファイルを保存した時点で自動的に暗号化処理が行われます。
ファイル自体が暗号化されるため、ランサムウェアに感染しても第三者からは読み取ることができません。高度な暗号化( AES256bit )を採用しており、個人情報が流出した場合でも、個人情報保護法で義務付けられている報告義務が免除されるメリットもあります。
■自動ファイルバックアップ
InterSafe FileProtection は、標準でファイルバックアップ機能を備えています。暗号化ファイルが保存されると、第三者がアクセスできない端末内のセキュアなフォルダーへ同じファイルをバックアップします。今後の改善として、バックアップ先をサーバーにすることも予定されています。
InterSafe FileProtectionの基本動作
InterSafe FileProtection の基本的な動作について解説します。
■保存時自動暗号化の動作
クライアント PC 上で平文ファイル(Word など)を開いて編集し、上書き保存を行います。上書き保存した時点で暗号化され、ファイルのアイコンに鍵マークが付与されます。暗号化ファイルは、通常通りダブルクリックで開いて編集が可能です。拡張子の変更もありません。
■自動暗号化フォルダーの動作
自動暗号化フォルダーとして指定したフォルダーに平文ファイルを移動(ドラッグ&ドロップ)すると、移動が完了した時点で暗号化が行われ、ファイルのアイコンに鍵マークが付与されます。同様にダブルクリックで開いて編集できます。
■手動暗号化の動作
権限を付与されたユーザーによる手動暗号化も可能です。対象のファイルを右クリックし、「セキュアファイルの作成」をクリックすると、暗号化処理が行われてファイルのアイコンに鍵マークが付与されます。複数ファイルを一括で暗号化することも可能です。また、暗号化ファイルを右クリックし、「セキュアファイルの暗号解除」を選択すれば手動で復号できます。なお、暗号解除はログが保存されるため、万が一の場合でも証跡の確認が可能です。
■ファイル流出時の動作
ファイル流出が発生しても、外部環境で暗号化ファイルを開こうとした場合は、エラーが出力されてファイルを開けません。アイコンには鍵マークも付与されません。
まとめ
本記事では、近年増加しているランサムウェアの実態と動向、対策として InterSafe FileProtection の機能と基本動作を解説しました。企業の重要なデータを守るために、ぜひ InterSafe FileProtection の導入をご検討ください。
自動ファイル暗号化「InterSafe FileProtection」
