ランサムウェア被害防止対策

ランサムウェアとは

ランサムウェアとは、感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価として金銭を要求する不正プログラムです。

ランサムウェアの手口

従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、2020年頃からは、VPN機器からの侵入等、特定の個人や企業・団体等を標的とした手口に変化しており、企業のネットワーク等のインフラを狙うようになっています。 また、データの暗号化のみならず、データを窃取した上、企業等に対し「対価を支払わなければ当該データを公開する」などと金銭を要求する二重恐喝（ダブルエクストーション）という手口も確認されています。
（参考）令和３年上半期におけるランサムウェアの情勢(PDF)

被害の未然防止対策

ランサムウェアによる被害の未然防止対策としては、主に以下の事項が挙げられます。

• 電子メール等への警戒
• OS等の脆弱性対策
• ウイルス対策ソフトの導入等によるマルウェア対策
• 認証情報の適切な管理

• 【電子メール等への警戒】
  受信者の関心を引くような内容や重要と思わせる内容のメールを用いて添付ファイルを開かせる（実行させる）、又はリンク先のWebサイトにアクセスさせるように仕向けて、ランサムウェアをはじめとしたマルウェアに感染させる手口が確認されています。
  知人や企業等からの電子メールと思えるものであっても、送信元が詐称されていたり、本文からは不正なメールと見抜けなかったりすることもあります。 添付ファイル付きのメールやリンク付きのメールについては、送信元への確認を行うなど、その真偽を確かめ、不用意に電子メールの添付ファイルを開いたり、リンク先にアクセスしたりしないようにしましょう。
• 【OS等の脆弱性対策】
  OSやソフトウェアに脆弱性がある状態のままでは、電子メールの添付ファイルの実行やWebサイトの閲覧により、マルウェアに感染するリスクがあります。
  また、ネットワークへの侵入のためにVPN機器等のネットワーク機器の脆弱性が悪用される事例も確認されています。利用している機器等の更新ファイル、パッチ等を適用して、脆弱性を残さないようにしましょう。
• 【ウイルス対策ソフトの導入等によるマルウェア対策】
  他のマルウェアやハッキングツール等を使ってネットワークへ侵入し、データを盗み出した後にランサムウェアによりファイルを暗号化する手口も確認されています。
  ウイルス対策ソフトを導入し、定義ファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができます。
• 【認証情報の適切な管理】
  利用しているリモート・デスクトップ・サービスやVPN機器等のネットワーク機器の認証パスワードが脆弱であったためにネットワークに侵入され、ランサムウェアによる被害が生じる事例が確認されています。
  パスワードは、大文字・小文字・数字・記号の組合せにより文字数が多く、推測されにくい文字列を設定するとともに、他のサービス等で使用していないものを設定しましょう。 また、２要素認証等による強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に実施しましょう。

感染に備えた被害軽減対策

ランサムウェアへの感染に備えた被害軽減対策としては、主に以下の事項が挙げられます。

• データのバックアップの取得等
• アクセス権等の権限の最小化
• ネットワークの監視

• 【データのバックアップの取得等】
  ランサムウェアにより、バックアップデータも暗号化されてしまうという事例が確認されています。 不測の事態に備えて、バックアップはなるべくこまめに取得し、ネットワークから切り離して保管しましょう。
  また、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。
• 【アクセス権等の権限の最小化】
  いったん侵入されると、ネットワーク内の複数の端末でデータが暗号化されるなどといったように、被害の範囲が拡大することとなります。 ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。
  また、インターネットに公開されている機器が乗っ取られた場合に備えて、その機器からアクセス可能な範囲を限定しましょう。
• 【ネットワークの監視】
  ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合があります。 ネットワーク内の不審な挙動を早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することに繋がります。異常を検知した際には迅速に対処しましょう。

感染してしまったら・・

一部のランサムウェアについては、「No More Ransom」プロジェクトのWebサイトで復号ツールが公開されており、暗号化されたファイルを復号する手段として利用できる場合がありますが、以下の点に注意してください。

• 一部のランサムウェアにしか復号ツールが対応していないこと
• 復号ツールが利用できるランサムウェアとして紹介されていたとしても、バージョン等の違いにより、復号ツールが使えないことがあること
• 復号ツールの利用により、予期せぬ不具合が生じる可能性があること

【復号ツールについて】
ランサムウェアを駆除するためには、感染したランサムウェアの種別を特定する必要があります。ランサムウェアを特定するために、ランサムノート（身代金を要求するドキュメント等）や暗号化されたファイルの拡張子を確認・記録してください。 確認した情報をもとに、ランサムウェアに対応する復号ツールが「No More Ransom」プロジェクトのWebサイトで公開されていないか確認してみてください。
なお、「No More Ransom」プロジェクトのWebサイトで公開されている復号ツールの使用方法についてはJC3のWebサイトを参考としてください。

• 「No More Ransom」プロジェクト
• 一般財団法人日本サイバー犯罪対策センター（ＪＣ３）

再発防止対策

• ランサムウェアの影響が確認されていない端末等であっても、他のマルウェアやハッキングツール等の影響を受けている可能性があるため、ランサムウェアの影響が確認されていない端末も含めて調査を実施することを推奨します。
• 被害の再発防止のため、ランサムウェアへの感染原因等の調査の結果に応じた対策を講じてください。なお、調査にあたっては、感染端末をはじめとした各種機器のログが必要となります。バックアップデータと同様に適切に保管することを推奨します。
• その他の被害防止対策、被害軽減対策などについても見直しを行うとともに、社員に対して適切なセキュリティ教養を行うなど、総合的な対策強化を図ることを推奨します。

参考リンク

• 警察への通報・相談窓口
  • 都道府県警察本部のサイバー犯罪相談窓口等一覧
• 「No More Ransom」プロジェクトの御紹介
• 「No More Ransom」プロジェクトの概要（PDF）
• 「No More Ransom」プロジェクトのページ（外部サイト）
• 他機関のランサムウェア対策特集の御紹介
  • （一財）日本サイバー犯罪対策センター（JC3）
    ランサムウェア対策について（外部サイト）
  • （独）情報処理推進機構（IPA）
    ランサムウェア対策特設ページ（外部サイト）
  • JPCERT/CC
    ランサムウエア対策特設サイト（外部サイト）
• その他
  • 情報セキュリティ・ポータルサイト「ここからセキュリティ！」（外部サイト）