ランサムウェアとは、PCやスマホなどの端末の利用を制限し、制限の解除と引き換えに金銭を要求する、悪意のあるプログラムのことです。
近年ランサムウェアによるサイバー犯罪の被害は世界的に広がっており、日本でも2015年頃からランサムウェアの被害が増えています。ランサムウェアに感染すると甚大な悪影響を受けるため、とくに危険に晒されやすい大企業ではランサムウェア対策が必須とされています。
本記事では、ランサムウェアの手口や事例、対策方法、そして今後の動向などを解説します。
目次
はじめに:ランサムウェアの進化と脅威に備える
ランサムウェアによる被害の実態は、金銭的な損失だけにはとどまりません。取引先や顧客のデータや個人情報の流出などに発展すると、流出元は社会的信用を失い、事業の継続自体が難しくなる恐れもあるからです。そのため、企業や組織ぐるみで、さらには個人のユーザーも、ランサムウェアの脅威に備えるべくセキュリティ対策を強化することが望まれます。
ランサムウェアとは:基本的な仕組みと特徴
ランサムウェアとは最初にお伝えしたように、PCやスマホなどの端末の利用を制限し、制限の解除と引き換えに金銭を要求する悪意のあるプログラムです。ここではランサムウェアの意味や仕組み、手口を解説します。
ランサムウェアの意味
ランサムウェアは「Ransom(身代金)」と「Software」を組み合わせた造語です。「身代金要求マルウェア」とも呼ばれ、2010年代から攻撃が活発化しています。マルウェアとは、不正かつ有害な動作を行うために作られた、悪意のあるソフトウェアやアプリケーションの総称です。
ランサムウェアを使った最初のサイバー犯罪は、1989年に発生した「AIDSTrojan」というマルウェアを使用したものでした。それから30年以上、ランサムウェアは世界各地でサイバー犯罪に使用されており、手口も年々巧妙化しています。
関連記事:トロイの木馬とは?ウイルスに感染した事例や感染被害対策を解説!
ランサムウェアの仕組み・手口
ランサムウェアの基本的な攻撃プロセスは以下の通りです。
ネットワークへの侵入
ネットワークをハッキングするために、ハッカー(攻撃者)がさまざまな経路から内部のネットワークに侵入します。
ハッキング
ハッカーがハッキングツールや遠隔操作ツールなどを使ってネットワーク内の端末を操作し、権限の拡張や標的となるデータの特定を行います。
データの持ち出し
ハッカーが脅迫に使えそうな情報を探し出し、データを外に持ち出します。
ランサムウェアの実行
ハッカーのサーバーにデータをアップロードし終えたら、ハッカーはランサムウェアを実行し、データを暗号化します。ランサムウェアを確実に実行するために、事前にセキュリティ機能を停止させるケースも少なくありません。
なお、以前までのランサムウェアは、不特定多数の利用者を狙い、電子メールを送信して感染させる手口が主流でした。しかし、近年は効率的に身代金を手に入れるため、組織や企業をターゲットにしている傾向が強まっています。
さらに、データの暗号化や「身代金を支払わなければ盗んだデータを公開する」というダブルエクストーション(二重脅迫・二重恐喝)も確認されており、以前よりも手口は悪質になっています。ほかにも、ランサムウェアを使ってデータを暗号化することなくデータを盗み取り、対価を要求する「ノーウェアランサム」という手口もあります。
ランサムウェアの感染経路:主な侵入手段
ここでは、ランサムウェアの感染経路を解説します。主な侵入手段として、フィッシングメールやWebサイト経由、VPN経由などが挙げられます。
フィッシングメール・なりすましメール
フィッシングメールとは、送信者を偽って受信者を攻撃するメールのことで、なりすましメールとも呼ばれています。
フィッシングメールを使った侵入はランサムウェア攻撃の常習的な手口であり、感染経路としてもっとも広く知られているものです。大企業や公的機関などを装い、文中にあるURLをクリックさせたり添付ファイルを開封させたりして感染させるのが主な手口です。
なお、フィッシングメールによる攻撃者の特徴として、特定の標的を持っておらず、社会を混乱させる目的で愉快犯的に無差別に攻撃する傾向があります。
関連記事:スパムとは?意味や種類、迷惑メールの見分け方や対処法
インターネット広告
悪意のあるWebサイトを経由してランサムウェアに感染するケースも少なくありません。不正なポップアップ広告が多数表示されるサイト、リンクが不自然なサイト、読み込み速度が異常に遅いサイトなど、悪意を持っている恐れがあるため、訪問には注意する必要があります。このようなサイトを利用すると、知らぬ間にバックグラウンドでランサムウェアがインストールされ、システム内部に侵入される恐れがあるからです。
また、正規のサイトが悪意のあるハッカーに改ざんされ、不正なリンクやプログラムが埋め込まれるケースも少なくありません。閲覧時に怪しいサイトに誘導されたり、怪しいファイルのダウンロードを促されたりするケースもあります。
関連記事
・広告ブロックの方法を解説!PCやスマホのおすすめアプリもご紹介
・悪質な広告からユーザーを守るGoogleの仕組みとは?
USBメモリ・外付けストレージ・メモリカード
不正なUSBメモリとの接続もランサムウェアに感染する原因の一つです。
PCには、リムーバブルメディア(取り外しできるデータ記憶装置)や情報機器を接続するだけで自動的にプログラムを実行するAutoRun機能があります。そのため、ランサムウェアに感染したUSBメモリをPCに挿してしまっただけでランサムウェアに感染する恐れがあります。
USBメモリだけでなく、外付けのストレージやメモリーカードなどを挿した場合も同様です。出所不明なリムーバブルメディアの接続は不用意に行わない、などの注意が必要でしょう。
関連記事:ストレージとは?意味や基礎知識を初心者でも分かるように解説!
ソフトウェア、ダウンロードファイルなどの脆弱性
ランサムウェアに感染する典型的な例として、危険なソフトウェアやファイルのダウンロードが挙げられます。特に海賊版のファイルや非正規のソフトウェアのダウンロードは危険です。具体的には、過剰にアクセス権限を要求するソフトウェアや、有名なブランドの名前やロゴなどに似ているソフトウェアなどです。なお、PCだけでなく、スマートフォンにインストールするアプリケーションにも当てはまります。
標的型攻撃・VPN機器経由の攻撃
標的型攻撃とは、特定の企業や組織にマルウェアを感染させようとするサイバー攻撃です。具体的には、VPN機器やリモートデスクトップから侵入し、企業や組織内の端末にランサムウェアを一斉に感染させるといった事例があります。
VPNとは、インターネットに接続する際に仮想的な専用回線を利用する技術です。インターネット上に専用のネットワークを作り、許可された人や端末のみで利用する方式で、外部でも企業・組織内と同じようなネットワーク環境を構築できます。
VPN機器に脆弱性があると、攻撃者にVPNネットワークに侵入され、ランサムウェアが拡散されてしまいます。また、企業や組織が採用したリモートデスクトップのシステムに不備があると、攻撃者にサーバーに侵入され、遠隔操作でランサムウェアに感染させられる恐れがあります。
警察庁の調査によると、企業・団体のランサムウェアの感染経路として「VPN機器からの侵入」が63%で最多となりました。テレワークを採用している企業や、出張先などからのネットワーク接続が多い企業にとっては要注意といえます。
参考資料:令和5年におけるサイバー空間をめぐる脅威の情勢等について(警視庁)
関連記事:VPN接続とは?基本的な仕組みや種類、メリットとデメリットを紹介
ランサムウェア感染時の症状:典型的な画面表示と被害の様相
ここでは、ランサムウェアに感染した際の症状を解説します。感染すると、操作不能になったりファイルを削除・暗号化されたりするほか、業務停止や情報流出につながる恐れもあります。
PCやスマホが操作不能になる
基本的にランサムウェアに感染したPCは操作ができなくなります。OSも含めてロックされるため、タスクマネージャーの起動やファイルのアクセスも不可能です。
感染してもロックされないランサムウェアもありますが、ランサムウェアに感染したPCは自己複製や他のPCへの攻撃に多くのメモリやCPUを消費します。そのため、PCの動作が重たくなったりフリーズしたりするなどの症状に陥ります。
スマートフォンの場合、「あなたは罪を犯しました」といった警告文が表示されることがあります。警告文はホームボタンや電源ボタンを押しても消えないため、スマートフォンの操作も不可能になるでしょう。さらに、ランサムウェアがネットワーク全体に感染してしまった場合は、他の端末にも影響を及ぼします。企業や組織内のシステムやサーバーも使用不能になるため、業務停止を余儀なくされるでしょう。
ファイルが勝手に削除される
ランサムウェアに感染すると、PCやスマートフォン内に保存されているファイルも削除されます。削除ファイルは画像や動画、音声や文書だけでなく、場合によっては、OSの動作に必要なシステムファイルやプログラムファイルも削除され、OSが正常に動作しなくなる恐れもあります。
また、顧客や社員の個人情報や機密情報が削除された場合、事業の継続自体が難しくなることも考えられます。さらに個人情報や機密データが外部に流出してしまった場合は、顧客や取引先からの信用を失うだけでなく、被害が及んだ取引先や個人などから損害賠償請求をされる恐れもあります。
復元機能が無効化される
ランサムウェアによっては感染前の状態に復元できなくなることもあります。具体的には、回復オプションの無効化や、システムが自動で作成する復元ポイントの削除などです。
回復オプションが無効化された場合、復元ポイントが作成されていても復元はできません。また、復元ポイントが削除された場合、外部ストレージにバックアップが保存されていなければ、全てのデータを復旧することは難しいでしょう。企業や組織の場合、業務やサービスの停止が長期化すると、取引先や顧客を失う恐れもあります。
脅迫・身代金の要求
企業や組織を攻撃したハッカーは身代金を要求してきます。身代金の要求画面には、脅迫文やタイムリミット、身代金の送金方法などが書かれています。また、盗んだ機密データの公開を脅迫するダブルエクストーション(二重脅迫・二重恐喝)も存在します。
最近のランサムウェア事例1:種類
ここでは、最近増えているランサムウェアの種類について解説します。ランサムウェアの傾向を把握し、有効な対策を講じましょう。
Akira
Akiraは2023年頃に現れたランサムウェアです。同年8月に被害が急増し、20を超える組織が被害を受けました。Akiraに感染するとシステムの動作に影響するファイル以外が「.akira」という拡張子に暗号化され、全てのフォルダにランサムノート(脅迫文)が生成されます。
また、不正なデータを書き込むことでPCに高い負荷をかけることもAkiraの特徴です。ランサムノートでは、身代金を支払わない場合はダークマーケットにデータを販売し、データを自分のブログに公開すると脅しています。
Akiraの被害を受けたのは北米の企業が多いものの、標的となっている組織の業種に偏りはありません。このことから、システムに脆弱性がある、あらゆる企業や組織を標的にしていると考えられます。
参考資料:ランサムウェアスポットライト:Akira|トレンドマイクロ | トレンドマイクロ (JP)
LockBit
LockBitは2019年頃に現れたランサムウェアです。世界120か国の企業や主要なインフラ組織が攻撃を受け、日本でも医療機関や大手衣料チェーンなどが被害に遭いました。
2023年7月には名古屋港の基盤システムがLockBitに攻撃され、約2万本のコンテナ搬出入に影響を与える大規模な障害が発生しました。感染経路はフィッシングメールや偽のダウンロードリンク、VPNやリモートデスクトップなどさまざまです。感染するとファイルの暗号化だけでなく、セキュリティソフトの終了・無効化や、イベントログの削除が行われました。また、データの暗号化が他のランサムウェアに比べて高速である点や、ネットワークを経由して、さまざまなPCに感染を拡大させる点も特徴でした。
2024年2月に法執行機関がLockBitのダークウェブを差し押さえましたが、その後さらなる攻撃が報告されているため、引き続き警戒が必要です。
参考資料:名古屋港のシステムを停止させたランサムウェア「LockBit」とは? 攻撃の手口や特徴を解説:この頃、セキュリティ界隈で(1/2 ページ) – ITmedia NEWS
Oni
Oniは2017年頃に現れたランサムウェアです。
メールに細工したOffice形式の添付ファイルを受信者に開かせ、マクロを有効化させることで遠隔操作ツールをPCにダウンロードさせるものです。攻撃者は遠隔操作ツールを使ってネットワークに接続されているサーバーに侵入し、データを収集。PCに侵入した後、PC内に3〜9か月潜伏してからファイルを暗号化する点が特徴でした。
暗号化されたファイルには「.oni」という拡張子が付けられてファイルが使えなくなり、重要な機器にはPCの起動に必要な領域であるMBRを破壊するMBI-ONIが使われ、システムへの影響が絶大でした。
身代金の要求画面に表示された脅迫文が日本語だったことや、「.oni」(おに)という拡張子から、日本企業を標的にしたランサムウェアであったことが考えられます。なお、ファイルの暗号化は金銭目的だけでなく、データを収集した痕跡を消すためともいわれていました。
関連記事:動画ファイルの形式や拡張子を解説!種類やシーン別の使い方を紹介!
WannaCry
WannaCryは2017年頃に現れたランサムウェアです。Windowsの脆弱性を突いた手口により攻撃開始から24時間で30万台以上のPCが感染し、日本を含む150か国以上に感染が拡大しました。
感染経路は、Windowsのファイル共有に使われるSMB1.0(SMBv1)です。SMB1.0には遠隔で任意のコードを実行できる脆弱性があり、WannaCryはこの脆弱性を利用したものです。そのため、WannaCryは利用者がPCを操作しなくても感染しました。
感染するとファイルが暗号化され「.WNCRY」という拡張子になります。脅迫文には身代金の支払い方法や、身代金が増加するまでの時間が記載され、脅迫に屈してしまう人も少なくありませんでした。
また、WannaCryはワーム機能も併せ持っていたのが特徴です。ワーム機能とは、ネットワークを経由して自己複製を繰り返しながら、他の端末に感染を広げる機能です。そのため、非常に感染力が強く、欧州支社の検査機器がWannaCryに感染したことで世界中の支社に感染が広がった事例もあります。
最近のランサムウェア事例2:国内外の代表的な被害事例
国内における最近のランサムウェアの被害事例を紹介します。ランサムウェアによる被害は、会社の規模や業種を問わないことがわかります。
医療機器販売企業
2024年2月、医薬品や医療機器の販売を手がける企業がランサムウェアによる被害を受けました。同社は通話やデータ通信に必要なSIMカードが搭載されているノートPCに対して、リモートデスクトップ接続で不正に使われたことが感染の原因としています。
また、外部専門機関による調査を行いましたが、暗号化されたデータが流出した痕跡は確認されませんでした。併せて、ダークウェブへの流出も調査しましたが、検出されなかったことから、データは流出していないと同社は判断しています。
迅速な対応により深刻な被害は避けられましたが、ランサムウェア被害の復旧作業により生産性が低下してしまい、利益は前年度より減少してしまったそうです。
大手自動車メーカー
2020年6月に自動車やロボットなどを開発・販売している企業がサイバー攻撃を受けました。大規模なシステム障害を引き起こし、国内外の工場の出荷停止を余儀なくされました。この障害の影響で生産を停止したアメリカの乗用車工場やブラジルの二輪工場は、復旧するのに3日かかりました。
同社への攻撃に使われたランサムウェアはEKANS(SNAKE)と呼ばれる種類のもので、標的型攻撃によく使われることから、同社を狙った確信犯による攻撃であると考えられます。
ランサムウェアを解析したところ、同社の社内ネットワークの中枢を狙ってデータを使用不能にする新手のランサムウェアであることがわかりました。基本的に社内ネットワークの中枢はセキュリティが厳しいことから、攻撃者は同社を狙って偵察を繰り返し、攻撃を仕掛けたのではないかと考えられています。
病院
2022年10月に徳島県の病院がランサムウェアに感染しました。突如として病院内に設置されていたプリンターが一斉に犯行声明を印刷し始め、電子カルテや関連するサーバーのデータが暗号化されました。
この障害の影響で、救急・新規患者の受け入れの休止や手術の延期などを余儀なくされ、医療の提供に大きな影響が出ました。復旧には約2か月かかり、新たなシステム構築やセキュリティ対策に2億円、外来制限で数千万円もの損害が出たとされています。
同病院の調査報告書によるとパスワードは最短5桁で、一定の試行回数でロックする設定もされていませんでした。また、古いOSを使用し、ウイルス対策ソフトも稼働していなかったため、セキュリティ対策に問題があったとされています。
大手製粉企業
2021年7月に製粉事業を中心に食品事業を展開している企業がサイバー攻撃を受けました。この影響で、同社が運用するネットワーク上の一部のサーバーや端末のデータが暗号化されました。
財務会計システムや販売管理システム、バックアップサーバーも使用不可となり、企業情報や個人情報が流出した恐れがあると発表されました。被害が広範囲に及んだため、財務局に提出する四半期報告書の提出の延期も余儀なくされました。
同社の報告によると、不正侵入検知システムや、ウイルス対策ソフトの導入、権限を持つアカウントの使用制限などの対策を講じていましたが、それでも侵入を許してしまったとのことです。
大手ゲームメーカー
2020年11月に国内の大手ゲームソフトメーカーがランサムウェアによる被害を受けました。同社は、社内システムの接続障害を確認し、すぐにシステムを遮断しました。被害を受けた端末にハッカー集団からの脅迫文が残されていたことから、ランサムウェアによる攻撃を受けたことが同日中に判明しました。
この影響を受け、同社ではメールやファイルサーバーが利用できなくなり、一時的に業務停止に追い込まれました。また、一部の個人情報や企業情報の流出も確認されており、流出した恐れのある個人情報は最大39万件に上ると報告されています。
感染の原因は、テレワークの緊急対応で使用した旧型のVPN装置でした。攻撃者は、このVPN装置の脆弱性を突き、社内ネットワークに侵入したと考えられます。
アパレル小売メーカー
2022年5月に大手アパレル小売メーカーがサイバー攻撃を受けました。社内ネットワークに障害が発生し、全国で一時的にキャッシュレス決済や商品の取り寄せが利用できなくなってしまいました。
サイバー攻撃を行ったロシア系のハッカー集団は組織のブログで、同社から16GB以上の内部ファイルを盗んだと報告しました。身代金の支払いも要求しており、支払わない場合は内部ファイルを公開すると脅迫していましたが、調査により同社は情報流出の恐れはないとしています。
大手出版社・動画サービスプロバイダ
2024年6月に大手出版社・動画サービスプロバイダがランサムウェアによる被害を受けました。発覚後も攻撃は続き、攻撃者はシャットダウンしたサーバーを遠隔で起動して感染を拡大させようとしたため、同社はサーバーの電源・通信ケーブルを抜いて攻撃を防ぎました。この影響で、同社グループの複数のサーバーが利用できなくなり、多くのサービスが停止を余儀なくされました。
さらに同社と子会社の取引先や、同社が保有する個人情報、社内文書や契約書などの機密情報も流出してしまいます。流出機密の拡散や悪用などの二次被害も発生し、その被害の大きさと悪質性の高さからも世間を大きく揺るがしました。
ランサムウェア攻撃の影響は非常に大きく、同社の2025年3月期に計上する特別損失は24億円に上る見込みです。
ランサムウェアによる経済的損失:身代金を払うべきでない理由
企業や組織を狙い撃ちしたランサムウェアの攻撃者は、データの復号や復旧と引き換えに身代金を要求します。しかし攻撃を受けて困っていたとしても、身代金は支払うべきではありません。
2024年のProofpointの調査によると、ランサムウェア被害を受けた企業が身代金を支払った割合は日本が3位でした。しかし、交渉に応じない傾向がある日本企業が交渉に乗ると「相手は困っている」「すぐ脅迫に屈する」と犯罪集団に認識されてしまいます。そうすると最悪の場合、新たな要求を突き付けられたり攻撃を仕掛けられたりする恐れも発生します。
また、身代金を支払っても相手がデータを復元してくれる保証はありません。前述の調査によると、身代金を1回支払ったことでデータを復元できたケースはわずか17%でした。身代金を支払わなくてもデータを復元できる可能性があることも考えると、身代金を支払うのは得策ではありません。
参考資料:プルーフポイントの年次レポート「2024 State of the Phish」で、日本の従業員の46%がリスクを知りつつも危険な行動をとっていることが明らかに | Proofpoint JP
ランサムウェアの被害額
ここでは、ランサムウェアの被害額を解説します。被害の大きさによっては、被害額が数億円に上るケースも存在します。
世界の被害金額
ブロックチェーン分析を専門とするChainalysisによると、2023年のランサムウェアによる世界的な被害額は約11億ドルに達したそうです。これは前年2022年の約5億ドルの2倍以上となります。
ランサムウェアの被害額の割合については、100万ドル以上の割合が年々増えています。つまり、高い収益を得ようとする「大物狩り」が主流と言えそうです。中小企業でも十分対策をするべきですが、大企業ほどリスクに晒される傾向が強いと考えられるでしょう。
参考資料:Ransomware Payments Exceed $1 Billion in 2023, Hitting Record High After 2022 Decline
日本国内の被害金額
日本ネットワークセキュリティ協会が実施した、2017年1月から2022年6月までの5年半の期間を対象としたアンケートによると、ランサムウェアの日本の平均被害額は2,386万円でした。
有効回答数は8件と少ないものの、多くの被害組織が1,000万円を超える被害を受けていると回答しています。また、被害を受けた組織は、システムの停止や、機会損失などによる損害額は把握していません。組織内部の社員や職員が対応するのにかかったコストが計上されていないケースも多く、実際の被害額はさらに大きいと考えられます。
参考資料:インシデント損害額調査レポート 別紙「被害組織調査」(日本ネットワークセキュリティ協会)
ランサムウェア対策の基本:予防と被害軽減のためのステップ
ここでは、ランサムウェアの基本的な対策を解説します。
セキュリティ教育:社員への注意喚起と定期的なトレーニング
ランサムウェアの感染を防ぐのに、社員へのセキュリティ教育は欠かせません。不審なメールの添付ファイルを開いたり、業務に関係のないWebサイトを閲覧したりしないよう指導することで、多くの感染を未然に防げます。
感染してしまった場合の事後対応の手順も策定し、周知しておくことも重要です。実際の攻撃を想定したトレーニングを行えば、社員は冷静に対処できるようになります。
バックアップの実施:定期的なデータバックアップ
ランサムウェアに感染すると重要なデータが消失する恐れがあるため、バックアップの作成は必要不可欠です。これにより、データの消失を最小限に抑えられ、スピーディーに復旧できるでしょう。
ただし、同じネットワーク内にあるバックアップデータもランサムウェアに攻撃されるケースが増えていますので、アクセス制限を設けたり、複数バージョンのバックアップを作成したりすることも重要です。
また、書き換えが不可能なバックアップを定期的に作成することも有効でしょう。
システムとアプリケーションの定期的な更新
システムやアプリケーションの脆弱性を突かれ、ランサムウェアに感染するケースも増えています。そのため、システムやアプリケーションを常に最新の状態に保つことも重要です。
特に、古いOSや、アップデートをしていないOS、古いバージョンのセキュリティ対策ソフト、旧型のVPN機器の使用は避けるべきです。自動更新の有効化や、定期的なアップデート、セキュリティパッチの適用も有効です。
セキュリティ対策ソフトの導入
信頼できるセキュリティ対策ソフトを導入することもランサムウェア対策として有効です。危険なアプリケーションやWebサイトなどをブロックできます。また、常にシステムを監視するリアルタイム保護や、プログラムの挙動を分析する振る舞い検知などの機能があれば、被害を受ける前にマルウェアの実行を防げるでしょう。
なお、セキュリティ対策ソフトには個人向けと法人向けがあります。個人向けのソフトは端末1台ごとにライセンスが必要です。一方の法人向けのソフトは、契約内容に応じて端末台数を変更でき、導入や設定も一括で行えるため、企業や組織では法人向けソフトを導入することをおすすめします。
迅速な対応手順の確立:感染時の隔離、被害確認、バックアップ体制強化
ランサムウェアへの対応手順の確立も重要です。感染した場合は、その端末をネットワークから遮断することで、感染拡大を防げます。各サーバーや端末の被害の確認やランサムウェアの種類の特定なども、感染の状況を調べるうえで必要です。
また、セキュリティ専門家への連絡や法務部門、法執行機関への報告など、場合によっては外部機関と連携することも重要です。これらの対応をマニュアル化すれば、万が一の場合でも迅速に立ち回ることができ、被害も最小限に抑えられるでしょう。
技術的な対策:セキュリティソフトの活用とシステム強化
ここでは、ランサムウェアの技術的な対策を解説します。企業や組織のセキュリティ担当の方は以下の対策を講じて、セキュリティを強化しましょう。
ファイアウォール(Fire Wall)の設定と管理
ファイアウォール(Fire Wall)とは、サイバー攻撃や不正アクセスから内部ネットワークを守るためのソフトウェアやハードウェアのことです。ファイアウォールを設定することで、不正なアクセスをブロックでき、内部ネットワークのプライバシーを保護できます。
ファイアウォールは内部ネットワークと公開サーバーのそれぞれに設定するのが一般的です。管理が難しくなるデメリットがありますが、セキュリティ性が非常に高いことから、多くの企業が採用しています。
なお、高度な攻撃には不十分な場合があるため、企業や組織では有料のファイアウォールソフトやファイアウォール機器の利用をおすすめします。
関連記事:WAF(Web Application Firewall)とは?セキュリティの仕組みや基礎を徹底解説!
Webフィルタリングの導入
Webフィルタリングは有害なウェブサイトへのアクセスを制限する機能です。これにより、社員が不適切なサイトにアクセスすることを防ぎ、マルウェアの感染や情報漏洩を防止できます。
なお、Webフィルタリングは以下の3つに分類できます。それぞれによって制限する範囲が異なるため、業務範囲に応じて使い分けましょう。
ホワイトリスト方式
アクセスを許可するWebサイトを登録しておき、リストに登録されていないWebサイトへのアクセスを遮断するのがホワイトリスト方式です。限られたWebサイトしか閲覧できなくなるため、調べ物などをするのに向いておらず、マルチタスクが難しくなります。ただし有害なWebサイトを確実に遮断できるため、限定的な業務しか行わない社員や、外部に貸与するPCなどでは有効な方式かもしれません。
ブラックリスト方式
ブロックするWebサイトを登録しておき、登録されたWebサイトへのアクセスを遮断するのがブラックリスト方式です。管理者がブロックするWebサイトを登録し、リフレッシュを続ける必要がありますが、制限する範囲が狭いため、インターネットの利便性は保たれます。
カテゴリフィルタリング
カテゴリフィルタリングは、Webサイトを特定のカテゴリに分け、選択したカテゴリへのアクセスを制限する方法です。子ども用スマホに搭載されたペアレントコントロールなどが代表例です。
フィルタリングサービスを提供企業などがWebサイトを分類するため、企業の管理者が常にブロックするサイトを登録する必要はありません。ただし、カテゴライズの精度が低いと、無害なWebサイトのアクセスを遮断してしまうこともありますし、有害なWebサイトのアクセスを遮断できないなどの恐れもあります。
侵入検知システム(IDS)と侵入防止システム(IPS)の活用
IDSやIPSを活用することで、ファイアウォールでは防げなかった脅威の検知・防御が可能です。IDSとIPSはネットワーク型とホスト型に分類できます。
ネットワーク型は、ネットワークを流れる通信データを監視するのが特徴です。メリットとして、導入が簡単な点や広範囲にわたって異常な通信を検知できる点が挙げられます。
ホスト型は監視したいサーバーにインストールし、外部との通信で発生したサーバー内のデータを監視するのが特徴です。メリットとして、暗号化された通信による攻撃も検知できる点やファイルの改ざんにも対応できる点が挙げられます。
なお、IDSは不正アクセスや異常な通信を管理者に通知する以上の機能は持っていません。それに対し、IPSは不正アクセスや異常な通信を検知した際に自動で通信を遮断します。
機能的にはIDSよりもIPSの方が優れていますが、システムの運用上通信を遮断してはいけない場合もあるでしょう。そのため、用途に応じてIDSとIPSを使い分けることが重要です。
ネットワークのセグメント化
ネットワークのセグメント化とは、ネットワークを複数の独立した小さなネットワークとして運用することです。これにより、各ネットワークでセキュリティ管理が可能になり、攻撃者の活動範囲が制限され、サイバー攻撃の被害を軽減できます。
なお、ネットワークの分割方法は、ハードウェアを追加する物理セグメンテーションと、ソフトウェアを使用する仮想セグメンテーションに分けられます。
セキュリティを大幅に強化したい場合は物理セグメンテーションを、柔軟に運用したい場合は仮想セグメンテーションを選ぶとよいでしょう。
二段階認証(2FA)の導入
二段階認証とは、IDとパスワードの入力に加えてもう一つの認証を行う方法です。二段階認証であれば、万が一攻撃者にパスワードを入手されてもシステムへのアクセスを防げる可能性が高まります。
認証の要素は以下の3種類に分けられ、どの認証方法を選ぶかによって導入するシステムや運用方法が変わります。
関連記事:パスワードマネージャーとは?Googleほか必要性や安全性
本人しか知り得ない知識による認証
秘密の質問やパターン認証など、本人のみが知っている情報で認証手続きをすることを知識認証と言います。実装しやすく導入費も安いため、広く採用されています。
所有物による認証
セキュリティキーやICカードなど、本人が所持している物で認証することを、所持認証や所持情報などと言います。本人確認の精度を向上させられる反面、認証用の物質を盗難・紛失した場合は、本人でも認証できなくなる恐れがあります。
生体認証
生体認証は、指紋や顔など、本人の身体情報で認証することです。導入コストは高くなりますが、紛失や盗難のリスクがなく、利便性にも優れています。
脆弱性管理ツールの導入
脆弱性管理ツールとは、社内システムやネットワーク上の脆弱性を自動で検出するソフトウェアです。セキュリティ状況は常に変化し、新たな脆弱性が日々発見されるため、手動での調査は手間がかかります。一方、脆弱性管理ツールでは脆弱性の自動検出や影響度の評価、セキュリティパッチの確認や進捗管理などを一挙に行えるため、セキュリティの維持・向上につながるでしょう。
なお、脆弱性管理ツールにはソフトウェア型とクラウド型があります。ソフトウェア型は、オフラインでも使用できる点や細かいセキュリティ設定ができる点がメリットです。一方、クラウド型は設定や管理が簡単な点や最新の脅威にも対策できる点がメリットです。
個人向けランサムウェア対策:自宅のPCやスマホでできる予防と対処法
ランサムウェアの攻撃対象の主流は企業に移りつつありますが、個人向けのフィッシング攻撃も盛んに行われています。最後に個人の対策方法も見ていきましょう。
フィッシング・なりすましメールに注意
個人の感染経路としては、メールによるものがほとんどですので、メールの取り扱いにはとくに注意しましょう。
差出人に覚えのないメールに記載されたURLや添付ファイルを開くことは避けるべきです。また、なりすましメールも増えていますので、知っている企業名やお店の名前、顔見知りの担当者、知り合いの名前が差出人のメールであっても、不審な内容や、身に覚えのない内容のメールには注意しなければなりません。その場合は、該当するメールへの返信ではなく、新規のメール送付や電話をかけるなど、別の経路で該当の企業やお店、本人に問い合わせるなどの対策が有効です。
関連記事:日本アドバタイザーズ協会緊急提言の意味する事 なりすまし広告問題について【デジタル広告の現状と課題 長澤秀行 連載第1回】
ソフトウェアのダウンロードは公式サイトで
インターネットで配布されているソフトウェアの中には悪意のあるプログラムが含まれるものも少なくありません。そのため、ソフトウェアのダウンロードは公式サイトや信頼できるサイトから行うようにしましょう。
アプリはユーザーコメントもチェックする
スマホやタブレットのアプリケーションであれば、iOSならApp Store、AndroidならGoogle Play経由でのダウンロードは当然のこととして、利用ユーザーの評価コメントなどにも注目し、ランサムウェア被害などの実態がないかもチェックしましょう。
近年のランサムウェアは思わぬところに紛れ込んでいることも多く、公式のアプリストアで配布されたからといってすべてのアプリが安全だとも言い切れません。個人でアプリをダウンロードする際は、ユーザーからの評判など、多くの情報を集めてダウンロードをするのが無難です。
ランサムウェアの今後の動向とまとめ
ランサムウェアによる攻撃は会社の規模や業種を問わず行われ、被害に遭うと数千万円以上の損害が発生する恐れもあります。
ランサムウェアの感染を防ぐためには、セキュリティ対策ソフトの導入やバックアップの作成、不審なメールやURLを開かないなどの基本的な対策が欠かせません。また、ネットワークのセグメント化や、ファイアウォール、IDS・IPSの活用、二段階認証の導入も効果的です。
ランサムウェアによる被害は年々増加しており、今後も対策の強化が求められます。攻撃の手口も次第に巧妙かつ悪質になっているため、企業のセキュリティ対策では、感染の前後を含めた総合的な動きと、安全な運用体制を考えていくことが重要です。
