ランサムウェアの被害事例と対処法について紹介

ランサムウェアとは何か

ランサムウェアとは、マルウェアの一種であり、感染した端末やサーバーをロックして、ファイルを開けなくするプログラムを指します。

「Ransom」は、身代金という意味であり、ロック解除の見返りとして金銭を要求してくることから、この名がついています。

2017年ごろからその被害は増えており、企業のコンピューターが感染してしまうと、業務やサービスの続行が難しくなってしまうことから、深刻な問題です。

また、ランサムウェアから要求された通りに金銭を支払ったとしても、ファイルが元に戻る保証もなく、「感染」を防ぐことが重要な対策であるとされています。

ランサムウェアによる被害事例

ランサムウェアによる被害事例は、日本国内でも多数報告されています。5つの事例をご紹介します。

1. 国内大手製造会社の「WannaCry」による被害（2017年）

ランサムウェア「WannaCry」によって、国内大手製造会社がメールの送受信等に影響を受けた被害が報告されています。

同社の発表によると、被害を受けた原因としてセキュリティパッチが適用されていなかったことが挙げられます。

タイムリーなパッチ適用ができていなかったサーバーが被害を受け、適用後のサーバーは被害を受けなかったとのことです。

復旧までには約1週間程度かかりました。

2. 国内ソフトウェア会社の不正アクセスによる被害（2021年）

不正アクセスによって、ネットワーク機器上のファイルが暗号化され、身代金の要求を受けた事例です。

被害を受けた国内ソフトウェア会社の発表によれば、米国現地法人が保有していた旧型のVPN装置に対してサイバー攻撃が行われ、そこから社内ネットワークへの侵入を許してしまったとのことです。

早期に復旧したものの、最大​​15,649人の個人情報が流出したことが発表されました。

3. 国内鉄道会社のファイルアクセス制限による被害（2018年）

国内鉄道会社のファイルサーバーがウィルスに感染し、サーバー内のファイルが開けなくなる被害を受けた事例です。

同社の発表では具体的な感染経路や原因、ウィルスがランサムウェアであるといった情報は公開されていません。

ただ、ファイルアクセス制限の解除と引き換えに金銭を要求する画面が表示されたことから、ランサムウェアに感染したセキュリティ事故だと推察されます。

4. 国内自動車製造会社の業務停止の被害（2020年）

社内ネットワークでランサムウェアに感染し、出荷停止や在宅ワークで社内システムへ接続できず、業務が停止した事例があります。

セキュリティ観点上の理由から詳しい情報は公開されていませんが、SNAKE(EKANS)とみられるランサムウェアに感染したのではないかと考えられています。

被害は国内にとどまらず海外を含む工場のうち3割が停止したとみられており、事業継続性への影響が甚大だったセキュリティ事故の一つです。

5. 国内病院の患者の受け入れ停止となった事例（2021年）

情報システムの脆弱性が放置された状況下でランサムウェアに感染し、データが暗号化されたことで、電子カルテが動作不良に陥った国内病院の事例です。

電子カルテや予約システムなどの各情報システムが利用不能となり、復旧までの間は新規の患者や救急の患者を受け入れ停止せざる得なくなりました。

原因としては、VPNの脆弱性やOS、ソフトウェアの未更新が挙げられます。

ランサムウェアの事例からみる代表的な手口

ランサムウェアは年々手口が変化しています。ここからは、最近の被害事例からみる代表的な手口をご紹介します。

1. 特定の企業や組織を標的とした手口へ変化

近年、ランサムウェアは標的型サイバー攻撃で多く用いられています。

これまでのランサムウェアは基本的に明確なターゲットを決めず、ばらまき型のマルウェア添付メール等で広範囲に無差別攻撃を行っていました。

しかし、2018 〜2019 年頃から特定の企業や組織を狙ったサイバー攻撃で使用され、事業継続に関わるシステムや機密情報等が保存されている端末やサーバを探し出して感染するようになっています。

このようなランサムウェアは、標的型ランサムウェアまたはシステム侵入型ランサムウェアと呼ばれています。

2. 身代金の要求に加えデータの公開で脅迫

企業に対して、データを公開するという圧力をかけて、金銭を要求する手口も報告されています。

ランサムウェアはデータを暗号化し、データの復旧を条件に身代金を要求するマルウェアです。

ただし、暗号化の前にあらかじめデータを盗んでおき、身代金を払わなければデータを公開する、と脅迫する二重の脅迫が増えてきました。

このようなランサムウェアは、暴露型ランサムウェアと呼ばれています。

参考：「事業継続を脅かす 新たなランサムウェア攻撃について」｜情報処理推進機構 （IPA）

ランサムウェアの被害にあってしまったら

ここからは、ランサムウェアの被害を受けた場合の対処方法について解説します。

1. 管轄する都道府県警察のサイバー犯罪対策課・警察署への届出

ランサムウェアの被害を受けた場合は、管轄する都道府県警察のサイバー犯罪対策課・警察署への届出を行いましょう。

問い合わせ先は、警視庁サイバー犯罪対策プロジェクトの「都道府県警察本部のサイバー犯罪相談窓口一覧」を参照してください。

2. 感染したランサムウェアの特定

「No MORE RANSOM」にて提供されている「ランサムウェアの特定」を用いて、感染したランサムウェアを特定できる場合があります。

また、一部のランサムウェアについては復号ツールが公開されており、ランサムウェアの特定と同時に復号ツールのダウンロードも可能です。

3. 被害にあったデータの復旧

復号ツールが公開されている場合、ツールを用いてデータの復旧を行いましょう。復号ツールの有無は、「No MORE RANSOM」内の「復号ツール」から確認できます。

しかし、基本的にランサムウェアによって暗号化されたファイルは復旧できません。あらかじめ取得したバックアップから、データを復旧するのが一般的です。

ランサムウェア事例のまとめ

近年、ランサムウェアによる被害が中小企業から大企業まで多数報告されています。

ランサムウェアの手口も年々変化しています。

被害を受けた場合には警察署に届出を行うとともに、ランサムウェアの特定やデータの復旧を行うようにしてください。