中小企業のランサムウェア対策|被害事例から学ぶ初動と予防策
catfish_admin
経営リスクナビ
ランサムウェア感染経路トップ6と対策|企業が講じるべき予防と初動
catfish_admin
ランサムウェアによる事業停止リスクへの対策を検討しているものの、具体的にどこから手をつけるべきか悩んでいる経営者やセキュリティ担当者の方も多いのではないでしょうか。VPN機器やリモートデスクトップなど、日常業務で利用するツールが攻撃の入口となり、一度侵入を許せば深刻な被害に繋がりかねません。効果的な対策を講じるためには、まず攻撃者の主要な侵入経路を正確に把握することが第一歩です。この記事では、近年の攻撃で多用されるランサムウェアの感染経路を網羅的に解説し、それぞれに有効な対策を具体的に紹介します。
目次
主要なランサムウェア感染経路
VPN機器の脆弱性を突く侵入と対策
ランサムウェアの侵入経路として現在最も高い割合を占めているのが、仮想プライベートネットワーク(VPN)機器の脆弱性を悪用した手口です。リモートワークの普及に伴い、外部から社内ネットワークへ安全に接続するためのVPN機器が広く導入されましたが、同時にサイバー攻撃の主要な標的ともなっています。攻撃者はインターネット上に公開されたVPN機器を常に探索し、ファームウェアが古い、あるいはセキュリティパッチが適用されていない機器を見つけて侵入を試みます。一度侵入を許すと、攻撃者は正規の利用者になりすまして社内ネットワークにアクセスできるため、内部での感染拡大が容易となり、極めて深刻な事態を招きます。
VPN機器の脆弱性が放置される背景には、システムの常時稼働が求められ、アップデートによる業務停止を避けたいという実務上の課題があります。しかし、脆弱性を突かれた場合のリスクは、単なるシステム停止をはるかに上回ります。管理者権限を奪取され、サーバーやバックアップデータまで全て暗号化されることで、事業継続そのものが困難になる致命的な経営リスクに直結します。
また、脆弱性だけでなく、初期設定のパスワードを使い続けている、退職者のアカウントが削除されずに残っているといった設定不備も侵入の大きな要因です。攻撃者は漏洩した認証情報を悪用して正規ルートからログインすることもあり、この場合は不正アクセス検知が遅れる傾向にあります。
VPN機器の脆弱性に対する主な対策
- 脆弱性情報を継続的に収集し、修正プログラムを迅速に適用する運用体制を確立する。
- パッチ適用が困難な場合は、ベンダー推奨の回避策・緩和策を直ちに実施する。
- 管理者アカウントには多要素認証(MFA)を導入し、パスワード漏洩時のリスクを低減する。
- アクセス権限を最小化し、ゼロトラストの考え方に基づいたネットワーク設計へ移行する。
リモートデスクトップ経由の侵入と対策
遠隔地にあるコンピューターを操作するリモートデスクトップ(RDP)も、ランサムウェアの主要な侵入経路として悪用されています。システム管理や在宅勤務で広く利用されていますが、適切なアクセス制限がない場合、インターネット経由で誰でもログイン画面にアクセスできる状態となり、非常に危険です。攻撃者は専用ツールで接続ポートを探索し、無差別に攻撃を仕掛けます。
この経路で多用される攻撃手法が、単純なパスワードを狙う総当たり攻撃(ブルートフォースアタック)や、既知のパスワードリストを用いたログイン試行です。複雑なパスワードでも他のサービスと使い回している場合、情報漏洩をきっかけに突破される危険があります。一度ログインに成功すると、攻撃者は端末を直接操作できるため、セキュリティソフトを無効化するなど、あらゆる破壊活動が可能になります。
防御策としては、リモートデスクトップ機能をインターネットに直接公開せず、VPNなど暗号化された安全な経路を介してのみ接続を許可するネットワーク構成が基本です。以下の対策を組み合わせることで、セキュリティレベルを大幅に向上させることができます。
リモートデスクトップのセキュリティ対策
- RDPポートをインターネットに直接公開せず、VPN経由でのみ接続を許可する構成に変更する。
- 接続を許可するIPアドレスを特定の拠点に限定し、想定外の場所からのアクセスを遮断する。
- 認証には多要素認証(MFA)を必須とし、パスワードのみでのログインを防ぐ。
- 一定回数以上ログインに失敗したアカウントを一時的にロックする機能を有効化する。
メールの添付ファイルやリンクからの感染と対策
業務連絡を装ったメールで添付ファイルを開かせたり、リンクをクリックさせたりしてマルウェアに感染させる手口は、古典的ですが現在でも非常に有効な攻撃手法です。攻撃者は請求書や賞与通知、宅配業者の不在連絡などを巧妙に装い、受信者の油断を誘います。近年では過去のメール文面を引用して返信を装うなど、手口が一層高度化・巧妙化しています。
添付されるWordやExcelファイルには、マクロと呼ばれる自動処理機能が埋め込まれていることが多くあります。ファイルを開いてマクロの実行を許可してしまうと、裏で不正なサーバーと通信し、ランサムウェア本体がダウンロードされてしまいます。また、メール本文のリンク先は正規サイトに酷似した偽サイトであり、認証情報を盗まれたり、閲覧するだけでマルウェアに感染させられたりします。
こうした攻撃は、特定の組織を狙って周到に準備される標的型攻撃である場合、人間の心理的な隙を突くソーシャルエンジニアリングが用いられます。1台の端末への感染を足掛かりに、最終的には組織全体の情報窃取とデータ暗号化という二重の脅迫へと発展します。
メールを起点とする攻撃への多層的対策
- 送信元認証技術(SPF, DKIM, DMARC)を導入し、なりすましメールを入口で遮断する。
- 不審な振る舞いを検知・隔離するEDR(Endpoint Detection and Response)等を導入する。
- 業務ファイルのマクロ機能を原則無効化し、信頼できる発行元のファイルのみ実行を許可する。
- 従業員に対し、不審なメールの見分け方やインシデント発生時の報告手順に関する継続的な教育を実施する。
改ざんされたWebサイト閲覧による感染と対策
正規の企業サイトやニュースサイトが攻撃者によって不正に改ざんされ、閲覧しただけでマルウェアに感染させられる手口(ドライブバイダウンロード攻撃)が存在します。利用者がファイルをクリックするなどの操作をしなくても、ページを表示しただけで背後で不正なプログラムが実行されるため、感染に気づきにくいのが特徴です。攻撃者は、閲覧者のブラウザやプラグインの脆弱性を悪用します。
攻撃者は事前にセキュリティ管理の甘いウェブサイトを探し出し、コンテンツ管理システム(CMS)の脆弱性などを突いて管理権限を奪取します。また、広告配信ネットワークを悪用し、悪意のある広告(マルバタイジング)によって不正サイトへ誘導する手口もあります。信頼性の高いサイトを閲覧していても、広告経由で被害に遭う可能性があります。
この脅威への対策は、ウェブサイトを運営する側と閲覧する側の双方で必要です。それぞれの立場で講じるべき基本的な対策は以下の通りです。
| 立場 | 主な対策内容 |
|---|---|
| サイト運営者 | CMSやプラグインを常に最新版に保ち、管理者認証を強化し、定期的な脆弱性診断を行う。 |
| サイト閲覧者 | OS、ブラウザ、各種ソフトウェアを常に最新の状態に保ち、脆弱性を放置しない。 |
| (共通) | ウェブフィルタリングやEDR等のセキュリティツールを導入し、不正な通信やプログラム実行をブロックする。 |
不正なソフトウェアやファイルのDLと対策
業務効率化ツールやフリーソフトを装って配布されているファイルに、マルウェアが仕込まれているケースがあります。従業員が会社の許可なくソフトウェアをインストールする行為は、セキュリティ網をすり抜け、組織内部に直接ランサムウェアを引き込む危険な侵入経路となります。攻撃者は正規ソフトに似せたアイコンを使ったり、偽のダウンロードサイトを検索上位に表示させたりして利用者を誘導します。
ダウンロードされたファイルは、一見無害に見えますが、裏ではバックドアと呼ばれる不正な通信路を構築します。これにより、攻撃者のサーバーからランサムウェア本体などの追加マルウェアが送り込まれます。特に公式サイトではない第三者のサイトから入手したファイルは、こうしたリスクが常に伴います。
正規ソフトウェアのアップデートファイルにマルウェアが混入されるサプライチェーン攻撃も発生しており、利用者の注意だけでは防ぎきれない場合もあります。そのため、組織的な管理と技術的な制限が不可欠です。
不正ソフトウェア導入を防ぐための対策
- 組織として許可したソフトウェア以外のインストールを技術的に禁止し、従業員から管理者権限を剥奪する。
- アプリケーションの導入には、必ず情報システム部門の承認とウイルスチェックを必須とする運用を徹底する。
- IT資産管理ツールを導入し、許可なくインストールされた不審なプログラムがないか常時監視する。
- EDR等のセキュリティ製品を導入し、万が一不正なプログラムが実行されても即座に検知・隔離できる体制を整える。
USBメモリなど外部メディア経由の感染と対策
インターネットから物理的に隔離されたネットワークでも、USBメモリなどの外部記憶媒体を介してランサムウェアに感染するリスクがあります。従業員が私物のUSBメモリを業務用端末に接続することで、強固な境界防御を迂回してマルウェアが持ち込まれるケースが後を絶ちません。
OSの自動実行機能が有効になっていると、USBメモリを挿しただけでマルウェアが起動してしまいます。また、正規のフォルダアイコンに偽装し、利用者のクリックを誘う手口も一般的です。一度感染した端末に接続された別のUSBメモリにもウイルスが自己複製し、組織内外へ被害を連鎖的に拡大させます。
特に、工場の生産制御システムや医療機関の専用端末など、OSアップデートやセキュリティソフトの導入が難しい環境では、この経路による感染が致命的な被害を引き起こす可能性があります。
外部記録メディア経由の感染対策
- OSの設定で外部メディアの自動実行機能を無効化し、意図しないプログラム起動を防ぐ。
- デバイス制御ソフトウェアを導入し、組織が許可した特定のUSBメモリ以外の利用を禁止する。
- 外部メディアの利用が不可欠な場合は、専用の隔離された端末でウイルスチェックを行ってから内部ネットワークに接続する手順を徹底する。
感染が疑われる場合の初動対応
被害拡大を防ぐためのネットワーク隔離
ランサムウェアへの感染が疑われる場合、最も優先すべき初動対応は、感染端末をネットワークから速やかに隔離することです。ランサムウェアはネットワークを通じてファイルサーバーや他の端末へ爆発的に感染を広げるため、通信の遮断が被害を最小限に食い止める鍵となります。
具体的なネットワーク隔離手順
- 有線LANの場合: 感染が疑われる端末からLANケーブルを物理的に引き抜く。
- 無線LAN(Wi-Fi)の場合: 端末のWi-Fi機能をオフにするか、機内モードを有効にする。
- 管理者側での対応: EDR等のセキュリティ製品で端末を隔離するか、ネットワーク機器で当該端末の通信を遮断する。
隔離作業において最も重要な注意点は、絶対に端末の電源は落とさないことです。電源を落とすと、メモリ上に残っている暗号化キーや通信履歴など、原因究明やデータ復旧に不可欠なデジタル証拠(フォレンジック情報)が全て消えてしまいます。また、暗号化処理の途中で強制終了すると、ファイルが破損し、復旧が不可能になるリスクもあります。感染発覚時は、端末をネットワークから切り離した上で、そのままの状態を維持し、専門部署の指示を待つよう徹底することが重要です。
関係各所への報告と情報共有の体制
ネットワーク隔離で被害拡大を食い止めた後は、社内外の関係各所へ迅速かつ正確に報告するプロセスへ移行します。ランサムウェア攻撃は重大な経営危機であり、IT部門内だけで問題を抱え込まず、速やかに経営陣に第一報を入れ、全社的な危機管理体制を立ち上げる必要があります。
同時に、社内のインシデント対応チームで技術的な調査を進めます。通常の連絡手段が使えない可能性を想定し、あらかじめ定めた緊急連絡網を活用します。外部機関への連絡も不可欠であり、平時から報告フローを明確に定めておくことが、初動対応の成否を分けます。
主な報告・連絡先
- 経営層: 被害概要、対応状況、事業影響の見通しを報告し、全社的な危機管理体制の立ち上げを要請する。
- 社内関連部署: インシデント対応チームや情報システム部門に状況を共有し、技術的対応を連携して進める。
- 警察: 管轄の警察本部のサイバー犯罪相談窓口に被害を届け出て、捜査協力を要請する。
- 監督官庁: 個人情報漏洩の疑いがある場合、個人情報保護委員会や所管官庁へ法令に基づき報告する。
- 保険会社: サイバー保険に加入している場合、速やかに通知して対応を協議する。
証拠保全の重要性と具体的な方法
システムの早期復旧を急ぐあまり、感染端末を初期化してしまうと、侵入経路や被害範囲の特定が不可能になります。サイバー攻撃は犯罪行為であり、法的な手続きに耐えうる厳密な手法で証拠保全(デジタルフォレンジック)を行うことが不可欠です。証拠がなければ、警察の捜査に支障が出るだけでなく、取引先への説明責任も果たせません。
証拠保全作業は高度な専門知識を要するため、自社での対応が難しい場合は、ネットワーク隔離のみを確実に行い、速やかに外部の専門業者へ依頼することが推奨されます。
デジタルフォレンジックにおける証拠保全の主な手順
- 揮発性データの取得: 端末の電源を入れたまま、メモリダンプや実行中のプロセス、ネットワーク接続状況などを記録する。
- ストレージの保全: 書き込み防止装置を用いて、ハードディスク等の完全な複製イメージを作成し、ハッシュ値で同一性を担保する。
- 原本の隔離保管: 以降の調査は複製イメージを用いて行い、原本の機器は証拠汚染を防ぐため厳重に保管する。
- 関連ログの収集: ファイアウォールや認証サーバー等のログが上書きされる前に、速やかに外部の安全な領域に退避させる。
取引先や子会社への影響確認と情報連携のポイント
自社がランサムウェア被害を受けた場合、ネットワークで接続されている取引先やグループ会社へ攻撃が波及する危険性があります。そのため、初動対応として共有ネットワークやシステム連携を即座に遮断し、二次被害を防ぐことが重要です。同時に、影響が及ぶ可能性のある関係企業へは、判明している事実のみを誠実に伝達し、不審な通信への警戒を要請します。この迅速で透明性のある情報連携が、サプライチェーン全体の被害抑止と信頼関係の維持につながります。
経営陣が注意すべき情報開示のタイミングと判断基準
サイバー攻撃被害における情報開示は、経営陣にとって非常に難しい判断です。開示が早すぎれば不確定な情報で混乱を招き、遅すぎれば隠蔽を疑われ、企業の信頼を失います。判断基準としては、個人情報の流出の有無、顧客サービスへの影響範囲、そして法令が定める報告義務の3点が重要です。専門調査機関の報告に基づき、確認された事実、対策状況、今後の見通しを包み隠さず公表する透明性の高い姿勢が、最終的にステークホルダーからの信頼回復につながります。
感染経路を特定するための調査方法
システムやネットワーク機器のログ分析
ランサムウェアの侵入経路と活動内容を特定するには、各種システムやネットワーク機器のログ分析が不可欠です。ログは攻撃者の足跡を時系列で記録したものであり、複数の機器のログを横断的に分析することで、攻撃の全体像を再構築します。
調査の起点となるのは、ファイアウォールやVPN機器のログです。不審なIPアドレスからの大量の接続試行や、業務時間外の管理者ログインなどが侵入口の有力な手がかりとなります。次に、Active Directoryなどの認証サーバーのログを調べ、短時間での連続した認証失敗や、不審な特権アカウントの作成といった内部活動の痕跡を探します。攻撃者は証拠隠滅のためにログを消去することがあるため、平時からログを改ざん不可能な場所にリアルタイムで転送・保管する仕組みが重要です。
不審なメールや通信履歴の調査
標的型メールなどが疑われる場合は、従業員の端末を起点とした調査を行います。メールサーバーのログを解析し、感染直前に受信した不審なメールを特定します。特定したメールが他の従業員にも送信されていないかを確認し、潜在的な感染端末を洗い出します。
次に、プロキシサーバーやDNSサーバーのログを分析し、感染端末から外部の指令サーバー(C2サーバー)への不審な通信がないかを確認します。通常の業務では使われないポートでの通信や、一定間隔で繰り返される通信は、マルウェア感染の強力な証拠です。また、近年のランサムウェア攻撃は、データを暗号化する前に外部へ窃取する二重脅迫が主流です。ネットワークのトラフィックログを分析し、外部への大容量データ送信の有無を確認することで、情報漏洩の規模を推定します。
外部記録メディアの使用履歴の確認
ネットワーク経由の侵入経路が見つからない場合、USBメモリなどの外部記録メディアを介した侵入が疑われます。この場合、感染端末のOSが記録しているデバイス接続履歴を調査します。Windows OSなどでは、USBメモリが接続された日時、デバイスのシリアル番号などがシステム内部(レジストリやイベントログ)に記録されています。
これらの記録を解析し、ランサムウェアの活動開始時刻とUSBメモリの接続時刻が一致するかを検証します。また、どのファイルが実行されたかの痕跡を追うことで、感染のメカニズムを特定できます。感染源となったUSBメモリが特定できれば、そのメディアが接続された他の端末を追跡し、潜在的な被害の拡大を防ぐことが可能になります。
ランサムウェアに関するよくある質問
感染するとPCの画面はどうなりますか?
パソコンがランサムウェアに感染し、データの暗号化が完了すると、デスクトップの壁紙が脅迫文に書き換えられたり、画面全体にランサムノートと呼ばれる身代金要求メッセージが表示されたりします。この画面には、ファイルが暗号化されたこと、復旧と引き換えに金銭を要求する旨が記載されています。また、WordやExcelなどのファイルは拡張子が不規則な文字列に変更され、アイコンが白紙になるなどして、一切開けなくなります。
警察庁が公表する感染経路の統計はありますか?
はい、警察庁は定期的にサイバー空間の脅威に関するレポートを公表しており、その中でランサムウェアの感染経路に関する統計も示されています。近年の報告によると、被害企業から報告された感染経路で最も多いのは「VPN機器からの侵入」であり、全体の半数以上を占めています。次いで「リモートデスクトップからの侵入」が多く、これらネットワーク境界の脆弱性を突く手口が主流となっていることがわかります。
「感染原因」と「感染経路」の違いは何ですか?
「感染経路」と「感染原因」は密接に関連していますが、意味が異なります。感染経路はマルウェアが侵入した「道筋」を指し、感染原因はその侵入を許してしまった「セキュリティ上の不備」を指します。両者を正しく区別し、それぞれに対策を講じることが重要です。
| 項目 | 説明 | 具体例 |
|---|---|---|
| 感染経路 | マルウェアが組織内部に侵入するために通った物理的・論理的な道筋。 | VPN機器、リモートデスクトップ、メールの添付ファイル、改ざんされたウェブサイト |
| 感染原因 | 感染経路の通過を許してしまったセキュリティ対策上の不備や管理上の問題点。 | 脆弱性の放置、推測されやすいパスワードの使用、従業員のセキュリティ意識の欠如 |
身代金を支払うとデータは復旧しますか?
身代金を支払っても、データが確実に復旧する保証は一切ありません。 攻撃者が金銭を受け取った後に復号ツールを提供しない、あるいは提供されたツールが不完全でデータが元に戻らないケースが多数報告されています。さらに、最近は情報公開をしないことに対する身代金も要求されますが、支払ってもデータが転売・公開されるリスクは残ります。犯罪者との交渉は、解決を保証しない極めて不確実な行為です。
スマートフォンやMacも感染対象ですか?
はい、感染対象となります。Windows搭載PCやサーバーが主な標的ですが、スマートフォンやMacも決して安全ではありません。AndroidやiOS、macOSを標的としたランサムウェアも実際に確認されています。非公式アプリのインストールや、SMSを使ったフィッシング詐欺(スミッシング)などを通じて感染するリスクがあり、OSの種類を問わず基本的なセキュリティ対策が不可欠です。
身代金の支払いは経営判断としてあり得る選択肢ですか?
身代金の支払いは、法務・コンプライアンス上のリスクが極めて高く、経営判断として推奨される選択肢ではありません。 支払った資金が反社会的勢力やテロ組織に渡る可能性があり、関連法令に抵触する恐れがあります。また、「支払いに応じる企業」として犯罪者リストに載り、再び攻撃の標的になるリスクも高まります。社会的信用の失墜も避けられないため、バックアップからの復旧など、代替手段の確保に全力を尽くすべきです。
まとめ:ランサムウェアの主要感染経路を理解し、多層的な防御体制を構築する
本記事では、VPN機器の脆弱性やリモートデスクトップ、なりすましメールなど、ランサムウェアの多様な感染経路とそれぞれの対策について解説しました。攻撃者はシステムの脆弱性だけでなく、安易なパスワード設定や従業員の油断といった組織のわずかな隙を突いて侵入します。そのため、単一の対策に頼るのではなく、技術的な防御と継続的な従業員教育を組み合わせた多層的なセキュリティ体制の構築が不可欠です。まずは自社のIT資産を再評価し、特に外部に公開されているVPN機器やサーバーの設定に不備がないか、優先的に確認することから始めましょう。本記事で紹介した内容は一般的な対策であり、個別の状況に応じた最適な対応については、セキュリティ専門家への相談を検討してください。万が一感染が疑われる場合は、証拠保全のためにも電源を落とさず、速やかにネットワークから隔離し、専門家へ連絡することが被害を最小限に食い止める鍵となります。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
