ランサムウェアとは何か
ランサムウェアとは、感染したコンピュータ上のファイルを暗号化し、復号と引き換えに身代金(Ransom)を要求するマルウェアの一種です。2017年に世界150カ国以上に感染が拡大した「WannaCry」や、国内でも複数の病院・製造業を直撃した「LockBit」など、その被害は年々深刻さを増しています。
IPAが毎年発表する「情報セキュリティ10大脅威」でも、ランサムウェアによる被害は組織部門において複数年にわたり1位を獲得し続けています。もはや「大企業だけの問題」ではなく、中堅・中小企業、医療機関、自治体を含むあらゆる組織が標的になりうる時代です。
この記事では、ランサムウェアの仕組みと感染経路を正確に理解したうえで、エンジニアとして組織を守るために何をすべきかを具体的に解説します。
ランサムウェアの攻撃フロー
現代のランサムウェア攻撃は、単にウイルスをばらまくだけでなく、APT(Advanced Persistent Threat)的な手口を組み合わせた高度なオペレーションになっています。感染から身代金要求までの一般的な流れは次のとおりです。
| フェーズ | 攻撃者の行動 | 目的 |
|---|---|---|
| 初期侵入 | フィッシングメール、VPN脆弱性の悪用、RDPへの総当たり攻撃 | 組織への足がかりを作る |
| 潜伏・偵察 | Active Directoryの調査、管理者権限の奪取 | 被害を最大化する準備 |
| 横移動 | PsExec、WMI、正規の管理ツールを悪用した拡散 | バックアップサーバーを含む全システムへの到達 |
| データ窃取 | 機密ファイルのC2サーバーへのアップロード | 「二重脅迫」のための材料収集 |
| 暗号化実行 | AES+RSAによるファイル暗号化、バックアップの削除 | 被害者を交渉の場に追い込む |
| 脅迫 | 身代金要求メッセージの表示、専用サイトでのデータ公開予告 | 身代金の支払いを促す |
特に注目すべきは「潜伏期間」の長さです。侵入から暗号化実行まで数週間から数ヶ月かけるケースが多く、その間に攻撃者はバックアップの場所を特定して無効化します。バックアップさえ無事なら復旧できると考えていた組織が、バックアップごと暗号化されて途方に暮れる事例は後を絶ちません。
二重脅迫・三重脅迫という最新手口
かつてのランサムウェアはデータを暗号化するだけでしたが、現在主流となっているのは「二重脅迫(Double Extortion)」です。暗号化に加えて、事前に盗み出した機密データを公開すると脅すことで、「バックアップから復旧できても、データ漏洩の損害は防げない」という状況を作り出します。
さらに「三重脅迫」では、被害組織の顧客や取引先にも直接連絡を取り、プレッシャーをかけることがあります。2021年にフィンランドの精神科クリニックが攻撃を受けた際、患者のカウンセリング記録を盗まれた患者個人に直接脅迫メールが届くという事態が発生し、社会的に大きな衝撃を与えました。
身代金の支払いには暗号資産(主にMoneroやBitcoin)が要求されます。支払ったからといって確実にデータが戻るわけではなく、FBIや警察庁は支払いを推奨していません。支払いが攻撃者の活動資金となり、次の攻撃を生む悪循環を助長するからです。
主な感染経路と具体的な対策
フィッシングメール
依然として最も多い感染経路です。請求書や配送通知に偽装したメールに添付されたファイル(ExcelマクロやパスワードつきZIP)を開くことで感染します。
対策として有効なのは、メールセキュリティゲートウェイによる添付ファイルのサンドボックス解析と、Office製品のマクロの実行を原則禁止にするグループポリシーの適用です。また、全従業員に対する定期的なフィッシング訓練も、人的な防御力を高めるうえで欠かせません。
VPNやRDPの脆弱性
リモートワーク普及に伴い、VPN機器やRDP(リモートデスクトッププロトコル)を踏み台にした侵入が急増しています。パッチが当たっていない古いVPN製品(Fortinet、Pulse Secure、Citrixなど)の脆弱性を突いた攻撃は、特定の脆弱性番号(CVE)が公開された直後から観測されます。
対策は「パッチ適用の迅速化」と「インターネットに露出する管理インターフェースの最小化」です。RDPを直接インターネットに公開することは絶対に避け、必要な場合はVPNやZTNA経由に限定し、さらにMFAを必須にします。
サプライチェーン攻撃
近年急増しているのが、ソフトウェアのサプライチェーンを経由した攻撃です。2021年のKaseya VSA事件では、IT管理ソフトのアップデート機能を悪用して1,500社以上に一斉感染が広がりました。直接の取引先が被害を受け、その管理ツール経由で自社が感染するという間接的な攻撃であるため、自社単独での完全な防御は難しいのが現実です。
利用しているサードパーティ製品のセキュリティ情報をウォッチし、異常なネットワーク通信をSIEMで検知できる体制を整えることが重要です。
エンジニアが実装すべき具体的な防御策
バックアップの「3-2-1ルール」を守る
ランサムウェア対策の根幹はバックアップです。業界標準の「3-2-1ルール」は次のとおりです。
- 3つのコピーを保持する(本番データ+バックアップ2つ)
- 2種類の異なるメディアに保存する(例:ローカルHDD+クラウドストレージ)
- 1つはオフサイト(別の場所)に保管する
特に重要なのは、バックアップをオンラインのネットワークから切り離すこと(エアギャップ)です。ネットワーク接続されたバックアップは攻撃者に到達されたら終わりです。クラウドストレージのバージョニング機能(S3のObject Lock、Azure Blob Storageのimmutable storageなど)を活用して、バックアップを不変(イミュータブル)にする設計が有効です。
EDRの導入とアラート対応体制の整備
従来型のウイルス対策ソフト(シグネチャベース)は、新しいランサムウェアの亜種には対応できません。振る舞い検知を行うEDR(Endpoint Detection and Response)の導入が現在のスタンダードです。CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOneなどが代表的なソリューションです。
ただし、EDRを導入するだけでは不十分です。検知したアラートに即座に対応できるSOC体制、もしくはMDR(Managed Detection and Response)サービスとの契約が必要です。アラートが鳴っても確認するまでに数時間かかる体制では、横移動を許してしまいます。
ネットワークのセグメンテーション
感染が発生したとしても、被害を局所化するためのネットワーク分離が重要です。業務システム、バックアップシステム、OT(制御系)ネットワークを論理的・物理的に分離し、セグメント間の通信を最小限に制御します。特にバックアップサーバーへのアクセスは、バックアップ専用の管理ネットワークに限定し、一般の業務ネットワークからは到達できない設計にすべきです。
インシデント発生時の初動対応
万が一感染が疑われる場合、慌てて再起動したり、感染端末を社内LAN上に残したりすることは被害を広げます。初動として最初にすべきことはネットワークからの隔離です。物理的にLANケーブルを抜き、Wi-Fiを無効にして、他のシステムへの横移動を食い止めます。
その後、インシデントレスポンス計画に従い、経営層・法務・広報・外部のセキュリティベンダーへの連絡を進めます。国内では警察庁サイバー犯罪相談窓口やIPAへの報告も選択肢です。感染端末のメモリダンプやログはフォレンジック調査に必要なため、電源を落とす前に取得できる状態を保つことも意識しましょう。
まとめ
ランサムウェア攻撃は、技術的な巧妙さと心理的な圧力を組み合わせた、現代における最も深刻なサイバー脅威のひとつです。「感染しないこと」を目指しつつも、「感染したとしても事業を継続できること(サイバーレジリエンス)」を設計の軸に据えることが重要です。
バックアップの整備・EDRの導入・ネットワーク分離・MFAの徹底——これらは地味に見えますが、現実の攻撃を防ぐ最も確実な手段です。今日から一つずつ確認してみてください。