ランサムウェアの最新事例を通じて、その脅威と対策方法を詳細に解説します。
ランサムウェアによるサイバー攻撃の脅威は、ますます深刻化しています。毎年、多くの企業がランサムウェアの被害に遭い、業務の停止や莫大な復旧費用を強いられているのが現状です。
もし、適切な対策を取らずに放置すれば、自身の企業も被害を受けるかもしれません。重要なデータが暗号化され、業務が停止し、顧客情報が流出することで、企業の信用は失墜し、多額の身代金を支払う事態に陥る可能性があるでしょう。
本記事では、ランサムウェアの最新事例を通じて、その脅威と対策方法を詳細に解説します。実際の被害状況や復旧のプロセスを知ることで、事前に適切な対策を講じる手助けとなるでしょう。
ランサムウェアの概要
ランサムウェアは、マルウェアの一種であり、感染したコンピュータのファイルを暗号化し、その解除のために身代金を要求する攻撃です。この攻撃は、個人のパソコンから大企業のネットワークに至るまで幅広く行われています。特に、業務に不可欠なデータやシステムを狙うことで、攻撃者は被害者からの支払いを強要します。
ランサムウェアの感染経路は多岐にわたり、今もさまざまな経路での感染が増加中です。代表的な手法としては、フィッシングメールによる感染があります。これらのメールは、一見すると正当な送信元からのものに見えますが、添付ファイルやリンクを開くとマルウェアがダウンロードされる仕組みです。
また、不正なウェブサイトを訪問することで感染するケースもあります。攻撃者は、人気のあるウェブサイトを改ざんし、訪問者にマルウェアをダウンロードさせる手法を使うことがあります。
最近のトレンドとしては、「二重恐喝型ランサムウェア」が増加しています。この手法では、データの暗号化に加え、盗んだデータを公開することで二重に身代金を要求するものです。これにより、被害者は単なるデータの復旧費用だけでなく、データの漏洩による信用の失墜を防ぐための追加支払いを余儀なくされます。
ランサムウェア攻撃の脅威は年々増加しており、特に企業にとっては重大なリスクとなっています。被害を最小限に抑えるためには、定期的なバックアップの実施や最新のセキュリティパッチの適用、そして従業員へのセキュリティ教育が欠かせません。
ランサムウェアの3つの被害事例
ここでは、実際にあったランサムウェアの被害事例を3つ解説します。
【事例】総合医療センター
2022年に、総合医療センターがランサムウェアの攻撃を受けました。このインシデントにより、同センターは診療システムに大きな障害を受け、通常の診療業務が停止する事態となりました。
感染経路
ランサムウェア攻撃の直接的な原因は、医療療センターに出入りしている外部事業者のVPN機器に存在する脆弱性でした。この脆弱性を悪用し、攻撃者はリモートデスクトッププロトコル(RDP)を通じて外部事業者のサーバに侵入。感染当初は、外部事業者とのRDP接続は不要であったにもかかわらず、常時接続状態にあったため、攻撃の隙を突かれました。
さらに、医療センターでは、関連するサーバー間でIDとパスワードが共通であったため、攻撃者は簡単に他のシステムへも侵入することができました。最終的に、ランサムウェアはセンター内の複数のサーバーに感染し、ウイルスソフトをアンインストールした後、ランサムウェアをインストールしていったといいます。
具体的な被害状況
攻撃により、外部事業者のシステムが最初に侵入され、その後、他の重要なシステムへと感染が広がりました。特に、電子カルテシステムやその他の医療情報システムが暗号化され、診療業務が大きく制限されたといわれています。また、システムが機能しない状態が続いたため、緊急以外の手術や外来診療が停止され、大きな影響を受けてしまいました。
この攻撃により、医療センターは診療データの閲覧や新しい診療記録の入力ができなくなり、業務がほぼ停止状態に。影響は患者の診療だけでなく、病院の運営全体にも及んだ大きなインシデントです。
対処された方法と結果
攻撃を受けた後、医療センターはRDPの常時接続を廃止し、クラウドベースの情報交換システムへと移行しました。これにより、セキュリティリスクを大幅に軽減することができました。
また、脆弱性のアップデート、パスワードポリシーの見直し、権限の見直しなど、基本的なセキュリティ対策を徹底的に実施するような運用にしていったのです。
診療記録文書統合管理システム(DACS)や医用画像管理システム(PACS)がランサムウェアの感染を免れたため、これらのシステムを活用して予定手術の再開や診療情報の提供を早期に再開できたといいます。復旧作業は迅速に進められ、最終的に約2カ月後に完全復旧を果たしたようです。
【事例】公立病院
2021年に、公立病院がランサムウェア攻撃を受け、電子カルテをはじめとする多くのシステムがダウンしました。攻撃の影響で、外来診療や病院業務が大きく制限され、通常診療の再開まで約2カ月を要しました。
感染経路
ランサムウェア攻撃の感染経路は、病院が導入していたVPN装置の脆弱性を悪用したものでした。具体的には、VPN装置(FortiGate 60E)の脆弱性(CVE-2018-13379)が狙われ、システム管理者のIDとパスワードがダークウェブ上で公開されていたため、攻撃者がこれを利用して侵入したのです。この脆弱性を通じて攻撃者は病院内のネットワークにアクセスし、重要なシステムにランサムウェアを仕掛けることが可能となりました。
具体的な被害状況
攻撃の結果、病院では電子カルテシステムが利用不可となり、医事サーバーもダウンしました。これにより、外来診療や患者の会計処理ができない状態となり、診療業務全般に大きな支障をきたしてしまったのです。また、暗号化されたデータの復旧には多額の費用がかかり、病院の運営に深刻な影響を与えました。
対処された方法と結果
病院は、まずバックアップデータを使用してシステムの再構築を試みましたが、全データの復旧は不可能でした。そのため、外部の専門修復会社にデータの復旧を依頼し、約3カ月後にはシステムの再稼働に至りました。
その後、病院はセキュリティ対策の重要性を再認識し、今後の再発防止策として、セキュリティポリシーの見直しやシステムの強化を図ることを決定。パスワードポリシーの改善、定期的な脆弱性のアップデート、VPNの使用制限などを行ったといいます。
【事例】スーパー
2022年、 あるスーパーの事例では、サイバー攻撃により基幹システムが停止しました。これにより、店舗や物流センター、事務所などのシステムが大幅に影響を受け、通常業務が停止する事態となりました。最終的にシステムの再構築に約2カ月を要したインシデントです。
感染経路
スーパーのシステムがランサムウェアに感染した原因は、基幹システムサーバーを始めとする複数のシステム機器が不明な第三者からのサイバー攻撃を受けたことでした。攻撃者は、VPN装置の脆弱性を悪用して内部ネットワークに侵入し、セキュリティソフトがネットワークを遮断するまでに多数のシステムに感染させました。さらに、侵入後はVPNを通じて他のシステムへも感染を広げ、ネットワーク全体に大きな被害をもたらしたのです。
具体的な被害状況
この攻撃により、POS(販売時点情報管理)レジや商品の受発注に使用する端末がネットワークに接続できなくなりました。さらに、複数の店舗や本部、物流センターではプリンターが勝手に大量の印刷を始め、その中にはランサムウェアであることを示唆する「犯行声明」が英語で印字されていたといいます。
商品配達が停止し、顧客サービスが大幅に制限されました。特に、無店舗営業や配達業務にも影響が及び、顧客へのサービス提供が困難な状況に陥りました。
対処された方法とその結果
スーパーは、最終的に身代金を支払わずに、過去のバックアップデータを利用してシステムの復旧を試みました。専門の復旧会社に依頼し、システムをゼロから再構築する作業を行ったのです。
この過程で、ソースコードからの再構築が必要となり、完全な再稼働までに約2カ月を要しました。また、インシデントの詳細や進捗状況を顧客に対して透明性を持って報告し、信頼の回復に努めました。
復旧作業後、再発防止策としてセキュリティポリシーの見直しや定期的な職員教育を徹底し、システムの強化を図っているといいます。具体的には、外部からの不正アクセス防止策やリモート接続時の多要素認証の導入、バックアップのセキュリティ強化などが行われています。
ランサムウェアに感染してしまったらやるべきこと
ランサムウェアに感染してしまった場合、迅速かつ冷静に対応することが重要です。以下の手順に従い、被害を最小限に抑えるための対策を講じましょう。
ネットワークから隔離する
感染が確認されたデバイスは、ただちにネットワークから切り離す必要があります。これにより、ランサムウェアが他のデバイスへと広がるのを防ぎます。物理的にネットワークケーブルを抜く、Wi-Fiを切断する、またはネットワーク管理ツールを使用してソフトウェア的に隔離する方法が効果的です。
ネットワークからの隔離は、感染の拡大を防ぐための最初のステップです。特に企業環境では、迅速な対応が求められます。感染したデバイスがサーバーや他の重要なシステムに接続されている場合、感染を続けることで大きな被害につながる可能性が高いです。
隔離後は、影響を受けたシステムを詳細に確認し、感染の範囲を特定することが次のステップとなります。物理的な隔離だけでなく、ソフトウェアによるネットワーク分断も有効です。これにより、他のデバイスへの感染を防ぎ、被害を最小限に抑えられるでしょう。
関係各所への連絡
ランサムウェアの感染は多くの場合、法的な報告義務を伴います。適切な規制当局や警察への報告は、法的な要件を満たすだけでなく、他の組織への警告にもなります。また、社内のIT部門や上層部に速やかに報告し、専門のセキュリティ会社やフォレンジック調査の専門家への連絡も大切です。
感染が確認された場合、すぐに社内外の関係者に連絡を取る必要があります。また、セキュリティ会社やフォレンジック調査の専門家への連絡は、迅速な復旧と再発防止策の策定に不可欠です。彼らの専門知識を活用することで、感染の原因や範囲を特定し、効果的な対策を講じることができます。
フォレンジック調査の実施
フォレンジック調査を通じて、どのようにしてランサムウェアが侵入したかを特定します。調査では、ログファイルの解析やマルウェアの挙動の追跡が行われ、侵入経路や被害の範囲を明らかにしていきます。
フォレンジック調査は、ランサムウェアの感染源を特定し、被害の範囲を評価するための重要な手段です。調査結果に基づき、セキュリティ対策を見直し、強化することも可能です。具体的には、脆弱性の修正、セキュリティポリシーの更新、従業員教育の強化などが挙げられます。これにより、再発防止のための体制が整い、将来的な攻撃に対する準備が整います。
ランサムウェアの対策ならアリババクラウドの「セキュリティセンター」がおすすめ
アリババクラウドの「セキュリティセンター」は、最先端のビッグデータ技術を活用し、多様なサイバー脅威からの保護を提供します。
このセキュリティセンターは、ランサムウェアやウイルス、ウェブサイトの改ざんなど、幅広い攻撃に対する対策を提供します。また、セキュリティ管理の運用コストを削減しつつ、法規制のコンプライアンス要件を満たす支援を行うことが可能です。
セキュリティセンターには250を超える脅威検出モデルと複数のウイルススキャンエンジンが搭載されており、全てのユーザーが直面する可能性のあるセキュリティリスクに対処します。これにより、ユーザーは常に最新の脅威から保護される環境を維持できます。
セキュリティセンターは、無料版からエンタープライズ向けのプロフェッショナル版まで、さまざまなニーズに応じたオプションが用意されており、どんな規模の組織にも柔軟に対応する設計です。
さらに、セキュリティセンターはWebアプリケーションファイアウォール(WAF)やDDoS攻撃防止、証明書管理サービスなどの追加機能を提供し、総合的なセキュリティ対策を実現します。これにより、企業は全体的なセキュリティ強度を高め、コンプライアンス要件を満たせるでしょう。
このように、アリババクラウドの「セキュリティセンター」は、企業が直面する多様なサイバー脅威に対する包括的なソリューションを提供し、ビジネスのセキュリティとコンプライアンスを強化するための強力なツールとなります。
常にランサムウェアの対策を意識しよう
ランサムウェア対策は一度だけ行うのではなく、継続的に意識することが重要です。対策の有効性を保つためには、定期的なセキュリティ診断や従業員への訓練が不可欠です。例えば、標的型メール訓練を定期的に実施することで、従業員のセキュリティ意識を高めることができます。
また、セキュリティポリシーの見直しや最新の脅威に対応するための対策を常に更新すること欠かせません。セキュリティソフトの更新やネットワーク監視の強化など、日常的な対策を怠らないようにしましょう。
さらに、クラウドサービスを利用する場合は、クラウドセキュリティのベストプラクティスを遵守し、定期的にセキュリティ評価を行う必要があります。
こうした取り組みを継続することで、ランサムウェアの脅威から組織を守り、セキュリティリスクを最小限に抑えられます。組織全体でセキュリティ意識を高め、定期的なトレーニングと対策の見直しを行いましょう。