ランサムウェアとは
ランサムウェアは、感染した端末やサーバーのデータを暗号化し、復号と引き換えに身代金(ランサム)を要求するマルウェアです。近年は暗号化に加えて「データを公開する」と脅す二重脅迫型が主流になっています。
主な攻撃手法と感染経路
| 感染経路 | 割合 | 手口 |
|---|---|---|
| VPN機器の脆弱性 | 約50% | パッチ未適用のVPN機器経由で社内ネットワークに侵入 |
| リモートデスクトップ(RDP) | 約20% | インターネットに公開されたRDPに総当たり攻撃 |
| フィッシングメール | 約15% | 悪意のある添付ファイルやリンクを開かせる |
| サプライチェーン | 約10% | 取引先やソフトウェアベンダー経由での侵入 |
中小企業への影響
- 事業停止:平均復旧期間は2〜4週間。売上・信用の大幅な毀損
- 復旧コスト:身代金の有無に関わらず、調査・復旧に数百万〜数千万円
- 情報漏洩:二重脅迫型では顧客・取引先の情報が公開されるリスク
- 廃業リスク:中小企業のランサムウェア被害後の廃業率は低くない
防御策:感染を防ぐ
| 対策 | 内容 | 優先度 |
|---|---|---|
| VPN機器のパッチ適用 | ファームウェアを最新に保つ。ゼロデイ情報の監視 | 最優先 |
| MFA(多要素認証) | VPN、RDP、M365、SaaSのすべてにMFAを適用 | 最優先 |
| RDPの制限 | インターネットへのRDP公開を禁止。VPN+MFA経由に限定 | 最優先 |
| メールセキュリティ | 添付ファイルのサンドボックス検査、URLの書き換え | 高 |
| 特権ID管理 | 管理者権限の最小化、PIM/PAMの導入 | 高 |
| 従業員教育 | フィッシング訓練の定期実施(年2回以上) | 高 |
検知策:早期発見する
- EDRの導入:端末の異常な振る舞い(大量のファイル操作、暗号化の兆候)を検知
- ネットワーク監視:C2通信(攻撃者サーバーへの通信)を検知
- ログの集約・分析:SIEM/ログ分析基盤でイベントを相関分析
- アカウント異常の検知:通常とは異なる時間帯のログイン、大量のファイルアクセスを検知
復旧策:被害を最小化する
- オフラインバックアップ:ネットワークから切り離された場所にバックアップを保持(3-2-1ルール)
- イミュータブルバックアップ:書き換え不可能なバックアップストレージの利用
- インシデント対応計画:検知→報告→隔離→復旧→再発防止の手順を事前に策定
- 復元テスト:四半期に1回、バックアップからの実際の復元を検証
- サイバー保険:復旧コスト、逸失利益、第三者賠償をカバー
身代金を支払うべきか
原則として身代金の支払いは推奨されません。理由は以下の通りです。
- 支払っても復号キーが提供される保証がない(約20%は復号に失敗)
- 支払いが次の攻撃の資金源となる
- 「支払う企業」として再度標的にされるリスク
- 反社会的勢力への資金提供となる可能性
万が一の場合に備え、バックアップによる自力復旧を前提とした体制を構築することが最も重要です。
BTNコンサルティングの支援
ランサムウェア対策の設計(VPN/RDP対策、EDR導入、バックアップ設計)、インシデント対応計画の策定、従業員向けフィッシング訓練を支援します。
まとめ
ランサムウェア対策は「防御」「検知」「復旧」の3層で構成します。最優先はVPNパッチ適用、MFA導入、RDP制限の3つです。EDRによる早期検知とオフラインバックアップによる自力復旧体制を整え、インシデント対応計画を事前に策定しておくことが、被害最小化の鍵です。