ランサムウェア(ランサムウェア)とは | 意味や読み方など丁寧でわかりやすい用語解説
ランサムウェア(ランサムウェア)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。
読み方
日本語表記
ランサムウェア (ランサムウェア)
英語表記
ransomware (ランサムウェア)
用語解説
ランサムウェアとは、悪意のあるソフトウェアの一種で、感染したコンピューターシステムやネットワーク上のデータを暗号化し、利用できない状態にする。そして、その暗号化を解除するために金銭(身代金)を要求する攻撃の総称である。名称は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語だ。標的は個人だけでなく、企業、政府機関、医療機関など多岐にわたり、世界中で深刻な被害を引き起こしている。ランサムウェア攻撃を受けると、業務の停止、重要なデータの損失、顧客や取引先からの信頼失墜、さらには莫大な復旧費用や身代金の支払い要求といった形で、甚大な経済的・社会的損害が発生する可能性がある。
ランサムウェアの攻撃は、複数の段階を経て実行されるのが一般的だ。まず、システムへの侵入経路として、最も多いのがフィッシングメールである。これは、正規の組織を装ったメールに悪意のある添付ファイル(実行ファイル、マクロを仕込んだ文書ファイルなど)や不正なリンクが含まれており、ユーザーがそれらを開くことでマルウェアが実行される。また、OSやアプリケーション、ネットワーク機器の脆弱性を悪用して、外部から直接侵入を試みるケースも多い。特に、公開されているリモートデスクトッププロトコル(RDP)の認証情報を窃取したり、ブルートフォースアタック(総当たり攻撃)でパスワードを破ったりして侵入される事例が頻発している。その他、不正なWebサイトを閲覧するだけでマルウェアがダウンロードされるドライブバイダウンロードや、サプライチェーンを介した攻撃、広告ネットワークを悪用するマルバタイジングなども感染経路となる。
システムへの侵入に成功したランサムウェアは、まず権限昇格を行い、システム内でより高いアクセス権限を獲得しようとする。次に、ネットワーク内の偵察を行い、他のコンピューターやサーバー、重要なデータが保管されているストレージなどを特定し、感染を拡大する「横展開」を試みる。この段階で、単にデータを暗号化するだけでなく、重要なデータを外部のサーバーに窃取する手口も増えている。これは、暗号化に加え、窃取したデータを公開すると脅迫する「二重脅迫」と呼ばれるもので、被害組織に身代金を支払わせる圧力をさらに高める。最終的に、ランサムウェアは標的としたシステム内のファイル、データベース、さらにはシステム全体の機能を暗号化し、アクセス不能にする。暗号化が完了すると、通常は身代金要求のメッセージが表示される。このメッセージには、支払い方法(多くの場合、匿名性の高い仮想通貨が指定される)、支払い期限、そして支払わなければデータが永久に失われる、あるいは公開されるといった脅し文句が記されている。
ランサムウェアへの対策は、何よりも「予防」と「被害の最小化」が重要となる。予防策としては、まずOSやアプリケーション、セキュリティソフトを常に最新の状態に保ち、既知の脆弱性を解消することが不可欠だ。使用するソフトウェアのパッチ適用は自動化するなどして徹底するべきである。また、セキュリティソフト(ウイルス対策ソフト、EDR:Endpoint Detection and Responseなど)を導入し、定期的にスキャンを実行し、怪しい挙動を検知・ブロックする体制を整える必要がある。パスワードは強力なものを設定し、多要素認証を導入することで、不正アクセスに対する耐性を高める。従業員へのセキュリティ教育も極めて重要で、不審なメールや添付ファイル、リンクを開かないよう徹底させる訓練を継続的に行うべきである。ネットワークにおいては、重要なシステムを外部ネットワークから隔離するセグメンテーションを実施し、攻撃の横展開を防ぐ。侵入検知システム(IDS)や侵入防御システム(IPS)、ファイアウォールなども有効な防御壁となる。
万が一、ランサムウェアに感染してしまった場合の被害を最小限に抑えるためには、定期的なバックアップが最も効果的な対策となる。特に、バックアップデータはネットワークから物理的に隔離された場所(オフライン)や、アクセス制御が厳重な別のストレージに保管することが重要だ。これにより、ランサムウェアがバックアップデータまで暗号化してしまうことを防げる。身代金の支払いについては、一般的に推奨されない。支払ってもデータが必ず復元される保証はなく、攻撃者を助長することにつながり、さらには再度攻撃を受けるリスクも存在するからだ。そのため、感染が確認された際には、速やかに感染経路を特定し、システムをネットワークから切断して被害の拡大を防ぎ、事前に策定した復旧計画に基づき、バックアップデータからの復元作業を進めることが求められる。緊急時のインシデントレスポンス体制を確立し、迅速に対応できる準備をしておくことも重要だ。
近年のランサムウェアの動向としては、RaaS(Ransomware as a Service)と呼ばれるサービスが増加しており、専門知識を持たない者でもランサムウェア攻撃を実行しやすくなっている。また、前述した「二重脅迫」に加えて、データ暗号化とデータ公開の脅迫に加え、標的企業の顧客や取引先への情報漏洩通知、DDoS攻撃などを用いて多角的に圧力をかける「三重脅迫」も出現している。さらに、特定の業種やサプライチェーン全体を狙う標的型攻撃が高度化しており、単なる個人の注意だけでは防ぎきれない組織的な対策が不可欠となっている。システムエンジニアを目指す者にとって、ランサムウェアは常に変化し続ける脅威であり、その手口や対策に関する知識を常に更新し、堅牢なシステムを構築・運用するスキルを身につけることが求められる。