近年、「ランサムウェア攻撃」の存在感が増しています。日本国内でもその脅威は確実に迫っており、大阪にある某医療センターがランサムウェア攻撃の被害に遭ったことは記憶に新しいです。本記事では、ランサムウェアの概要を説明したのちに、感染経路として最も多いVPNで行える対策についてご紹介します。

VPNに関する詳細はこちらの記事をご覧ください。
「VPNとは？〜VPNの概要と課題〜」

ランサムウェアとは

ランサムウェアは、身代金を意味する「Ransom」と「Software」を組み合わせた造語で、マルウェアの一種になります。
もし、ランサムウェアに感染してしまうと、パソコン内のデータを暗号化され、利用不可能な状態になります。それを解除する際、身代金が請求されます。ランサムウェアによって暗号化されたファイルを元に戻すのは困難な上、身代金を払ったとしても解消される保証はありません。つまり、企業活動に必要な書類が使えなくなってしまい、業務の継続が難しくなります。実際、ランサムウェアに感染してしまい、工場操業や事業活動を停止した企業は多く存在します。
以上の理由から、ランサムウェアへの対策は特に重要だと言えるでしょう。

ランサムウェアの感染経路とは

企業のサーバーがランサムウェアに感染する主な経路は3つあります。ここでは、3つの経路について紹介します。

VPNなどのネットワーク経由

何らかの手段で手に入れたログイン情報（IDとパスワードなど）を使い、VPNなどのネットワークに侵入することで感染するケースがあります。VPNとは、インターネットを使ってデータを暗号化し、プライベートな通信を提供するサービスです。企業間通信や個人のプライバシー保護などに利用されます。 

不審なメールのURLや添付ファイル経由

古典的な手法ですが、興味が湧くようなURLやファイルのダウンロードによって感染してしまうケースです。この場合、従業員への教育が大切になります。

Webサイト経由

Webサイトもランサムウェアの感染経路になります。ドライブバイダウンロードというサイバー攻撃の手法により、サイトにアクセスするだけでランサムウェアに感染してしまうことが発生しています。ドライブバイダウンロード攻撃が行われるのは怪しいサイトだけでなく、本来は正常な企業のサイトが改ざんされたページを閲覧してしまい、感染してしまうケースもあります。

国内のランサムウェアの感染状況

警察庁によると、2023年の1年間で、197件のランサムウェア被害が報告されています。

ランサムウェア被害の企業・団体等の規模別報告件数

ランサムウェアの被害企業・団体の内訳は以下の通りです。

このグラフからも分かる通り、大企業だけでなく、中小企業も被害を受けており、企業規模は関係ないという状況であることがわかります。

ランサムウェアの感染経路

続いて、ランサムウェアの感染経路の内訳は以下の通りです。

以上からも分かる通り、ランサムウェアの感染経路はVPN経由が過半数を占め、リモートデスクトップ経由も含めたネットワーク経由は約80％にのぼります。

この警察庁の統計から、企業規模に関わらず、ネットワーク経由によるランサムウェア対策を講じる必要が高まっていると言えます。

参考：警察庁『令和6年上半期におけるサイバー空間をめぐる脅威の情勢について』

ランサムウェアの国内感染例

警察庁のレポートからもわかる通り、ランサムウェア攻撃の国内被害は年々増加しています。世界的に見ても日本でのサイバー攻撃の拡大は深刻です。BlackBerry Japan株式会社の「グローバル脅威インテリジェンスレポート」によると、

2024年4月から6月の期間において、日本は世界で2番目にサイバー攻撃を受けていることがわかっています。 

参考： BlackBerry Japan株式会社『グローバル脅威インテリジェンスレポート　日本語版』 

これまで日本は言語の壁がありサイバー攻撃の標的にされにくいとの見解がありましたが、今ではセキュリティ対策の弱い企業が次々に標的にされてしまっています。「Emotet」の流行も日本がサイバー攻撃の標的にされる理由の一つとされています。

それでは実際の国内感染例をもとに、被害状況とその感染経路を見てみましょう。

病院が狙われたランサムウェア攻撃の被害例

岡山県のある病院では、2024年5月9日に電子カルテを含めた総合情報システムを運用する基幹システムがランサムウェア攻撃され、システムに障害が発生し、個人情報が漏洩しました。ダークウェブ上に総合情報システム内の共有フォルダが掲載されていたのです。共有フォルダには過去10年分の情報が保存されており、約4万人の氏名や住所・生年月日などの患者情報だけでなく、病棟会議の議事録も流出してしまいました。 

被害の原因として、機器の更新がされていなかったことが挙げられます。2023年6月に自治体病院の全国組織から、VPNの脆弱性に関する通知がありました。 この病院が利用しているVPNも脆弱性が指摘されていたため、業者と更新に向けての協議を行いましたが、進展がなく対応は後回しにされていました。その結果、ランサムウェア攻撃を受けてしまったのです。 

給食事業者を経由したサプライチェーン攻撃

攻撃者は病院の給食を管理していた、外部の給食事業者を経由したサプラーチェーン攻撃によって、病院内のサーバーへ侵入しました。まず初めにVPN装置の脆弱性を突き、給食センターのデータセンターへ侵入。そこから病院内の給食管理サーバへRDP通信（リモートデスクトップ通信）を使い侵入しました。また、給食管理サーバーと同じID／パスワードを使い回していた他のサーバーにも侵入を許し、電子カルテを含むシステム障害を引き起こしました。

この時、ウイルス対策ソフトはアンインストールされ、無効化されていました。

ランサムウェア感染を引き起こした原因・問題点

・ID／パスワードの使い回し
これにより、複数のサーバーへの侵入を許し被害の拡大を招きました。

・VPNのセキュリティ問題
VPNを含む機器のセキュリティパッチを常に最新にしておくことで、今回の被害を未然に防げた可能性があります。
ただし、ゼロデイ攻撃によりセキュリティパッチの修正前に攻撃をされた場合には対策は難しいです。近年では、VPNに代わる新しいセキュリティ対策としてZTNA（ゼロトラストネットワークアクセス）という考え方が提唱されています。こちらについては後述しますのでそちらをご覧ください。

・RDP通信の必要性
後の調査では、給食センターからのRDP通信は実際の業務では使用していないことが判明しました。もちろん、RDP通信機能自体は、リモートワークや拠点間通信において大変便利な機能ではあります。しかし導入する際はセキュリティリスクを考慮した上で、本当に必要な機能なのか、通信の安全性は問題ないか検討する必要があります。

セキュリティ意識の低さ：「閉域網神話」の存在

上述の通り、ランサムウェア感染を引き起こした原因・問題点は、ID／パスワードの使い回しやセキュリティパッチの未更新など非常に基本的なセキュリティ対策の怠りによるものです。ではなぜこの基本的なセキュリティ対策が実施されていなかったのでしょうか。その要因の一つと考えられる「閉域網神話」の存在について解説します。

閉域網神話とは、閉域網（インターネット接続から完全に分離し、外部から直接アクセスすることができない通信ネットワーク）の中であれば、外部からの攻撃を全て防ぐことができる、という考えに基づいています。そのため「閉域網の中にある機器に対して十分なセキュリティ対策を行わなくても、外部から攻撃されることは無いから問題ないだろう」という思考になっていたと推測されます。特に病院などの医療業界では、この考え方が浸透しており、情報システム管理に十分なリソースを割くことができていないのが現状です。

しかし実際には、完全な閉域網の実現はほとんど不可能です。例えインターネット接続からの完全な分離を実現したとしても、そこに人の出入りがある限り、USBデバイスなどの機器から外部との接続は可能になります。先の例でも、実際に給食センターからのRDP通信が行われており、外部との接続が常時可能になっていました。

「病院の中は閉域網になっているから安全だ」という思い込みから、誤った「閉域網神話」の認識が生じ、結果として初歩的なセキュリティ対策を怠るという事態に陥ったのです。
このセキュリティ意識を改め、対策の必要性を認識しなければ、医療業界に限らず今後も同様のランサムウェア攻撃の被害は続くと考えられます。

ランサムウェア感染への対策

以上のように、国内でのランサムウェア被害、特にネットワーク経由による被害が非常に増えています。ここでは、その対策方法についてご紹介します。

初歩的なセキュリティ対策の実施

・ID・パスワードの使い回しをせず、複雑なものを設定する。
・機器のセキュリティパッチを常に最新のものにアップデートする。

この二つを実施するだけで、ランサムウェア被害を未然に防ぐ、または被害の拡大を抑える効果があります。
ID・パスワードを複雑に設定することでシステム利用者の負担の増加が不安な方は、SSO（シングルサインオン）の導入をお勧めします。利用者は一つのID・パスワードを覚えておけば複数のサービスを利用でき、業務効率化とセキュリティ対策を実現します。

SSOに関する詳細はこちらの記事をご覧ください。
「シングルサインオン(SSO)とは何か？」今さら訊けないSSOの解説

多要素認証（MFA）を必須にする

ほとんどのネットワーク経由の場合、IDとパスワードのみの認証が原因で感染していると考えられます。そこで、IDとパスワードだけでなく、生体認証なども使用する多要素認証の導入が1つの対策となります。これにより、業務に関連する人のみが認証される可能性が高くなり、ランサムウェアの感染リスクを抑えることができます。多要素認証の導入により、アカウント侵害攻撃の99.9%を防ぐことができると言われています。実際、SalesforceがMFAを必須化しており、効果的な対策方法と言えるでしょう。

多要素認証に関する詳細はこちらの記事をご覧ください。
「多要素認証（MFA）とは｜メリット、デメリットについて解説」

ゼロトラストへの移行（ZTNAの導入）

VPNを中心とした境界線防御モデルから、ゼロトラストモデルへの移行も効果的な対策と言えるでしょう。閉域網の中であれば安全という考え方ではなく、情報資産一つ一つを守るゼロトラストの考え方をもとにした、ZTNA（ゼロトラストネットワークアクセス）を導入し、リモートアクセスに対する認証や認可を強化することで、不審者が侵入することを防ぐだけでなく、企業のネットワーク全体にダメージが及ばないようにすることもできます。

ゼロトラストやZTNAに関する詳細はこちらの記事をご覧ください。
「ゼロトラストモデルとは」
「ZTNA（ゼロトラストネットワークアクセス）とは？」

まとめ

今回の記事では、ランサムウェアの概要や感染経路、それに対する対策についてご紹介しました。より情報化社会が進む現代において、ランサムウェアへの対策は急務となっています。多要素認証やZTNAの導入などは、一朝一夕でできるものではありません。時間をかけ、しっかりとした段階を踏む必要があります。
そういったお客様に対して、かもめエンジニアリングでは、ゼロトラスト接続サービスKeygatewayC1をはじめとしたソリューションを提供しております。些細なご相談などで構いませんので、お気軽に下記フォームよりお問い合わせください。