ランサムウェアの対策を講じるうえで、侵入の方法や感染経路を知っておくことは重要です。

とくに企業では、ランサムウェアの感染が重大なインシデントを引き起こす可能性があるため、必要に応じたセキュリティの強化が求められます。

そこで今回は、ランサムウェアの感染経路を解説します。侵入を防ぐ方法や、感染経路の特定方法も紹介しているので、あわせてご覧ください。

ランサムウェアの主な感染経路

画像出典：マルウェア｢ランサムウェア｣の脅威と対策（脅威編）｜警視庁

 

ランサムウェアによる被害は近年急増しており、さまざまな感染経路が報告されています。

警視庁が発表しているデータによると、企業・団体等ではVPN機器からの感染が最も多く、リモートデスクトップがこれに続くなど、現代のビジネスシーンに欠かせないツールが感染経路になっています。

このほか、メールの添付ファイルや外部記録メディアなど、業務で日常的に触れるものが原因になるケースも少なくありません。

まずは、多岐にわたるランサムウェアの感染経路を把握しておきましょう。

1位. VPN機器

前述のとおり、ランサムウェアの感染経路としては、VPN機器からの侵入が最も多く報告されています。

例えば、機器のログインに使用するIDやパスワードをデフォルトのままにしておくなど、設定ミスによって感染を許してしまうケースがあります。

また、アップデート対応の遅れや、古い機器の使用といった脆弱性の放置も、サイバー攻撃の標的になりやすい要因です。

さらに、VPN接続したネットワークの先にウイルス感染したコンピュータがある場合、VPNを介して他の端末にもランサムウェアが侵入する恐れがあります。

とくに、在宅勤務で使うコンピュータがランサムウェアに感染すれば、VPN経由で社内ネットワークにも広がりかねないため、十分な注意が求められます。

 

参考記事：VPNに潜む脆弱性｜トラブル事例や被害に遭わないための対策方法も解説 | 日本通信ネットワーク

2位. リモートデスクトップ

リモートデスクトップ経由によるアクセスも、ランサムウェア感染の代表的な要因のひとつです。

リモートデスクトップは、遠隔地にあるパソコンなどの画面を手元のデバイスから操作できる便利なツールですが、システムに不備があったりセキュリティが甘かったりすれば、その脆弱性を突いてシステムに侵入されかねません。

例えば、ブルートフォース攻撃（総当たり攻撃）によって弱いパスワードを突破された後、管理者権限を奪われてランサムウェアをインストールされるケースなどが報告されています。

こうした被害を防ぐには、強力なパスワードの設定、不要なアクセスの無効化、アクセス制御の強化が有効です。

3位. 不審メールやその添付ファイル

悪意のあるメールによる攻撃は、ランサムウェア感染の主要な感染経路です。

具体的には、受信者がランサムウェアの仕込まれた添付ファイルを開き、感染してしまうケースが目立ちます。

送信元アドレスやファイル名、拡張子などを巧妙に偽装して開封させ、マクロ機能を悪用してランサムウェアをダウンロード・実行させるのが一般的な手口です。

ランサムウェアの仕込まれたファイルは、WordやExcel、PDFなど、日常的によく利用されるファイル形式に偽装されており、見分けがつかないことも、被害が拡大する一因となっています。

このようなファイルを開いてしまうと、個人情報の漏洩をはじめとするトラブルに巻き込まれかねません。

また、メール本文に悪質なリンクが含まれている場合もあるため、不用意に添付ファイルを開いたり、リンクをクリックしたりしないよう注意する必要があります。

 

参考記事：企業のスパムメール対策を徹底解説｜受信時の対処法や事前対策を紹介

Webサイトの閲覧（ブラウジング）

Webサイトを閲覧（ブラウジング）しているときには、ランサムウェアが仕込まれたサイトにアクセスしてしまう可能性があります。

次のような場合には、とくに注意が必要です。

• URLに見慣れないドメインや文字列が含まれている
• 「あなたのパソコンがウイルスに感染しています！」のような広告が突然表示される
• 画面遷移が勝手に行われる

このようなWebサイトを閲覧、広告をクリックすることで、不正なスクリプトが実行され、自動でランサムウェアがダウンロードされる場合があります。

その後、デバイスがロックされ、「ランサムウェアを解除する」といった名目で金銭を要求されるのが一般的です。

サポートが終了したブラウザやプラグインがインストールされていると、これらのリスクがより高まるので気をつけましょう。

不正なソフトウェアやファイルのダウンロード

ランサムウェアは、ソフトウェアやファイルのダウンロードを通じて感染するケースも少なくありません。

特に、海賊版のコンテンツや非公式サイトから入手したプログラムは、マルウェアが仕込まれている可能性があるため危険です。

また、P2P型のファイル共有サイトからのダウンロードや、広告に紛れた偽のダウンロードボタンのクリックによって、感染しているケースもあります。

古いバージョンのOSやアプリはよりリスクを高めるため、ソフトウェアは信頼できる提供元から入手したうえで、常に最新の状態に保つことが感染予防になります。

外部記録メディア

ランサムウェアは、外付けハードディスクやUSBメモリなどの外部記録メディアを通じて、自社のコンピュータに侵入するケースもあります。

ウイルス感染したコンピュータにUSBメモリを接続してファイルをコピーした場合、そのUSBを使うことで別のデバイスにも感染するため注意が必要です。

感染した外部記録メディアを他のコンピュータに接続すれば、次から次へと広がっていき、ランサムウェアを拡散させてしまいます。

外部記録メディアは、不特定多数の人が使用する環境では使用を控え、安全が確保できる環境での使用を心がけましょう。

また、セキュリティソフトウェアでスキャンする、セキュリティ機能のあるUSBメモリを使うなどの対策を行ってください。

このほか、必要に応じて、業務パソコンへの外部メディア接続を制限するといった工夫も求められます。

ランサムウェアの感染経路を特定する方法

ランサムウェアは、巧妙に仕込まれるうえに感染経路が多岐にわたるため、経路の特定が困難です。

しかし、適切な調査と管理ツールなどを組み合わせることで、特定できる可能性が高まります。

ここでは、ランサムウェアの感染経路を特定する3つの方法を紹介します。

• システムログを分析する
• 受信メールの内容を分析する
• 外部記録メディアの使用状況を分析する

それぞれ見ていきましょう。

システムログを分析する

感染したコンピュータのアクティビティを分析することで、ランサムウェアの感染経路を特定できる場合があります。

例えば、「アプリケーションログ」「認証ログ」「ネットワークログ」「ファイアウォールログ」などを解析すると、次のような情報の特定が可能です。

• 暗号化されたファイルの操作履歴
• 不正なプロセスの実行履歴
• ランサムウェアによる通信の痕跡

 

分析の流れは次のとおりです。

1. ログ管理ツールなどを使用して、システムログ・アクティビティログなどの情報を収集
2. 収集したシステムログを解析し、システム上に不審な挙動を確認した場合に、その動きの原因を特定する

ただし、攻撃者によるログの改ざんや消去も想定されるため、システムログの分析はできるだけ早い段階で実施し、証拠保全を行うことが重要です。

受信メールの内容や添付ファイルを分析する

メールが感染源になった可能性を探る場合、以下のような方法で詳しく分析していきます。

• インシデント調査：ランサムウェアに感染したデバイスの特定をはじめ、感染状況の把握などの調査を行う
• 感染メールの絞り込み：感染したデバイスに対して、送受信されたメールを分析し、添付ファイルやリンクなどから原因を特定する
• 添付ファイルの分析：原因になった可能性の高いメールについて、添付ファイルの名前や拡張子を確認、リンクのURL、ドメイン、IPアドレスなどを調査する
• メールのヘッダーの分析：感染源と思われるメールに対して、ヘッダーの送受信先、日時などを調査する

また、調査においては、サンドボックスのように、隔離された安全な環境でファイルを開くといった配慮が必要です。

外部記録メディアの使用状況を分析する

外部記録メディアの使用状況を把握するためには、社内だけでなく、個人で使用していた媒体も、可能な限り回収することが求められます。

集めた中から、被害を受けたシステムに接続された外部記録メディアの記録などと照合し、感染源を特定しましょう。

また、そのメディア内のファイルを詳しく調査すれば、ランサムウェアに関連するファイルの絞り込みも可能です。

これにより、ランサムウェアの実行ファイルのほか、暗号化されたファイルなどを見つけられる可能性があります。

ただし、メディアの持ち込みに関するポリシーが不十分だと、感染源の特定が困難になります。

感染経路からランサムウェア侵入を防ぐための対策

ランサムウェアは、VPN機器やメールの添付ファイルなど、さまざまな感染経路を持っています。

そのため、それぞれの感染経路に応じた対策を講じなければ、侵入を防ぐことは難しいでしょう。

ここでは、ランサムウェアの侵入を防ぐための対策として、次の8つの手法を紹介します。

• UTMを導入する
• 不審なメールやWebサイトを開かない
• 外部記録メディアの使用を制限する
• 定期的にデータのバックアップをとる
• 多要素認証を活用する
• ツール・ソフトウェアの導入により監視体制を強化する
• システムやソフトウェアを定期的にアップデートする
• 従業員のセキュリティ教育を実施する

ひとつずつ見ていきましょう。

UTMを導入する

ランサムウェアの侵入、感染を防ぐために、まず検討したいのがUTMの導入です。

UTM（統合脅威管理）とは、複数の異なるセキュリティ機能を一つのハードウェアに統合し、集中的にネットワークを管理するシステムです。

現代の企業ネットワークは、脆弱性を攻撃してくるワームやウイルスなど、日々さまざまな脅威にさらされています。

こうした脅威に対抗するためには、一つのセキュリティ機能に頼らず、IDS/IPSやアンチウイルス、ファイアウォールなどを駆使し、総合的なセキュリティ対策が必要です。

複数の機能を別々に導入・管理するのでは、手間もコストもかかりますが、UTMを導入すれば、管理と運用負荷の低減、ネットワーク脅威管理の一元化が実現できます。

 

参考記事：UTM（統合脅威管理）とは？概要や主な機能、導入事例を解説

不審なメールやWebサイトを開かない

従業員を狙った攻撃メールや、偽のWebサイトを経由して感染するランサムウェアによる被害も多数報告されています。

これらは、本物と見分けがつきにくく、アンチウイルスソフトで検知できない未知のランサムウェアが使われるケースも珍しくありません。

そのため、メールの添付ファイルやリンクを不用意に開かないよう、社内での注意喚起と徹底した周知が求められます。

例えば、相手のメールアドレスが偽装されているケースも考えられるので、取引先などからのメールであっても、送信者本人に確認を取るといった対策が必要です。

また、あわせてフィッシングシミュレーションを実施し、従業員の意識向上を図るのも効果的です。

しかしながら、人為的ミスからの感染リスクを完全に排除するのは難しいため、ファイル共有の代替手段を整備するなど、メールに依存しない環境の構築も検討するとよいでしょう。

外部記録メディアの使用を制限する

社内では、許可された外部記録メディア以外の使用を禁止するルールを設けることが望ましいでしょう。

不特定多数の人が利用する、購入元が不明といった外部記録メディアは、ランサムウェアに感染している可能性が否定できません。

例えば、私物の外部記録メディアは使わず、社内で安全性が確認されたもののみを貸し出す運用方法にすると、安全性が高まります。

貸し出しの際に、使用目的や接続デバイスなどの情報を記録しておけば、外部記録メディアを経由した感染リスクを抑えられます。

どうしても個人所有のUSBメモリなどを利用しなければならない場合は、事前にウイルススキャンを義務付けるのも有効です。

また、外部記録メディアの使用が必須でない限り、ファイル共有にはファイルサーバーやクラウドストレージを利用するなど、より安全な代替手段への切り替えも検討しましょう。

定期的にデータのバックアップをとる

ランサムウェアへの感染を想定し、定期的なバックアップを実施することも忘れてはいけません。

万が一ランサムウェアに感染してしまった場合でも、定期的にバックアップを取得していれば、業務の継続や早期復旧が可能です。

しかし、バックアップデータやサーバーを標的にしたランサムウェア攻撃も存在しており、これを受けるとバックアップがあっても安全に復元できない可能性があります。

このようなリスクに備えるため、データの複製を複数用意するほか、磁気テープや光学ディスクなど、オフラインストレージを併用することも検討しましょう。

また、地理的に離れた場所（オフサイト）にバックアップを保管する手段として、クラウドストレージの活用も有効です。

多要素認証を活用する

多要素認証とは、アカウントへのログイン時に、次の3つのうち2つ以上の要素を使って認証を行うセキュリティ手法です。

• 知識情報（パスワード、秘密の質問など）
• 所持情報（スマートフォン、ICカードなど）
• 生体情報（指紋、虹彩など）

この認証方法を導入すれば、パスワードの入力だけでログインすることはできず、あわせてワンタイムパスワードや指紋、顔認証などが必要になります。

そのため、万が一ランサムウェアに感染して不正アクセスが仕掛けられ、ログイン情報が盗まれたとしても、それだけでシステムへアクセスするのは困難になります。

このように、多要素認証を導入することで、サイバー攻撃による情報の窃取や、データの改ざん、暗号化といったリスクを低減できるでしょう。

ツール・ソフトウェアの導入により監視体制を強化する

ランサムウェアは、侵入経路が多岐にわたるうえ複雑化しているため、侵入を防ぐためには総合的な監視が欠かせません。

専用のツールやソフトウェアを導入すれば、リアルタイム監視や定期スキャンで、自動的に感染リスクが高いマルウェアの侵入を検知・ブロックできます。

監視体制を強化するためのツールはさまざまですが、ランサムウェアの感染経路を考慮し、早期に異常を検知し、感染拡大を防ぐ体制を築くことが大切です。

例えば、サーバーやパソコンなどを監視して不審な動きを検知するEDR、Webサイトの閲覧や脆弱なサイトへのアクセスを監視するアクセス監視ツールなどが挙げられます。

なお、監視体制の強化にあたっては、ツールの導入だけでなく、インシデント対応計画の策定、運用方法の整備もしておきましょう。

異常が検出された場合の対応や、担当者ごとの監視範囲など、細かな運用ルールの策定が監視体制の強化に寄与します。

システムやソフトウェアを定期的にアップデートする

日々進化するウイルスに対応するには、最新の定義ファイルとエンジンが不可欠です。

安全を保てるよう、システムやソフトウェアを定期的にアップデートし、常に最新の状態にしておくことが求められます。

また、最新の脆弱性情報を継続的に収集し、提供されているセキュリティパッチ（更新プログラム）は速やかに適用してください。

とくに、ゼロデイ脆弱性が発表された直後は、攻撃が増える傾向にあるため、情報収集と迅速な対応が欠かせません。

OSやWebブラウザだけでなく、VPN機器などのファームウェアも含め、あらゆるシステムを最新に保つよう心がけましょう。

このほか、サポートが終了したハード・ソフトウェアについては、廃棄も視野に入れ、信頼性の高い製品への移行を検討するのも一案です。

従業員のセキュリティ教育を実施する

ランサムウェア対策では、従業員一人ひとりのセキュリティ意識を高めることも欠かせません。

技術的な防御策を講じていても、不審なメールを開封したり、怪しいリンクをクリックしたりすれば、感染リスクに晒されることになります。

日ごろから「どのような行動が危険か」「万が一感染したらどう対応するか」といった教育をしておくことが重要です。

次のような教育を通じ、従業員が自らリスクを察知し、適切に行動できる状態を整えましょう。

• 社内ルールの徹底
• 最新のインシデント事例の共有
• 初動対応の手順確認

定期的な座学研修はもちろん、攻撃シミュレーションを取り入れ、実際に手を動かして学ぶ機会を設けるのも効果的です。

このような取り組みが、組織全体の防御力向上に寄与します。

（まとめ）ランサムウェアのリスクを見据えて適切なセキュリティ対策を

ランサムウェアは、VPN機器のほか、リモートデスクトップ、メールの添付ファイルなど、業務に欠かせないあらゆるものから感染するリスクがあります。

万が一ランサムウェアに感染すれば、重要データの破壊・改ざん、流出など、企業にとって甚大な被害を受けかねません。

そのため、自社において考えられる感染経路を把握し、適切に対策を講じることが求められます。

例えば、外部記録メディアの代わりにクラウドストレージを利用する、セキュリティ教育を実施するといった対策が有効ですが、まずは、UTMの導入を検討するとよいでしょう。

FLESPEEQ UTMは、アンチウイルスやファイアウォール、IDS / IPSなどを一つにまとめたセキュリティサービスです。

複数のセキュリティ機能が搭載されているため、さまざまな侵入経路を守ることが可能です。

また、インターネットとセットになったクラウド型UTMに、FLESPEEQ VPNを組み合わせれば、場所を問わずにどの拠点からもより安全で快適なインターネット接続環境の構築も可能です。

運⽤・保守も弊社にまるごとお任せいただけるため、担当者不在の企業様でも安心してご利用いただけます。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。