情報セキュリティマネジメント試験 科目A キーワード集 > ランサムウェア
概要
ランサムウェア(Ransomware)とは、感染したコンピュータ内のファイルを勝手に暗号化して使用できなくし、その復旧と引き換えに金銭(身代金=ランサム)を要求する不正プログラム(マルウェア)の一種です。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、データを"人質"にとる攻撃である点が特徴です。
近年は単にファイルを暗号化するだけでなく、暗号化前に機密データを窃取し「支払わなければ公開する」と脅す手口(二重恐喝)が主流になり、企業にとって最も深刻なサイバー脅威の一つとされています。IPAの「情報セキュリティ10大脅威」でも、組織向け脅威の上位常連となっています。
詳細(仕組み・分類)
感染から被害までの流れ
- 侵入:メールの添付ファイルやリンク、VPN機器・RDP(リモートデスクトップ)の脆弱性、不正サイト経由で内部に侵入する。
- 潜伏・拡散:内部ネットワークを偵察し、管理者権限を奪取して他の端末やサーバへ感染を広げる。
- 窃取:公開・脅迫に使う機密データを外部へ持ち出す(二重恐喝の準備)。
- 暗号化:ファイルを暗号化し、復号鍵と引き換えに身代金を要求する脅迫文を表示する。
主な脅迫の手口
| 手口 | 内容 |
|---|
| 暗号化型 | ファイルを暗号化し、復号鍵の対価として身代金を要求する基本型。 |
| 二重恐喝(ダブルエクストーション) | 暗号化に加え、窃取データの暴露をちらつかせて二重に脅迫する。 |
| RaaS(Ransomware as a Service) | 攻撃ツールがサービスとして売買され、技術がなくても攻撃が可能になる分業モデル。 |
| ノーウェアランサム | 暗号化せずデータ窃取と暴露の脅迫のみを行う新しい手口。 |
ランサムウェアは「マルウェアの一分類」であり、感染経路の多くはメールとVPN・RDPの脆弱性です。科目Aでは「身代金を要求するマルウェア=ランサムウェア」「バックアップが有効な対策」という基本がよく問われます。
対策
ランサムウェア対策は「感染を防ぐ(予防)」「早く気づく(検知)」「確実に復旧する(対応・復旧)」の3段階で考えます。
予防
- OS・VPN機器・ソフトウェアの脆弱性をパッチで速やかに修正する。
- 不審なメールの添付ファイル・リンクを開かない教育と、メールフィルタリングの導入。
- RDPの外部公開停止、多要素認証による不正ログイン対策。
- 最小権限の原則を徹底し、感染時の被害拡大(横展開)を抑える。
検知・対応・復旧
- EDRで不審な挙動を検知し、感染端末をネットワークから即時隔離する。
- 最重要対策はバックアップ。3-2-1ルール(3つの複製・2種類の媒体・1つはオフライン/遠隔)で、暗号化されても復元できる体制をつくる。
- 身代金は支払っても復旧の保証がなく、犯罪組織を利するため、原則支払わない方針が推奨される。
インシデント事例
WannaCry(2017年)
Windowsの脆弱性を悪用してワームのように自己増殖し、世界150か国以上・約30万台に感染した大規模事例。国内外の工場停止や医療機関の混乱を招き、パッチ未適用の危険性を世界に知らしめました。
国内の病院・港湾でのサービス停止
近年、国内の病院では電子カルテが暗号化されて診療が停止し、港湾ではコンテナ搬出入のシステムが停止して物流に大きな影響が出た事例が報告されています。多くはVPN機器の脆弱性が侵入口でした。社会インフラを止める被害の大きさが特徴です。
事例から学ぶ共通点は「パッチ未適用のVPN/RDPから侵入」「バックアップも被害を受けて復旧が長期化」の2点。対策を覚えるときはこの2点に結びつけると理解しやすくなります。
試験での問われ方
科目Aでは、次のような形で出題されます。
- 「データを暗号化して金銭を要求するマルウェアはどれか」→ 答えはランサムウェア。
- 「ランサムウェア被害から復旧するために最も有効な備えはどれか」→ 答えは(オフライン)バックアップ。
- 「二重恐喝(ダブルエクストーション)の説明として適切なものはどれか」など、手口の理解を問う問題。