コラムアーカイブ

◆2022年上半期も「ランサムウェア」の報告件数が増加

警察庁は広報資料「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開し、企業・団体等から都道府県警察へのランサムウェア被害の報告件数が、2022年上半期は114件あり、右肩上がりで増加していると報告しています（2020年下半期21件、2021年上半期61件、2021年下半期85件、2022年上半期114件）。

警察庁はこの資料の中で、ランサムウェア被害を受けた企業・団体等に実施したアンケート結果を公表しています。ランサムウェアの感染経路、復旧に要した期間、調査・復旧費用の総額などの回答が記載されていて、日本のランサムウェア被害の実態を知ることができます。

◆感染経路の大半はVPNとリモートデスクトップ接続

ランサムウェア感染経路は、68%が「VPN機器からの侵入」、15%が「リモートデスクトップからの侵入」と回答されています。この2つは「外部から内部への接続手段」であり、併せて83%を占めていると言えます。他にも9%が「不審メールやその添付ファイル」を介した感染と回答しています。

◆侵入経路を意識したランサムウェア対策

ランサムウェアの感染経路の83%を占める「外部から内部への接続手段」に対しては、「①脆弱性対策漏れ」と「②弱い認証情報」が侵入原因と考えられます。

「①脆弱性対策漏れ」
攻撃者は脆弱性を悪用して侵入する場合があります。まずVPNやリモートデスクトップ接続など「外部から内部への接続手段」の有無を把握し、定期的なパッチ適用作業（更新プログラム適用作業）ができているか確認が必要です。自組織にシステム担当者がいる場合は実施状況をチェックしてください。システム担当者がいない場合は、保守業者との保守契約と脆弱性対策の実施実績があるかチェックしてください。
もちろん、別の感染経路で攻撃された場合を考えると、「外部から内部への接続手段」だけでなく、自組織内のシステムや端末を把握してそれらにも脆弱性対策が必要です。また、重要なデータはバックアップができているか定期的に実施・点検してください。

「②弱い認証情報」の対策
攻撃者は脆弱性の他にもユーザーの認証情報を使用して侵入する場合があります。具体的には「推測可能なIDとパスワード」または「情報漏洩したIDとパスワード」を使用して侵入します。ユーザーに簡単なパスワードを設定させないようパスワードの複雑さ（長さや文字の種類の多さ）を求めるパスワードポリシーを適用したり、多要素認証を採用したりすることで、外部からの侵入経路を強化します。また、認証に関して、「推測可能なパスワードを設定しない」ことと「パスワードを使いまわさない」ことをユーザーに理解してもらうよう教育や啓発することも重要な対策になります。

以上のランサムウェア対策をまとめると、第一にパッチ適用が大事です。脆弱性対策が定期的にできているか確認し、できていなければ定期的にパッチ適用を実施してください。システム管理者がいなければ保守業者を探して実施するようにしてください。次に、外部からの接続経路の認証強化も必要です。パスワードポリシーや多要素認証を採用しましょう。外部のサービスからパスワードが漏洩しても被害を増やさないために「パスワードを使いまわさない」ことを組織内のセキュリティ教育でユーザーに理解してもらいましょう。

さらに、メールを介したランサムウェア感染も報告されていますので、セキュリティ教育では、自分にランサムウェアなどのウイルス付きメールが届く可能性があることも理解してもらうといいですね。

このコラムでは、ランサムウェアの感染経路とその対策について解説しました。今回紹介した警察庁の資料には、他にもアンケート結果が記載されていますので、ランサムウェア対策の必要性の理解や組織内の対策推進の参考ためにぜひご活用ください。

他にも参考になる情報として、IPAが公表する「情報セキュリティ10大脅威 2022」があります。「ランサムウェアによる被害」は「組織の脅威」の1位に選出されていて、手口や事例や対策がまとめられています。10大脅威2022の資料も一度ご確認ください。

参考：

警察庁「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」（PDF）
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf

IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

NISC「ストップ！ ランサムウェア　ランサムウェア特設ページ」
stopransomware