「ランサムウェアが含まれるメールの被害に遭ったときのことを考えると怖い」
そんな不安をお持ちの方に、ランサムウェア付きメールの見分け方や被害を防ぐ対策を解説します。
ランサムウェアは、感染したデバイスのファイルを暗号化し、復元と引き換えに身代金を要求するマルウェアです。ランサムウェアの感染を防ぐには、日頃からのセキュリティ教育に加えて、セキュリティ対策を強化しておくことが重要です。
ランサムウェアがメールで感染する仕組み
ランサムウェアは、主にメールを感染源とするマルウェアの一種です。「ランサムウェアがどういった性質のマルウェアなのか」「メールによってどのようにして感染してしまうのか」を解説します。
ランサムウェアとは何か?セキュリティリスクを解説
ランサムウェア(Ransomware)は、感染したデバイスのファイルを暗号化し、復元と引き換えに身代金(ランサム)を要求するマルウェアです。ランサム(ransom)とマルウェア(malware)を組み合わせて呼ばれるようになりました。
攻撃者は、ランサムウェアを使って企業や個人の重要なデータを人質に取り、暗号解除の対価として金銭を要求します。ランサムウェアによる主な被害は、データの暗号化・改ざんされることで生じるデータの損失です。そして、「データを元に戻してほしければ〇〇円用意しろ」と身代金を請求してきます。しかし、復元される保証はなく、身代金を支払う脅迫と向き合わなければなりません。
さらに、業務停止による経済的損失や、顧客情報の流出による信用低下など二次被害にもつながります。身代金を支払っても「さらに〇〇円用意せよ」と追加請求をされる可能性もあるでしょう。マルウェアに感染すると恐ろしい事態を招くため、当記事で解説する対策が必要です。
なお本記事では、マルウェアが含まれるファイルが添付されているメールと、クリックするとマルウェアに感染するリンクが含まれるメールを「ランサムウェア付き」メールと呼びます。
ランサムウェア付きメールの主な手口
近年、ランサムウェア攻撃は高度化・巧妙化しており、特にメール経由での感染が増加しています。メールによる被害が多いのはセキュリティの盲点を突きやすく、攻撃の成功率が高いためです。
攻撃者はメールを配信し、そのメール経由でマルウェアがシステムに侵入、データの暗号化や改ざんを行うことで攻撃者が身代金を請求します。ただし、メールが届いただけではパソコンやシステムがマルウェアに感染するわけではありません。本章ではメール受信後のランサムウェア感染の流れを解説します。
ExcelやPDFなどマルウェア付き添付ファイル
一般的な感染経路は、メールの添付ファイルとしてExcelやPDFなど、マルウェアに感染させるファイルが届き、受信者がそれらを開いてマルウェアに感染する流れです。「緊急性が高いので早く確認してほしい」などの内容でファイルを開くよう、誘導してきます。
Excelの場合は、マクロ機能を悪用し、ファイルを開いた際に自動実行されるスクリプトによってマルウェアがダウンロードされ感染します。ただし、Excelのマクロ機能が無効化されていれば防げる可能性が高いです。PDFやその他のファイルの場合は、不正なスクリプトが埋め込まれており、開いた瞬間に攻撃が開始されることもあります。
上記のように添付ファイルを開いた直後にマルウェアに感染してしまうため、受信者は不審な添付ファイルは開かないことが重要です。
リンク型攻撃(不正なURLへ誘導)
もう一つの感染経路として、攻撃者がメールに不正なリンクを記載し、受信者がアクセスすると感染する流れもよくあります。
攻撃者は「〇〇システムのパスワードの変更依頼」などを装って、公式ページによく似た偽サイトへのリンクを用意します。アクセスするとランサムウェアが自動ダウンロードされるケースが一般的です。日頃からメールのリンクを開かず、ブラウザで直接公式ページにアクセスすることで、マルウェア感染の被害を防げます。
ランサムウェア付きメールの配信手口
ランサムウェア付きメールの配信手口として以下があります。
- ばらまき型メール
- 標的型メール
ばらまき型メール
ばらまき型メールは、特定の人物や企業に対してメールを送るのではなく、不特定多数の相手にメールを送ることです。入手したメールアドレスに対して誰彼構わずにメールを配信します。
ばらまき型の場合は送る相手が多いので、「数打てば当たる作戦」といえます。一人でも多くの受信者がランサムウェアのファイルやリンクを開くことで、入手できる身代金を増やせる、と考えるためです。
ばらまき型は誰でも届く可能性があるので、十分に注意しなければなりません。
標的型メール
標的型メールは、特定の人物や企業を狙ってランサムウェア付きのメールを送ることです。
攻撃者にとって、標的型メールは攻撃対象が限定されるというデメリットがあります。それでも標的を絞るのは、より受信者に開かせやすいメールを送るためです。
例として、特定の企業にランサムウェア付きメールを送る場合、その企業の社長からメールが来た、となれば従業員が開く可能性が高まります。企業や部署が利用しているシステムがわかれば「リンクを開きXXシステムのパスワードを変更してください」とすると開く可能性があるでしょう。
標的型メールは受信者に「自分に関係がある重要な連絡」だと思わせる特徴があります。
ランサムウェアメールの事例
ランサムウェアメールの事例として、アメリカのとある医療サービス企業のランサムウェア付きメールの事例を紹介します。
同社はばらまき型のランサムウェア付きメールによって、同社のコンピューターが使えない事態になりました。その結果、医療サービスの提供ができず、手術が必要な患者を別の病院に運ぶなどの対応にも追われています。
本事例を含め、他にもランサムウェア関連のたくさんの被害が報告されています。別記事で解説しているので、併せてご覧ください。
関連記事はこちら
ランサムウェア付きメールの見分け方
ランサムウェア付きメールの見分け方として、以下の方法があります。
- メールの送信者情報を確認する
- メール本文の特徴
- 添付ファイル・リンクのチェック方法
メールの送信者情報を確認する
ランサムウェア付きメールを見分けるために大事なことは、メールの送信者情報を確認することです。送信者情報はメールのヘッダー部分で確認できます。ヘッダー部分には送信者名、件名、送信者のメールアドレスなどが記載されています。特に重要なのは、送信者のメールアドレスです。
多くの場合、送信者名と件名を見たら、すぐに本文を見ようとするでしょう。しかし、送信者のメールアドレスを確認することで、ランサムウェア付きメールを見分けられる場合があります。
特に多いのがメールアドレスのドメイン部分(@のあと)を確認し、酷似した文字列が並んでいるケースです。例としてntt.com→nnt.comのようになっていることがあります。酷似していれば、ぱっと見ただけでは気付かず、正しいメールアドレスだと思って開く可能性があるでしょう。
メールアドレスのドメインに注意するだけでも、怪しいメールだと気付ける可能性が高まります。
メールドメインの認証についてSPFやDKIMという技術があります。詳しくは別記事で解説しているので、併せてご覧ください。
関連記事はこちら
メール本文の特徴
ランサムウェア付きメールの本文の特徴として以下があります。
- 「緊急」「重要」といった煽る表現がある
- 送信元の企業や組織の公式ページのリンクがない
- 不自然な日本語や誤字脱字がある
ランサムウェア付きメールは「緊急」「重要」などの言葉を本文および件名に含めることが多いです。重要度を高めて、早くメールのファイルやリンクを開かせようとしてきます。
送信元企業の情報を掲載する場合がありますが、決して開いてはいけません。情報確認は自身でブラウザを開いて直接確認しましょう。
海外の攻撃者が送ってくるランサムウェア付きメールの場合は、日本語が不自然なケースや、誤字脱字があるケースがあります。文章を読んで違和感を覚えたら、もう一度送信者情報を確認してください。
添付ファイル・リンクのチェック方法
メールに添付ファイルやリンクがあれば常に警戒しましょう。
信頼できる相手からのメールだとしても、普段から注意しておくことがいざという時の対策になります。メール本文のリンクを開かないだけで、ランサムウェア感染のリスクを低減できるためです。
チェック時には以下の観点を確認してください。
- ファイルの拡張子に注意する
- リンクは慎重に確認する
ファイルの拡張子は、.exeや.jsのように実行ファイルに注意しましょう。また、.xlsxや.docのようによく使われる拡張子だとしても、ファイルを開くとマクロに感染する場合があります。
怪しいリンクはすぐに開かず、リンクのコピーを行いテキストエディタなどに貼り付けてください。ブラウザに貼り付けてはいけません。
サンドボックス環境がある場合は、サンドボックス環境での検査も有効です。
ランサムウェア付きメールの被害を防ぐための対策
ランサムウェア付きメールの被害を防ぐための対策として以下があります。
- 従業員向けのセキュリティ教育
- 緊急時の対応を決めておく
- ソフトウェアのアップデート
- バックアップの取得
- セキュリティソフト・ソリューションの導入
従業員向けのセキュリティ教育
企業として重要な対策は、日頃から従業員向けのセキュリティ教育を行うことです。
ばらまき型でも標的型でも、ランサムウェア付きメールは従業員宛てに届きます。メールサーバ側である程度の振り分けは可能ですが、それでも従業員に届いてしまいます。ですが、これらは、従業員がメールやリンクを開かなければランサムウェアに感染しません。
従業員向けのセキュリティ教育で重要なポイントは以下のとおりです。
- ランサムウェア付きメールの見分け方を訓練する
- パスワード管理、多要素認証(MFA)の利用を徹底させる
- 定期的にセキュリティ研修を実施する
ランサムウェア付きメールの見分け方で特に重要なのは、添付ファイル/リンクの取り扱いです。添付ファイル・リンクのチェック方法でも解説したように、ファイルの拡張子やメールのリンクをそもそも開かないことを徹底するだけで、大きくリスクを低減できます。
上記の対策はランサムウェア付きメールに限らず、他のセキュリティ攻撃に備えるためにも有効です。日頃から従業員へのセキュリティ教育を欠かさずに行いましょう。
緊急時の対応を決めておく
緊急時の対応を決めておくことは、ランサムウェア付きメールの被害を最小限にとどめるために必要な対策です。万が一、ランサムウェア付きメールのファイルやリンクを開いてしまった場合、被害を最小限に食いとめる行動を取る必要があります。
具体的な対応は後述しますが、最低限決めておくべきことは以下のとおりです。
- 怪しいメールへの対応が不適切であったと感じたらネットワークから切り離すというルール
- 上司やセキュリティ担当者に報告する際の連絡方法
感染したと思ったら、上司かセキュリティ管理者に速やかに報告をすることになるでしょう。このときに、感染したパソコンを使って報告してはいけません。電話や別の連絡手段を取れるよう、緊急連絡先を決めておくことが大切です。
上記のように、被害をより広げないための行動をしましょう。
ソフトウェアのアップデート
ソフトウェアのアップデートを常に行い、脆弱性をなくしておくこともランサムウェア付きメールの対策として重要です。
OSを含むソフトウェアをアップデートし、最新化しておくことで脆弱性を突かれるリスクを抑えられます。ランサムウェア付きメールに絞るのであれば、メールソフトのアップデートが特に重要になるでしょう。また、OSやセキュリティソフトのアップデートを行うことで、感染した場合の被害を低減できる可能性があります。
ソフトウェアアップデートがリリースされたら必ず確認しましょう。これらの負担を小さくしたい場合は、セキュリティのSaaSを利用することも検討すべきです。
バックアップの取得
バックアップの取得も、ランサムウェア付きメールの対策として有効になります。
ランサムウェアに感染するとファイルを暗号化されてしまい、身代金を請求されます。暗号化されたファイルをバックアップから復元できれば、身代金を払わずに済む可能性が高まります。
バックアップがあれば、ランサムウェアに感染しても当事者以外が落ち着いて対応できるでしょう。
セキュリティソフト・ソリューションの導入(SPAM・マルウェア対策)
ランサムウェアの被害をさらに小さくするために、セキュリティソフトやソリューションの導入を検討しましょう。
ランサムウェアは年々脅威を増しています。その点については以下のページにあるホワイトペーパーで解説しているので、併せてご覧ください。
関連資料はこちら
上記で解説した対策に加えて、セキュリティソフト・ソリューションを導入して対策の強化をしましょう。HENNGEが提供するHENNGE Cloud Protectionは、メールに含まれるランサムウェアやその他マルウェアからの感染を防げます。
自社の大切な従業員と資産、顧客情報を守るために、セキュリティ強化を実践しましょう。
ランサムウェア付きメールに感染した場合の対処法
ランサムウェア付きメールに感染したかどうか、気付くことが重要です。また本当に感染してしまった場合の対応が被害をより大きくするか、最小限でとどめられるかのポイントになります。
感染の兆候
ランサムウェアに感染した場合、最も分かりやすい状態異常は身代金要求のメッセージが表示されることです。ただし、最近はネットサーフィンをしていて、感染していないのに身代金要求のメッセージが表示されることもあり、見分けが付きにくいかもしれません。
その場合は以下のポイントを確認してください。
- ファイルが開けなくなり、拡張子が変更される
- パソコンの動作が極端に遅くなる
- セキュリティソフトが無効化される
ファイルが開けなくなったり、拡張子が変わっていたりする場合は、ランサムウェアによってファイルの暗号化や改ざんをされていると考えられます。「元に戻して欲しければ身代金を払え」と要求してくるでしょう。
パソコンの動作が極端に遅くなった場合も感染している可能性があります。ランサムウェアが身代金要求やファイルの暗号化などの攻撃プロセスによって、パソコンのリソースを食いつぶしているためです。
ランサムウェアがさらなる攻撃や感染を狙って、セキュリティソフトが無効化される場合もあります。
身代金要求のメッセージに加えて、上記の挙動があればランサムウェアに感染してしまったと考えましょう。
感染した場合の緊急対応
感染してしまった場合の緊急対応として以下が必要です。
- ネットワークから隔離する
- バックアップデータの確認・復元
- セキュリティ専門家に相談する
ネットワークから隔離する
ランサムウェアに感染した場合に最初にやるべきことは、感染したパソコンをネットワークから隔離することです。
ネットワークから隔離することで、他のパソコンやシステムへの感染拡大を防げます。有線であればケーブルを抜く、無線であればWi-Fiをオフにしてください。
関連して、感染後の上司やセキュリティ管理者への報告は感染したパソコンを使わずに行いましょう。先述していますが、メール以外の連絡先を確認しておくことが重要です。
バックアップデータの確認・復元
感染後、ランサムウェアの除去を確認してからバックアップデータを確認し、復元しましょう。ランサムウェアは、ファイルの暗号化や改ざんを行って脅しをかけてきます。復元ができるのであれば被害は少ないでしょう。
ただし、単にバックアップを取るだけにならないよう、以下の準備をしておきましょう。
- オフライン環境にもバックアップを保存しておく
バックアップデータすらも暗号化されるリスクをなくす - バックアップを復元する手順を確保しておく
バックアップがあっても復元できなければ意味がない
また、感染後、復元をすぐに行わないことです。復元してもランサムウェアが残っていれば、またすぐに暗号化をされ脅されてしまいます。ランサムウェアの除去を確認してから復元すべきです。
セキュリティ専門家に相談する
ランサムウェアの種類や感染状況によっては、専門的な対応が必要です。下記のいずれかで専門家への相談を検討しましょう。
- セキュリティ企業に問い合わせる
契約しているセキュリティベンダーやIT管理会社があればそちらに相談 - 警察のサイバー犯罪対策部門に相談する
- サイバーセキュリティ機関に相談する
上記は感染後ではなく、ランサムウェア付きメールを受け取った時点で相談することも有効です。
ランサムウェア付きメールで請求された身代金を支払うべきか?
結論から述べると、ランサムウェア付きメールで請求された身代金は支払うべきではありません。
理由として、仮に支払ったとしても暗号化されたファイルを復元してもらえる保証がないためです。さらに追加の支払いを求めてくることもあるでしょう。ランサムウェア感染後は上記の対応を実施し、必要に応じて外部に相談をすべきです。
ランサムウェアの被害に遭うと、自社の業務面、経済面の損失はもちろん、社会的な面における損失もあります。自社は被害者であるはずなのに「あの会社はセキュリティ対策が不十分な会社だ」と世間の目を向けられることになるためです。この場合、一般ユーザーや取引先からの信頼を失ってしまうでしょう。
ランサムウェアに感染しないことが一番です。感染しないためにも日頃からセキュリティ対策を行いましょう。
まとめ
ランサムウェアは、感染したデバイスのファイルを暗号化し、元に戻すために身代金を要求するマルウェアです。ランサムウェア付きメールは添付ファイル、あるいはリンクを開かせてパソコンを感染させます。
ランサムウェアの感染を防ぐには、日頃からのセキュリティ教育に加えて、セキュリティ対策を強化しておくことが重要です。弊社では、ランサムウェアに関連したセキュリティ対策のホワイトペーパーを用意しています。対策に興味がある担当者様はぜひご確認ください。
