ランサムウェアに感染し、

クイックマンへご相談頂くお客様から必ずと言っていいほど聞かれる質問が、

『今回の感染経路はどこからでしょうか？』

というご質問。

ランサムウェアにはいくつもの侵入経路がありますが、

その中でも注意したい５つの侵入経路についてご説明いたします。

 

 

１．メールの添付ファイルから

 

お客様が真っ先に疑われるのがメールの添付ファイル。

『不審なメールは開かない！』というのは周知されているのですが、

実際は個々の判断任せなので開いてしまっている人もいる。。。

という企業様が多いようです。

たしかにメールはウイルスが侵入する最初のきっかけとして使われることが多いです。

パソコンの調子がおかしいとご依頼を受けてご訪問し、

パソコンをウイルススキャンすると大量のマルウェアが出てきた。。。

という例は少なくありません。

知見の少ない一般社員全員に、

開いていいメールと開いてはいけないメールを徹底することは思いのほか難しいのが実情のようです。

結局、ミスはあるものという前提で、対策を取ることが必要です。

 

ただ、ランサムウェアの感染原因としてメールが原因というのは意外と少ないです。

マルウェアから徐々にPCに入り込むという時間と手間がかかる手法よりも、

アクセス権限を盗むというダイレクトな手法に移りつつあるようです。

 

 

２．Webサイトの閲覧から

 

フィッシングサイトによる被害の相談も多数頂戴いたしますが、

そういった悪意あるサイトを閲覧することによりウイルスに感染する例も多いです。

マイクロソフトの偽警告文がポップアップし続け、

アラートが鳴り響くフィッシングサイトが有名です。

アダルトサイト、フリーソフト、ドライバのダウンロードなどからフィッシングサイトへ誘導される例が多いですが、

健全なサイトの広告に紛れ込んでいる場合もあり、

なかなか完全にブロックするのは難しいです。

フィッシングサイト自体がランサムウェアの感染に発展するということは少ないのですが、

数年前にWebサイトの構築で広く利用されているWordPressというソフトに脆弱性があり、

かなり多数の一般サイトが乗っ取られるという被害がありました。

（当社のお客様でも多数被害に遭われました。）

この時は乗っ取られたサイトに知らずに訪れた一般ユーザーがランサムウェアに感染しました。

脆弱性に対応したバージョンへの更新が広まったことにより一気に沈静化しましたが、

この時はひっきりなしに当社の電話が鳴り続ける状態でした。

 

３．VPNのパスワードハッキング

 

VPNからのハッキングというのもあります。

複数の拠点がある場合、拠点間をVPNで接続し、

同じLAN内のように運用するというのが主流になっていますが、

テレワークの増加に伴い、

自宅などの外部から社内へアクセスできるようにVPNを設定する場合が増えました。

この外部からのアクセス時にはアドレスとユーザーID、パスワードが必要なのですが、

この情報が漏れてしまった場合や、

総当たりにより破られた場合など、

通常の社内の端末と同じ状態、権限をハッカーに与えてしまうことになりますので非常に危険です。

VPNの設定をされている場合は、

一度アクセスログ情報をチェックされることをお勧め致します。

もし、身に覚えのないアクセスが大量に発生している場合は、

なんらかの対策を考える必要があるかと思われます。

実際にこのVPNのハッキングからランサムウェアに感染する例は多く、

特にNASなどに搭載されたVPN機能などから乗っ取りに発展する被害が多いです。

 

４．リモートソフトのハッキング

 

Windowsサーバー機においてランサムウェアの被害に遭われた企業様の場合、

当社にご相談頂いたお客様の内95%以上の企業様で、

とある有名なリモートソフトを使っていたという状況が一致しています。

厳密にそれが原因だ！と断定することはできないのですが、

当社としてはあまりに高確率である為、

少なくともそのリモートソフトが要因のひとつであると考えています。

Windowsサーバーの場合、企業様の基幹システムを運用している場合が多く、

ランサムウェア感染による業務への影響は計り知れません。

 

もし以下の状況すべてに該当する場合は、ランサムウェアに感染する可能性を、リスクとして考慮してください。

 

① Windowsサーバーを運用している（物理、仮想問わず、特に2003、2008、2012）

② リモートソフトを常時起動している

③ サーバーの保守をお願いしている会社がある。

④ バックアップデータはサーバー側から確認できる。（又はバックアップが無い）

⑤ サーバー内に絶対に失えないデータがある。

 

これらに該当する場合は最もハッカーからターゲットとして狙われている対象だと思って頂いて間違いありません。

面倒がらずに是非とも対策をとってください。

 

５．OSの脆弱性をついた乗っ取り

 

OS（特にWindows）には多数の脆弱性が発見されています。

毎月のWindowsアップデートでこの脆弱性の対策が取られていいるのですが、

その対策が間に合わない場合や、そもそもWindowsアップデートが後回しになっている端末など、

脆弱性を抱えたままのパソコンは世の中に無数にあります。

ハッカー側はより効率的にターゲットにランサムウェアを感染させるため、

この脆弱性の対策が取られる前に全世界へ一斉攻撃をおこないます。

そんな中でも未発見の脆弱性をついて攻撃することを『ゼロデイ攻撃』といいます。

ゼロデイ攻撃の場合、ターゲットは未発見の脆弱性の為、

ウイルス対策ソフトなどでは対策が間に合わず、世界中で同時に多数の感染者が発生します。

最近では今年の春にQNAPの脆弱性をついた攻撃が大流行しました。

世界中で同時にQNAPが乗っ取られ、

QNAP社も対策をとりましたがその対策の間に大量のQNAPが乗っ取られてしまい、

当社にも1週間で300社を超える相談が寄せられました。

 

これら５つの手法に共通するのは、

ハッカー側は特に相手を特定せず、総当たりで攻撃しているという事です。

国も、会社規模も、業種も関係なく総当たりで攻撃をおこない、

たまたま運悪くひっかかった会社をランサムウェアに感染させるという手法です。

ただ、セキュリティの弱い企業ほど先に引っかかってしまうため、

大企業より小規模の事業所ほど被害に遭いやすいという傾向があります。

 

まさか自分の会社が感染するとは予測しづらいと思います。

しかしながら、実際には国内でも被害に遭っている会社は無数にあるのです。

ランサムウェアという言葉は知っていても、その被害の深刻さはあまり知られていません。

万が一、サーバー内のデータがすべて失われたときに、

果たして営業を継続できるか？

という観点で対策の必要性をお考えいただければと思います。

 

 

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200