ここから本文です。
ランサムウェアに注意!
ランサムウェアの被害に遭われた場合は、最寄りの警察署又は警察本部サイバー犯罪対策課に通報してください。
ランサムウェアとは、感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、最近では、企業等のVPN機器をはじめとするネットワーク機器のインフラのぜい弱性を狙って侵入する手口が多くみられます。 また、データの暗号化のみならず、データを窃取した上、企業等に対し「対価を支払わなければ当該データを公開する」などと要求する二重恐喝(ダブルエクストーション)という手口も確認されています。
一部のランサムウェアについては、「No More Ransom」プロジェクトのウェブサイトで復号ツールが公開されており、暗号化されたファイルを復号する手段として利用できる場合がありますが、以下の点に注意してください。
【復元ツールについて】
ランサムウェアを駆除するためには、感染したランサムウェアの種別を特定する必要があります。ランサムウェアを特定するために、ランサムノート(身代金を要求するドキュメント等)や暗号化されたファイルの拡張子を確認・記録してください。確認した情報をもとに、ランサムウェアに対応する復号ツールが「No More Ransom」プロジェクトのウェブサイトで公開されているか確認してみてください。
なお、「No More Ransom」プロジェクトのウェブサイトで公開されている復号ツールの使用方法については、JC3のウェブサイトを参考としてください。
【「No More Ransom」プロジェクトのご紹介】
受信者の関心を引くような内容や重要と思わせる内容のメールを用いて添付ファイルを開かせる(実行させる)、又はリンク先のウェブサイトにアクセスさせるように仕向けて、ランサムウェアをはじめとしたマルウェアに感染させる手口が確認されています。
知人や企業等からの電子メールと思えるものであっても、送信元が詐称されていたり、本文からは不正なメールと見抜けなかったりすることもあります。添付ファイル付きのメールやリンク付きのメールについては、送信元への確認を行うなど、その真偽を確かめ、不用意に電子メールの添付ファイルを開いたり、リンク先にアクセスしたりしないようにしましょう。
利用している機器やOS等の更新ファイル、パッチ等を適用して、ぜい弱性を残さないようにしましょう。
OSやソフトウェアにぜい弱性がある状態のままでは、電子メールの添付ファイルの実行やウェブサイトの閲覧により、マルウェアに感染するリスクがあります。
また、ネットワークへの侵入のためにVPN機器等のネットワーク機器のぜい弱性が悪用される事例も確認されています。
他のマルウェアやハッキングツール等を使ってネットワークへ侵入し、データを盗み出した後にランサムウェアによりファイルを暗号化する手口も確認されています。
ウイルス対策ソフトを導入し、定義ファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができます。
また、ウイルス対策ソフトだけでなく、ネットワークへ侵入を許してしまった場合に、不審な動作を検知し、被害を最小限にくいとめるため、EDR(Endpoint Detection and Response)の導入も検討しましょう。
利用しているリモート・デスクトップ・サービスやVPN機器等のネットワーク機器の認証パスワードがぜい弱であったためにネットワークに侵入され、ランサムウェアによる被害が生じる事例が確認されています。
パスワードが初期設定のままであったり、よく使用されているもの(「password」、「qwerty」、「12345678」等)に設定されていないかなどを確認し、そのような設定になっている場合は、速やかに、大文字・小文字・数字・記号の組合せにより文字数が多く、推測されにくい文字列を設定するとともに、他のサービス等で使用していないものを設定し直すなど認証情報を適切に管理しましょう。
また、二要素認証等による強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に実施しましょう。
なお、パスワードが外部へ流出した可能性がある場合には、速やかにパスワードを変更しましょう。
ランサムウェアにより、バックアップデータやログも暗号化されてしまうという事例が確認されています。不測の事態に備えて、バックアップやログはなるべくこまめに取得し、ネットワークから切り離して保管しましょう。
また、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。
いったん侵入されると、ネットワーク内の複数の端末でデータが暗号化されるなどといったように、被害の範囲が拡大することとなります。ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。
また、インターネットに公開されている機器が乗っ取られた場合に備えて、その機器からアクセス可能な範囲を限定しましょう。
ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバとの間で不審な通信が発生する場合があります。EDR等を導入し、ネットワーク内の不審な挙動を早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することに繋がります。異常を検知した際には迅速に対処しましょう。
また、侵入経路の特定のため、ネットワークのログ等をはじめとする各種ログを確実に保存しておきましょう。