情報システムは、現代ではなくてはならない社会インフラの1つです。このような重要なインフラに対して、悪いことを仕掛けてもうけようとするサイバー犯罪が多発しています。その中でも被害の影響が大きいのが「ランサムウェア」です。ランサムウェアとは、どのような攻撃を仕掛けてくるサイバー脅威なのか、どんな被害があり、対策はどうしたらいいのでしょうか。サイバー脅威の中でも重要な位置を占めるランサムウェアについて、ご紹介します。

キャリアマップ編集部　文／ITジャーナリスト・ライター 岩元直久

みなさん、想像してみてください。

あなたが外出しているときに、誰かが家の玄関に知らない電子錠のようなものをつけてしまいました。帰宅すると、自分の持っているカギでは玄関を開けることができません。そして、その電子錠にはメッセージがついていました。「電子錠を開けてほしければ、電子マネーで10万円を下記のアカウントまで送るように。期限は6月10日9時まで」。

こうした事態になればどうすればいいのでしょう。自分の住んでいる家なのに、勝手に第三者が知らない錠前をつけて自分が入れなくなってしまったのです（通常は警察を呼ぶことになりますが、仮の話ですのであしからず）。そのうえ、金品も要求されています。寝るところすらなくなり、明日の授業に必要な資料も家の中です。メッセージの要求に応えて電子マネーを送金すれば、電子錠を開けてもらえるのか、確信は持てない場合、あなたならどうしますか。

ランサムウェアは、情報セキュリティの脅威の1つで、特に企業や政府、自治体などの団体を対象に攻撃が仕掛けられる悪意のあるソフトウェア（マルウェア）です。ランサムウェアという言葉は、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語で、身代金を目的にしたマルウェアのことを意味しています。

ランサムウェアの動きを簡単にご説明しましょう。企業などで業務に使っているパソコンがあります。そのパソコンに何らかの経路でランサムウェアが感染します。するとランサムウェアは、時限爆弾のようにあるタイミングで活動を開始します。その活動は、パソコンが利用できなくなるような制限を行うもので、多くの場合はパソコンに保存されたデータを暗号化して元の利用者が使えない状態にします。そのうえで、パソコンの画面に「データの暗号化を解除（復号）してほしければ、お金や暗号資産を送れ」といった表示を出すのです。

冒頭で考えてもらった「家に入れなくなる事件」と、同じような困った状態が情報システムで起こることを実感していただけたでしょうか。

ランサムウェアが流行するようになったのは、それほど古いことではありません。日本でも2015年ごろからランサムウェアの報告が増え、その後の2017年にはランサムウェアの一種である「WannaCry」が世界中で大流行しました。WannaCryにパソコンが感染して、工場が操業停止に追い込まれたり、医療機関のパソコンが使えなくなって手術や診療ができないといった経営にも影響するような深刻な事態にもつながったりしました。情報化、デジタル化が進んでいる現代では、データが暗号化されてしまうと大きなダメージにつながるのです。

とはいえ、学生のみなさんからすると、2015年～17年なんて小学生、中学生のころの昔の話に感じられるでしょう。既に昔話になっていればいいのですが、実際にはランサムウェアの脅威は現在でも続いているから厄介です。日本のデジタル化の推進とセキュリティ対策を手掛ける情報処理推進機構（IPA）は毎年、「情報セキュリティ10大脅威」を発表しています。2023年版の10大脅威では、組織（企業や団体）の脅威のトップは「ランサムウェア」でした。これで3年連続のトップで、今も相変わらずランサムウェアが重大な脅威として認識されていることがわかります。

ランサムウェアの手口は、着々と巧妙になってきています。初期のころは、不特定多数のパソコンなどをターゲットとしてWebサイトへのアクセスや電子メールでランサムウェアに感染させ、侵入に成功したところで悪さをしていました。ところが悪い意味で進化してしまい、企業などのセキュリティの脆弱性（対策が弱いところ）を狙って内部のネットワークに侵入し、組織全体に対して攻撃を仕掛けるようになっています。その結果、組織のネットワークにランサムウェアがまん延し、あるタイミングで一斉にファイルが暗号化されて業務停止に追い込まれるといったことが起こりやすくなっているのです。

さらに悪いことに、ランサムウェアの被害は「身代金を払ったら終わり」とは言えません。一度、身代金を支払ったことで暗号化は解除されたとしても、攻撃者はそれまでの間に組織の重要データを取得していると主張し、「データを公開されたくなければ、追加の身代金を支払え」といった要求を繰り返す「二重脅迫」も増えています。こうした脅迫は、一度身代金を支払ってしまうと延々と続く危険性があり、組織にとってランサムウェアに感染してしまうことはとても厄介なことなのです。

このようにランサムウェアの感染は、組織に膨大な被害を与えます。暗号化によって業務が停止するだけでなく、高額な身代金を支払い、さらにはその脅迫がいつ終わるかもわからないという事態に追い込まれます。

ランサムウェアのようなサイバー犯罪に対しては、警視庁も警告をしています。万が一の際には、サイバー犯罪相談窓口（https://www.npa.go.jp/bureau/cyber/soudan.html）に通報するように求めています。通報・相談することで、全国の警察が保持する情報などを元に、捜査だけでなく被害拡大対策などへの情報提供や助言が得られます。

ちなみに被害を防ぐためには、いくつかの手段があります。1つは、不用意に見知らぬ相手からの電子メールに添付されたファイルやリンクにアクセスしないこと。最近では取引先企業や社内の連絡を装う電子メールでランサムウェアなどの感染を試みるケースも増えているので、細心の注意が必要です。学生のみなさんも、将来の仕事ではLINEやSNSだけでなく電子メールを使ってやり取りすることが増えるので、自分が感染源にならないように気をつけたいですね。

組織のレベルでは、ネットワーク機器やパソコンなどの脆弱性対策として、最新のOSや更新ファイル、パッチを適用することが求められます。自分が使うパソコンからと、OSなどの更新をいい加減に放置しておくと、脆弱性が残ってしまいランサムウェアなどに侵入されるリスクが高くなってしまいます。ウイルス対策ソフトの適用や、リスクを検知するEDR（Endpoint Detection and Response）製品の導入なども、組織にとって求められる対策です。

それだけでなく、万が一の感染に対する被害軽減対策も必要です。データはこまめにバックアップしておくことで、暗号化されてロックされた状態から早期に復旧することが可能です。バックアップしたデータもランサムウェアで暗号化されてしまわないように、異なるネットワークで管理するといった対応も不可欠です。感染を拡大させないため、不審な挙動があったパソコンなどをネットワークから切り離すなどの対応をEDR製品などで自動化することも必要です。

ITを学ぶみなさんにとって、セキュリティ対策については既に多くの形で学んでおられるでしょう。しかし知識を持っていても、自分が被害に遭わないとどうしても「ひとごと」になりがちです。ランサムウェアは、セキュリティ対策の隙間を縫って「自分の家に勝手に電子錠をかけられる」ような攻撃で、どんな企業や団体、もちろん個人も被害を受ける可能性があります。今後ITの世界にいずれ羽ばたくみなさんは、ランサムウェアなどの攻撃を「自分ごと」と考え、率先してセキュリティ対策を実践して、企業や社会の安心安全に貢献していってください。