ファイルを勝手に暗号化され、元に戻すためには金銭(仮想通貨など)を要求されるといった被害をもたらすのが「ランサムウェア」と呼ばれるサイバー攻撃です。特にファイルを人質にとる「Crypto型ランサムウェア」は過去に多くの被害を生み出しています。
対処を誤ると復旧や原因調査が困難になる可能性もあります。そのため、被害を未然に防ぐためには仕組みや手口を正しく理解しておくことが重要です。
そこで本記事では、Crypto型ランサムウェアの基本的な仕組みや代表的な種類、感染した場合の対処法と防御方法について、専門家の視点から丁寧に解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Crypto型ランサムウェアの特徴
Crypto型ランサムウェアとは、ファイルを強制的に暗号化し、身代金の支払いを要求するタイプのランサムウェアです。
暗号化によって利用者のデータを人質に取る点が特徴であり、この中には暗号化機能に特化した「Encryptorランサムウェア」も含まれます。
このタイプのランサムウェアは、以下のような特徴を持ちます。
- 暗号化されたファイルの拡張子を別のものに強制的に変更し、ユーザーに被害を認識させる
- 復号方法や支払い方法を記載した「ランサムノート」(脅迫文)を端末上に表示する
- 復号のための秘密鍵(復号キー)を、ビットコインなどの仮想通貨による支払いと引き換えに提供すると脅迫する
- 最近では、単なるファイルの暗号化に加えて、データを事前に窃取し、外部公開をちらつかせて金銭を要求する「二重恐喝型(二重脅迫型)」が主流になっており、被害の深刻度が増しています
感染が成立すると、業務ファイル・システム構成・バックアップまでも暗号化されるケースが多く、システムの完全復旧は非常に困難です。加えて、攻撃者とのやり取りには法的・倫理的・技術的リスクが伴うため、安易な交渉や支払いは推奨されません。
ランサムウェアの分類(Crypto型 / Locker型)
ランサムウェアは大きく分けて「Crypto型」と「Locker型」の2種類があります。
- Crypto型(暗号化型)
- Locker型(ロック型)
Crypto型(暗号化型)
Crypto型ランサムウェアは、利用者のファイルやデータを強制的に暗号化し、復号キーと引き換えに金銭を要求するタイプの攻撃手法です。この手口は、業務システムやデータベースを使用不能にすることで、被害者に強い交渉圧力をかけることを目的としています。
現在のCrypto型は単なる暗号化にとどまらず、情報の窃取や公開、さらにはDDoS攻撃などを組み合わせた「多機能型」へと進化しており、被害の深刻度も高まっています。
なお、Crypto型の中でも、暗号化機能に特化したシンプルな構造のものは「Encryptor」と呼ばれ、初期のランサムウェアで多く見られた形式です。
現在では、暗号化に加えて情報窃取や外部公開などを行う高度な亜種(例:LockBit、BlackCat、Conti など)が主流であり、単一機能としてのファイル暗号化に依存する旧型のランサムウェアは減少傾向にあります。
Locker型(ロック型)
Locker型(ロック型)ランサムウェアは、システムや端末の操作そのものを封じ込めるタイプの攻撃です。
具体的には、ログイン画面やデスクトップを強制的にロックし、ユーザーの入力操作やアプリケーションの起動を妨害することで、端末の利用を不可能にし、ロック状態を解除する代わりに仮想通貨などによる金銭の支払いを要求します。
このタイプのランサムウェアは、システムの画面やUIをロックして、操作不能にすることに特化している点が、データそのものを暗号化して人質に取るCrypto型ランサムウェアとの大きな違いです。
ファイルが無事であるという点では被害の深刻度はやや低いように見えますが、業務端末の使用が妨げられるため、業務停止や生産性の低下といった影響は避けられません。また、一部のLocker型はOSのセーフモードやタスクマネージャーを無効化するなど、ユーザーによる復旧操作を妨げる機能を備えているものもあり、技術的な対処が難しいケースも存在します。
代表的なCrypto型ランサムウェアの種類
これまでに大規模な被害を出した代表的なCrypto型ランサムウェアを紹介します。
- WannaCry
- CryptoLocker
- Locky
- Petya
WannaCry
2017年に世界中で大規模な被害を出したワーム型(自己増殖)ランサムウェアです。米国、英国、スペイン、ロシア、台湾、フランス、日本を含む150か国以上で数万件の感染が報告されました。
主な感染経路はWindows SMBの重大な脆弱性(EternalBlue)の悪用です。初期拡散にはフィッシングメール経由の可能性も指摘されています。
出典:CISA
CryptoLocker
感染したコンピュータファイルを暗号化し、復号キーと引き換えに身代金を要求するランサムウェアです。主な感染経路は、悪意のある添付ファイルを含むフィッシングメールとされ、正規の企業を模倣した偽メールや、偽のFedExおよびUPS追跡通知を通じて拡散しているようです。
出典:CISA
Locky
Lockyランサムウェアは、2016年2月に確認されたWindows向け暗号化型ランサムウェアで、XPから10まで全バージョンに影響します。感染すると全ドライブやネットワーク共有を走査し、特定のファイルをAES暗号化によって使用不能にします。
その後、デスクトップ壁紙とブラウザに表示される身代金要求メッセージを通じて、専用の「Locky Decryptor」ページへのアクセスを指示し、復号キーと引き換えに約0.5BTC(当時約230ドル)の支払いを要求します。
Petya
Petyaランサムウェアは、従来のファイル単位の暗号化ではなく、ハードディスクのマスターブートレコード(MBR)を悪意のあるローダーに置き換える点が特徴的です。感染後、システムは強制的に再起動され、偽のチェックディスク画面を装いつつマスターファイルテーブル(MFT)を暗号化します。
これにより、ファイルシステム全体の参照が不可能となり、Windowsは起動できなくなります。再起動後は頭蓋骨の画像とともにランサムメッセージが表示され、ユーザーはTorブラウザ経由で指定サイトにアクセスし、暗号資産による身代金支払いを要求されます。
現状、身代金を支払わずに暗号化を解除する手段は存在せず、MBRを修復してもシステムは復元されません。結果として、利用者はディスクの再フォーマットとOS再インストールを余儀なくされます。
出典:PCrisk
Crypto型ランサムウェアに感染した時の対処法
感染が疑われる段階では、慌てて初期化や削除を行わず、事実の保持と被害の拡大抑止を優先する必要があります。ここでは、Crypto型ランサムウェアに感染した場合に行うべき初動のステップを順を追って解説します。
- ネットワークから隔離する
- 証拠保全
- 影響範囲の把握
- サイバーセキュリティの専門業者に相談する
ネットワークから隔離する
まずは感染端末をネットワークから隔離し、拡散防止を図ることが重要です。ただし、電源を落とすと揮発性のログやメモリ情報が失われるため、慎重な判断が求められます。
ネットワークから隔離する手順は以下の通りです。
- LANやWi-Fiを遮断し、ネットワークから隔離する
- 感染が疑われる端末の使用を中止する(電源断は避ける)
- 関係者に共有フォルダや外部ストレージの使用を中止させる
証拠保全
後の調査や復旧のためには、感染状況をそのまま記録・保全することが欠かせません。操作ログやランサムノート、暗号化の形跡を正しく残しておきましょう。
証拠保全の手順は以下の通りです。
- 復号メモや拡張子の変化をスクリーンショットで記録
- ログファイル・バックアップを取得し、別媒体に保存
- ファイル構造や変更日時の一覧をエクスポートする
影響範囲の把握
どの端末やファイルが影響を受けたか、感染の起点や拡大範囲を時系列で把握することが、被害の最小化と再発防止に直結します。
ランサムウェアのの影響範囲の把握方法は以下の通りです。
- 暗号化されたファイルの一覧と時刻を取得
- アクセスログから感染時刻・アカウントの特定を試みる
- バックアップ状況を確認し、復旧可能な範囲を明確化
>>【やってはいけないこと7選】ランサムウェア感染初動のミスが被害拡大を招く
サイバーセキュリティの専門業者に相談する
上記のような初動対応をすべて自社で行うのは難しく、特に証拠が消失する恐れがある場合は専門業者の支援を受けることが重要です。
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
Crypto型ランサムウェアの予防方法
被害を未然に防ぐためには、以下のようなセキュリティ対策の実施が重要です。
Crypto型ランサムウェアの予防方法は以下の通りです。
- 定期的なバックアップ体制の構築
- 脆弱性管理とソフトウェアの更新
- アクセス権とログの管理
定期的なバックアップ体制の構築
被害を受けた後でも復旧を可能にするために、定期的なバックアップは欠かせません。オフラインバックアップも併用することで、ランサム攻撃による巻き添えを回避できます。
脆弱性管理とソフトウェアの更新
古いソフトウェアや未更新のOSは攻撃者にとって格好の侵入ポイントになります。パッチマネジメントを徹底し、社内資産の更新状況を常に把握しましょう。
アクセス権とログの管理
誰が・いつ・何にアクセスできるかを明確にし、不要な権限を排除することで不正な侵入や拡散のリスクを下げられます。また、ログは定期的に点検し、異常がないかを監視しておくことも重要です。
まとめ
本記事では、Crypto型ランサムウェアの仕組みと代表的な攻撃の種類、被害が発生した際の対処法や予防策について解説しました。重要なポイントを以下にまとめます。
- Crypto型ランサムウェアは暗号化型で、復号のために金銭を要求する
- 一度感染すると自力での復旧は難しく、初動がカギを握る
- 被害の拡大を防ぐには、ネットワーク隔離と証拠保全が最優先
- 防御策として、バックアップ体制と脆弱性管理を徹底する
感染の兆候がある場合は、できるだけ早く専門業者への調査依頼を検討することをおすすめします。