そのメール、信じて大丈夫？「ランサムウェア」への感染とその脅威を知ろう

9月29日、アサヒグループホールディングスがサイバー攻撃を受け、受注や出荷、コールセンターなどの業務が不可能になったほか、一時は工場の停止を余儀なくされるという事態が発生しました。

その後も復旧のめどはたたず、アサヒグループHDは10月に入ってサイバー攻撃はランサムウェアによるものであることを明かしています。

ランサムウェアといえば、昨年にはKADOKAWAが「ブラックスーツ」と名乗るハッカー集団の攻撃を受けてグループ全体の業務に支障が出たほか、多くの機密情報や個人情報を外部に公開されるという被害に遭っています。

「ランサムウェア」とは何か、感染すると企業はどのような対応を迫られるかについて解説していきます。会社のサイバーセキュリティは全員で守る必要があります。

Spotify

open.spotify.com

情報セキュリティ脅威のトップを維持

IPA=独立行政法人情報処理推進機構が毎年発行している「情報セキュリティ10大脅威」によれば、2025年の組織向けの脅威ランキングは下のようになっています。

「ランサム攻撃」つまりランサムウェアによる攻撃が10年連続10回目のランク入りをしています。

ランサムウェアは「身代金」を意味する「ransom」とソフトウェア「software」を掛け合わせた造語です。サーバーの暗号化解除や抜き取った情報を「人質」に取って「身代金」を要求するというものです。

ランサムウェアのしくみ

では早速、ランサムウェアがどのようにして、どんな被害を企業にもたらすか解説します。^*1

まず攻撃者は下のいずれかのルートからウイルスをネットワークに忍び込ませます。

そのうえで、

というものです。

あるいはこれらを組み合わせて多重の脅しをかけてくることもあります。

ランサムウェア被害の事例

ランサムウェアによる大規模なサイバー攻撃といえば2024年6月、KADOKAWAグループがサーバーのデータを暗号化され、その後「ブラックスーツ」を名乗るサイバー攻撃集団から1.5テラバイト(TB)にも及ぶ量の情報を盗み取ったとの犯行声明が出された、という出来事がありました。^*2

これによって子会社であるドワンゴの動画配信サービスなどが提供不能になり、さらにグループ全体の業務サーバーもシャットダウンせざるを得なくなりました。本業の出版業務にも影響を及ぼしました。

この段階で会社としてはじゅうぶん大きな損失ですが、ランサムウェアの脅威はその先にあります。

というのはその後、ブラックスーツはKADOKAWAの経営陣に連絡して金銭を要求したと主張しています。しかしKADOKAWAが提示した金額が少なかったという不満も犯行声明で述べており、今度は盗んだとする情報をダークウェブ上で公開し始めたのです。
動画配信サービスのユーザーの個人情報、ドワンゴが運営する「N高等学校」などの在校生や卒業生、保護者の個人情報などの流出が実際に確認されました。

この「多重の脅迫」がランサムウェア攻撃の特徴です。
また脅迫への対応が難しいのは、相手が犯罪集団だということです。仮に要求通りの金銭を支払ったとしても、犯人が約束に応じるとは限りません。

実際、KADOKAWAも攻撃者に300万ドルの身代金を支払いました。^*3
しかしデータは復号されず、追加で800万ドルの支払いを要求されています。

新しい傾向「RaaS」

そして先日発覚したアサヒグループホールディングス(以下、アサヒGHD)へのサイバー攻撃も、ランサムウェアによるものです。

アサヒGHDのシステム障害は9月29日午前7時ごろに発覚し、国内の酒類や飲料、食品の受注や出荷業務ができなくなりました。さらにアサヒGHDは国内の主力工場を一時停止する事態にまで追い込まれました。

こちらは「Qilin(キリン)」を名乗るサイバー攻撃集団が犯行声明を出しており、財務情報や事業計画書、従業員の個人情報など少なくとも27ギガバイト(GB)のデータを盗んだと主張しています。^*4

Qilinは「RaaS(=ランサムウェア・アズ・ア・サービス)」を行う集団とされています。
「RaaS」とは攻撃に使うウイルスや盗んだ情報を暴露するリークサイトを他のサイバー攻撃集団に提供し、提供先が手に入れた身代金の一部を報酬として受け取る存在です。ランサムウェアによる犯罪はいまやサービスとしてビジネス化されているのです。

詐欺メールも高度化

また、ウイルス侵入口のひとつである詐欺メールも高度化しています。

情報処理推進機構が注意喚起しているウイルスメールの一例として「正規のメールへの返信を装う」という手の込んだものがあります。
過去に本人(下の図ではA氏)がやりとりしたことのある相手になりすましたメールを作成して送りつけるというものです。

さらにこの種類の攻撃メールは、受信者(ここではA氏)が過去に取引先などに送信したメールを引用し、返信部分に攻撃者が付け加えた文章が書かれているという悪質さです。
全く覚えのないメールアドレスではなく、実際にやりとりのあった人物、また、自分が送信した内容が本文で引用されているとなると、うっかり信用してしまうかもしれません。

ただこうしたメールのもう一つの特徴は、添付ファイルがあることです。この不正な添付ファイルにウイルスが含まれています。

不正な添付ファイルへの対応

こうした不正なファイルについては、もちろん「開かない」というのが最善の対応です。
しかし上のような判断のつきにくいメールに添付されている場合はクリックしてしまうこともあるかもしれません。

そこで不正なファイルかどうか見分ける手段は、ファイルが「マクロ」を実行させるものであるかどうかです。

Microsoft Officeでは、基本的に文書ファイルに埋め込まれたマクロは自動的に実行されないようになっています。マクロが埋め込まれた文書ファイルを開いた際に、マクロの実行が止められると、下のような「セキュリティの警告」というメッセージバーが表示されます。

ここで「編集を有効にする」「コンテンツの有効化」ボタンを押さなければ、ウイルスは開かれずに済みます。

必ず確認しましょう。

全社で脅威を共有してサイバー防犯を

ウイルスは、一台のパソコンの侵入口さえあればそれだけで基幹サーバーにまで一気に感染を広げてしまいます。
個人の「うっかり」や情報不足が会社全体のシステムを停止させてしまうだけでなく、サイバー攻撃集団から脅迫を受け、盗まれた情報が外部にリークされる事態にまで発展してしまうのです。

まずひとりひとりが認識を改め、つねに情報をアップデートする必要があります。
また、OSや機器のソフトウェアは常に最新のものにアップデートしておきましょう。

そしてシステムがランサムウェアに感染した時、身代金を支払うべきかどうかという点については、一般的には「支払うべきでない」とされています。^*5

攻撃者の収益は更なる別の被害者への攻撃の資金源や動機となりうる、というのもそうですが、先に述べたように身代金を支払っても相手が約束を守るとは限りません。

侵入されにくいセキュリティ対策を講じること、そして感染したとき、PC起動時に派手な警告画面が出たり大量の脅迫文がプリントアウトされたりするという演出もありますが、慌てずに、まず警察やシステムベンダーなどの関係先にすぐに連絡するようにしましょう。

企業のサイバーセキュリティは「全員で守る」ものでなければなりません。

参考資料

*1
情報処理推進機構「情報セキュリティ10大脅威 2025 組織編」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf p11

*2
日経クロステック「KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず」
https://xtech.nikkei.com/atcl/nxt/column/18/01157/070400114/

*3
日経クロステック「KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず」
https://xtech.nikkei.com/atcl/nxt/column/18/01157/070400114/?P=2

*4
日本経済新聞「ロシア系集団、日本も標的　「Qilin」アサヒ障害関与か」
https://www.nikkei.com/article/DGKKZO91829430Z01C25A0EA2000/

*5
情報処理推進機構「事業継続を脅かす新たなランサムウェア攻撃について～「人手によるランサムウェア攻撃」と「二重の脅迫」
https://www.ipa.go.jp/archive/files/000084974.pdf p9

---

組織力の強化や組織文化が根付くオフィス作りをお考えなら、ウチダシステムズにご相談ください。

企画コンサルティングから設計、構築、運用までトータルな製品・サービス・システムをご提供しています。お客様の課題に寄り添った提案が得意です。