ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説

ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介

今回記事ではランサムウェアについての事例紹介をメインに被害の内容やランサムウェアの種類や企業別に解説していきます。

目次

ランサムウェアとは

ランサムウェアとは身代金を要求するコンピュータウィルスの一種で、ネットワークなどを通じて感染を広げるマルウェア(悪意を持ったソフトウェア)の一つです。「ランサム(Ronsom)」とは英語で身代金を意味します。

身代金の要求方法としては、PC等の端末を人質に取り、仮想通貨などを要求してきます。感染してしまうと、保存されているファイルが暗号化されてしまい復元できないケースや端末が起動しない、操作できない、などの状態になります。

関連記事

ランサムウェアの感染経路

警察庁の発表でランサムウェアの感染経路の2024年の傾向として、最近ではランサムウェアによる被害のほか、企業・団体等のネットワークに侵入し、データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取した上で、企業・団体等に対価を要求する手口(「ノーウェアランサム」)による被害も新たに確認されています。

また、最近の事例としての大きな特徴は、二重恐喝(ダブルエクストーション)による被害が多くを占める点と暗号資産による対価の要求が多くを占める点です。

なお、2023年におけるランサムウェアの感染経路としては、VPN危機からの侵入が最も多く(全体の63%)、次いでリモートデスクトップからの侵入(同18%)、不審メールやその添付ファイル(同5%)と発表されています。

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf

ランサムウェアの被害件数

調査会社(SOPHOS)の報告(調査期間2024年1月から2月)によると、ランサムウェア攻撃を受けた割合 ( 国別 )は、最も高かったのがフランス(74%)、次いで南アフリカ(69%)、イタリア(68%)と発表。逆に攻撃を受けた割合が最も低かったのはブラジル(44%)、日本(51%)、オーストラリア(54%)と発表している。

傾向としては、欧州の企業や組織を標的とした攻撃が増加していること、欧州の企業の防御態勢が他国に比べて不十分でありサイバー攻撃の進化に追いついていないことを反映している可能性があるとしている。

引用:ランサムウェアの現状2024 年版

企業・団体等におけるランサムウェア被害

警察庁の報告資料によると、企業・団体等におけるランサムウェア被害として、2023年に都道府県警察から警察庁に報告のあった件数は197件と報告されており、ランサムウェアによる被害は2022年(令和4年)上半期以降、高い水準で推移していると発表しています。

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf

ランサムウェアの事例|被害 内容別

ランサムウェア攻撃による被害や事例、内容を以下に解説していきます。

ランサムウェア「ロックビット(LockBit)」の被害例

ランサムウェア「ロックビット(LockBit)」とは、ビジネスに特化した「サービスとしてのランサムウェア」(RaaS)の一種です。開発者のチームが開発したランサムウェアを攻撃者に提供し、身代金を山分けするモデルになっている点が特徴で、自力でランサムウェアを開発できない人でもサイバー攻撃を仕掛けることができるため拡散しやすくなっています。

ロックビットに感染すると

ロックビットに感染すると主に次のような事態に発展します。

  • ファイルが「.abcd」「.LockBit」などの拡張子に変更される
  • ランサムノート(身代金要求画面)が表示される
  • 一部のセキュリティ検知は回避・突破する
  • システム内でセキュリティやインフラを無効化する
  • アクセス可能なシステムをすべて暗号化する

上記事態に発生した結果、主なセキュリティリスクとしては、データの喪失や機密情報の漏えい、ダークウェブ内での暴露、ネットワークの感染拡大、バックドアの設置(犯罪者によりコンピュータやネットワークをリモート操作される可能性)などのリスクが発生します。

ロックビットの感染経路

ロックビットの感染経路は次の通りです。

  • 脆弱なパスワードからの侵入
  • スパムメールの添付ファイルやリンクからの感染
  • フィッシングメール(ソーシャルエンジニアリング)
  • リモートデスクトップ接続の脆弱性
  • サーバーの脆弱性

名古屋港のランサムウェア 事例|丸一日搬出入作業が停止

2023年7月26日、名古屋港運協会からランサムウェアによるシステム障害についての公表がありました。名古屋港は自動車を中心に総取扱貨物量では日本一の港であり、日本の重要インフラを標的としたサイバー攻撃とみられています。

概要としては、ランサムウェアの感染が原因で、名古屋港内全てのコンテナターミナル内で運用している名古屋港統一ターミナルシステム(NUTS)に障害が発生。この障害で、その日のトレーラーを使ったコンテナ搬出入作業が中止され、翌日午後の一部のターミナルで作業を再開するまで、丸一日搬出入作業が停止。調査の結果、リモート接続機器の脆弱性を確認し、この脆弱性の悪用により不正アクセスを受けたとみられること、またデータセンター内にあるNUTS(名古屋港統一ターミナルシステム)の全サーバーが暗号化されたことを確認したことを発表。

https://meikoukyo.com/wp-content/uploads/2023/07/0bb9d9907568e832da8f400e529efc99.pdf

徳島県つるぎ町立半田病院のランサムウェア 事例|身代金被害

2022年10月、徳島県のつるぎ町立半田病院にランサムウェア攻撃を仕掛けた犯罪者集団が「病院側から身代金を受け取った」と主張し、一部メディアが報じたと発表。

内容としては、2021年10月に犯罪者集団ロックビットが半田病院にランサムウェア攻撃を仕掛け、電子カルテのシステムやバックアップ用データを暗号化して病院に身代金を要求。ロックビットは病院側関係者との交渉を経て、3万ドル(約450万円)を受け取ったとしている。

引用:公式

株式会社エンドレスのランサムウェア 事例|ネットワークへの侵入

2023年2月、スターティア株式会社が株式会社エンドレス(アクセサリー事業者)へ提供していたセキュリティサービスにおいてインシデントが発生したことを発表。

インシデントの概要としては、スターティアが構築、納品を行った製品についてリモートアクセス接続テスト用に作成したアカウント情報を削除せずに納品。その後、悪意のある第三者が当該テストアカウントを使用し、エンドレス社のネットワークに不正に侵入し、ロックビット感染が引き起こされたと説明。被害状況としては、特に社内情報の流出の事実は確認されていないとしている。

https://endless-inc.jp/blogs/news/20240423

参考

山田製作所のランサムウェア 事例|マイナンバー情報・個人情報の流出可能性

2024年2月、株式会社山田製作所は一部サーバが暗号化されるランサムウェア被害が発生したと発表。なお、同年4月1日に調査完了の報告を行っている。

被害の原因としては、同年1月に、同社保有のリモートアクセス装置が攻撃者からのサイバー攻撃を受け、当該リモートアクセス装置を通じて攻撃者が社内ネットワークに不正侵入していたことを確認。

被害の状況としては、2024 年2月6日の深夜に不正侵入されたサーバ上で EDR(不正検知) 機能を無効化した上でランサムウェア「LockBit」が展開。社内ネットワーク上の複数のサーバに保存されていたデータが暗号化。併せて、ランサムウェアの展開を実行したサーバのイベントログの消去を実施し、証拠の隠滅を図った痕跡も確認。

被害状況について、マイナンバー情報や個人情報が外部に持ち出された痕跡は確認できていないとしながらも、流出可能性のある情報として、マイナンバー情報(2016年3月時点で同社従業員であった人)、個人情報(①顧客及び関係先担当者の氏名および役職、連絡先②株主、③採用候補者、④同社従業員及び過去従業員であった人)について流出の可能性があるとしている。

https://www.yamada-s.co.jp/information/filedownload.php?name=f29c862d4c812b589e676cd4449e329b.pdf

https://www.yamada-s.co.jp/information/filedownload.php?name=76077ca833bf4ac791e99e88b414ce4c.pdf

明治のシンガポール子会社のランサムウェア 事例|身代金の要求

2022年9月、明治は海外グループ会社である「Meiji Seika(Singapore)」においてランサムウェアによるサイバー攻撃を受けたと発表。同グループ会社事務所においてパソコンを起動したところ、プリンタより大量の脅迫メッセージが印刷され、調査を行ったところランサムウェアによる被害であることが判明。

本件に関し、攻撃グループのロックビットがダークウェブ上で攻撃の犯行声明を発表。10万ドルを支払うよう要求。

ブリヂストンの海外法人ランサムウェア 事例|身代金の要求

2023年3月、ブリヂストンの米国法人がランサムウエア(身代金要求型ウイルス)の被害に遭ったことを発表。同社発表によると、2022年2月27日に南北アメリカ地域の事業統括会社であるBridgestone Americas(ブリヂストン アメリカス)でランサムウエアの感染を確認。被害の拡大を防ぐために生産や販売に関連するITシステムを遮断した影響で生産や販売などの事業活動に一時支障が出たとしている。

LockBitと名乗る犯罪者集団が、ブリヂストンを攻撃したと闇サイトで犯行声明を出したとしている。

ランサムウェア「Emotet」の被害例

ランサムウェア「Emotet(エモテット)」とは、情報窃取や他のウイルスの拡散を狙ったマルウェアで、不正なメールを通じて広がります。Emotetの特徴は、自分を正常なファイルのように偽装し、ユーザーがそれを開くと情報を盗み出したり、さらに他のウイルスを広げたりする点です。

Emotetの攻撃手法は、なりすましメールやメール添付ファイルを使用した攻撃手法が特徴として挙げられます。Emotetは複数の機能を持つマルウェアであり、特定の情報を窃取するだけでなく、自身が感染したマシンを基地として他のウイルスを配布する役割も果たします。これにより、攻撃者は特定の情報を盗み出すだけでなく、ネットワーク全体の制御をも握ることが可能となります。

Emotetに感染すると、被害内容については、機密情報の漏えい、不正攻撃の踏み台、他のマルウェアへの感染、などの被害に広がる可能性があります。

デンソーのランサムウェア 事例|データの窃取

2022年3月、デンソー自動車部品の設計・開発を担当するドイツ法人が被害を受けたと発表。同社は2021年末にもメキシコの工場で被害に遭っている。

被害の内容としては、Pandora(パンドラ)と名乗る犯罪者集団がデンソーを攻撃したと闇サイトで宣言。1.4Tテラバイトとみられるデータを盗み一部のデータを暴露。暴露したデータには取引先の情報などが含まれるとしている。Pandoraはデンソーのほか、台湾系の半導体製造企業の日本法人なども攻撃したと主張。

クラシエホールディングスのランサムウェア 事例|Emotet感染

クラシエホールディングスは2022年2月9日、グループの一部のパソコンがEmotetに感染し、同社グループの従業員を装った不審なメールが発信されていると発表。送信者には同社グループ従業員の氏名が表示されているが、送信元のアドレスはクラシエホールディングスとは別のアドレスであると発表している。

https://www.kracie.co.jp/soudanshitsu/info/10174101_3856.html

HIS(エイチ・アイ・エス)のランサムウェア 事例|個人情報の毀損及び漏洩可能性

2022年8月、H.I.S.ホテルホールディングス株式会社の運営する変なホテル金沢「香林坊」におけるウイルス感染について「個人情報流出の可能性に関するお知らせ」を公表。

概要としては、2022年7月14日深夜に変なホテル金沢「香林坊」の無人チェックインシステム管理パソコンにおいてデータが消去されている事態を確認し、チェックインシステム(自動精算機)提供会社へ連絡。同月15日にシステム提供会社より、管理パソコンに、ウイルス攻撃をうけた痕跡が見受けられたことと、ウイルスに感染していることの報告を受け、ネットワークから該当機器を切断、さらに外部からのアクセス制限を行う処置を実施し、感染の拡大を防止。同月25日にシステム提供会社の経過報告により、個人情報の毀損及び漏えいの可能性があることが判明。

同年8月5日、専門的な調査の結果、不正アクセスのログの痕跡、システムプロテクトの無効化、ランサムウェアをファイル内へ作成の事実について確認たものの、漏えいの事実は確認できなかったと発表。

https://www.hishotelgroup.com/news/1618/

https://www.his.co.jp/news/11769.html

ワコールのランサムウェア 事例|Emotet感染

2022年2月、ワコール社は一部のパソコンがコンピューターウイルス「Emotet(エモテット)」に感染し、同社従業員を装った不審なメールが、複数の方へ発信されている事実を確認したと発表。

内容としては、不審なメールのとして、送信者は同社グループ従業員氏名が表示されているが、メールアドレスの@以下が同社グループ(*****@wacoal.co.jp等)と異なるメールの存在を確認。また、不審なメールには、パスワード付きZIP形式などのファイルが添付されており、メール本文に添付ファイル名やパスワードが記載されているケースもあるとし、当該不審メールに添付されたファイルを開くことや、メール本文中のURLをクリックした場合、コンピューターウイルスへの感染や不正アクセスの恐れがあるとしている。

https://www.wacoal.jp/info/wacoal/2022/02/post_452.html

日本気象協会のランサムウェア 事例|Emotet感染

2022年3月、日本気象協会は職員を装った不審なメールが届いているとの連絡を2022年3月1日以降頂いているとし、日本気象協会職員が業務で利用している一部のパソコン端末がコンピュータウイルス(マルウエア)「Emotet」に感染し、当該パソコン端末からメールアドレスが詐取された可能性があり、その影響と考えられると発表。

https://www.jwa.or.jp/wp-content/uploads/2022/03/0cd6acf8ef61c6fef6af250af7ef6d82.pdf

京都大学のランサムウェア 事例|フィッシングメール送信

2023年11月19日京都大学高等研究院に在籍する者がメールアカウント情報を搾取され、11月20日フィッシングサイトに誘導するURLが記載された同アカウントを送信元とするフィッシングメールが大量に送信されたことを発表。

https://kuias.kyoto-u.ac.jp/j/news/2023/12/1204

ランサムウェア「WannaCry」の被害例

ランサムウェア「WannaCry(ワナクライ)」は、Windowsを標的としたワーム型ランサムウェアである。ランサムウェアには、データを「人質」に取る方法として、ファイルを暗号化する暗号化型と、コンピューターをロックしてアクセスできなくする画面ロック型が存在するが、「WannaCry」は暗号化型のランサムウェアに分類される。

暗号化型ランサムウェアは、ユーザーがアクセスできないようにデータを暗号化し、身代金を支払えばデータを復元するというメッセージを表示するが、「WannaCry」も同様の手口で身代金を要求。標的となるプラットフォームはMicrosoft Windowsで、仮想通貨であるBitcoinでの身代金支払いを要求する点に特徴がある。

「WannaCry」の感染経路としては、当初はスパムメール内のリンクや添付ファイルからランサムウェアをダウンロードさせるフィッシングの手口が使用されたと推測されていたが、その後の調査で、「WannaCry」の拡散の大きな原因となったのは「EternalBlue」であったことが判明。「EternalBlue」とは、Windowsが利用するSMBv1というファイル共有などで用いられるプロトコルにある脆弱性(MS17-010)を悪用した攻撃の名称であり、「EternalBlue」という脆弱性攻撃を用いている点が特徴。

日産自動車のランサムウェア 事例|ランサムウェア「Akira」による攻撃

日産自動車は2023年12月22日、日産自動車オセアニア部門において、日産自動車のオーストラリアとニュージーランドのシステムの一部に、権限のない第3者が不正にアクセスしたことを確認したと公表。

このサイバー攻撃はランサムウェア「Akira」によるものだと報じられており、Akiraは自身のデータ漏洩サイトにて、日産オーストラリアから約100GBのデータを窃取したと主張。なお、窃取したデータには、従業員の個人情報が記載された文章、秘密保持契約、プロジェクト、クライアントおよびパートナの情報、などが含まれているとしている。

ホンダのランサムウェア 事例|ランサムウェア「EKANZ」による攻撃

2020年6月8日、本田技研工業(ホンダ)がランサムウェアと見られる攻撃により、各国の拠点のPCがダウンし、工場からの出荷が停止するといったインシデントを報じた。工場の生産や出荷が一時止まったほか、本社などで働く従業員のパソコンが使えなくなるなどオフィス系のネットワークシステムにも障害が及んだとしている。

感染被害の内容としては、ランサムウエアと呼ばれるマルウエアの感染被害に遭ったと見られており、そのランサムウエアは「EKANS(エカンズ)」ではないかとの指摘があり、「ホンダ内部のネットワークでしか動作しないように作り込まれていた」とされている。

日立製作所のランサムウェア 事例|WannaCryへの感染

 日立製作所は2017年5月12日社内システムの一部に異常を発見(その後の調査で「WannaCry」の感染によることを確認)。同社は5月12日深夜、13日未明に対策チームを立ち上げ、状況の把握や対策の検討を開始。しかしながら、5月15日以降にメールの送受信ができなくなるなど、社内システムに不具合が発生。5月17日に概ね復旧が完了。

https://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

その他のランサムウェア被害

Hoyaのランサムウェア 事例|複数回のランサムウェア攻撃被害

2019年にメガネレンズ事業のアメリカ子会社であるHOYAはタイの工場で、コンピューターに暗号通貨のマイニングを不正に行うクリプトジャッキングのマルウェアを仕掛けられ、工場の操業に大きな支障が出たほか、東京本社のコンピューターも影響を受けたとしている。

2021年には、アメリカの子会社社、Hoya Optical Labs of America, Inc.がサイバー攻撃を受け、ランサムウェア攻撃集団(Astro Team)から犯行声明がでている。

2024年4月には、2024年3月30日から発生しているシステム障害について、サイバー攻撃である事を発表。ランサムウェアグループのHunters International(ハンターズインターナショナル)が攻撃を行ったのではないかとの情報もある状況。

ソニーのランサムウェア 事例|「ランサムウェア犯罪集団「Ransomed.vc」による攻撃

ソニーグループは2023年10月5日、国内で所有するET&S(エンタテインメント・テクノロジー&サービス)事業向け社内検証用サーバー1台が不正アクセスを受けたことを説明。「Ransomed.vc」と名乗るランサムウエア犯罪集団は2023年9月下旬にインターネット上でソニーグループのシステムをハッキングしたと主張しているが、ソニーグループからの回答については「回答を控える」とされている。

https://xtech.nikkei.com/atcl/nxt/news/18/16049/

川崎重工業のランサムウェア 事例|個人情報の流出可能性

2020年6月11日、川崎重工業は社内で実施しているシステム監査において、本来発生しないはずの海外拠点(タイ)から日本国内のサーバへの接続を発見し、同日中に不正アクセスとして同拠点と国内拠点との通信を遮断。しかし、続いて断続的に他の海外拠点(インドネシア、フィリピン、米国)を経由した国内のサーバへの不正アクセスが確認されたことから、海外拠点からのアクセス監視強化とアクセス制限の厳格化を進め、不正アクセスを遮断したと発表。

調査結果において、個人情報を含め、社内からの情報流出に関して特定できた事実はないとしているものの、不正アクセスの影響を受けた可能性がある顧客に対しては、個別に連絡をしているとしている。

https://www.khi.co.jp/pressrelease/news_201228-1j.pdf

葛飾区のランサムウェア 事例|個人情報の流出可能性

2021年3月、東京・葛飾区は街づくりなどの業務を委託した民間企業のサーバーがウイルスに感染し、約2万7000人の個人情報が流失した可能性があると発表。葛飾区によると、コンピューターウイルスに感染したのは区が業務を委託をしている千代田区のシンクタンク事業会社「ランドブレイン」のサーバーとしている。前月23日にデータを暗号化して金を要求するランサムウェアと呼ばれるウイルスに感染。「ランドブレイン」は葛飾区から住宅密集地の道路幅を広くする事業などを受託しており、感染で密集地の住宅の所有者の氏名や住所など約2万7000件の個人情報が流出した可能性があると報道されている。

オリエンタルコンサルタンツホールディングスのランサムウェア 事例|業績への影響

2021年8月、オリエンタルコンサルタンツはグループ会社を含めた社内サーバがランサムウェアによる攻撃を受けたと発表。本攻撃により、2021年9月期(20年10月~21年9月)の連結業績で約7億5000万円の特別損失を計上すると発表。

被害内容としては、サーバ内に保管していた業務関連データが暗号化され、情報が外部に流出した可能性もあるとしていた。また、同社は流出した可能性のあるデータについて、東京都や千葉県市川市がそれぞれ、同社に業務を委託していたことを発表しており、同社に貸与したデータも被害を受けた可能性があると説明していた。同社は「復旧に向けた調査および対応に伴う関連費用」として約7億5000万円の特別損失を計上した。

https://www.oriconsul.com/news/post_files/211008_newsrelease.pdf

小島プレスのランサムウェア 事例|サプライチェーン被害

2022年2月26日、トヨタ自動車の仕入先である小島プレスが、不正アクセスによるサイバー攻撃を受け、その影響で、トヨタ自動車も国内の全14工場を停止せざるを得ない事態に陥った。

小島プレス工業の子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器に脆弱性があり、そのことがきっかけとなり不正アクセスを受けたとしている。攻撃者はそのリモート接続機器から子会社内のネットワークに侵入し、さらに同社内ネットワークへ侵入。2月26日20時過ぎにサーバやパソコン端末へ攻撃を受けた痕跡があったとされている。

このサイバー攻撃は、システムへのアクセス制限をかけて身代金を要求する「ランサムウェア」によるもので、サーバやパソコン端末の一部でデータが暗号化されたとしている。

引用:公式

本件は、トヨタも攻撃され、サプライチェーン攻撃として注目されました。

ランサムウェアの対策

ランサムウェアの対策は一般的には以下です。

・UTMの導入

・EDRの導入

・情報セキュリティに関する教育の実施

・情報管理に関するポリシー規定

・エンタープライズ企業の場合:SOC(セキュリティ・オペレーション・センター)

関連記事

TOPへ