被害が増加する新たな脅威「ノーウェアランサム」とは? その手口や対策をご紹介

近年、ランサムウェアによる被害が大きな問題となっています。令和6年9月19日に警察庁が公開した資料によると、令和6年上半期には128件のランサムウェア被害が報告されており、その影響は甚大であるとされています。さらに、新たな脅威として「ノーウェアランサム」が紹介され、注目を集めています。
しかし、「ノーウェアランサム」という言葉は警察庁によって新しく作られた造語のため、具体的な脅威や、従来のランサムウェアとの違い、必要な対策等、よく理解できていない企業様もいるのではないでしょうか。 このコラムでは、ノーウェアランサムに関する理解を深めるための解説を行っています。

ノーウェアランサムとは

従来のランサムウェア攻撃は何重にも脅迫を行うよう進化してきました。

従来のランサムウェア

ノーウェアランサムの前に従来のランサムウェアの簡単な説明をします。
従来のランサムウェアは標的のコンピューターやシステムに不正にアクセスし、データを暗号化して使用できなくする悪意のあるソフトウェアです。攻撃者は、データの復号化と引き換えに身代金（ランサム）を要求します。
近年の攻撃では、単なるデータの暗号化にとどまらない「2重の脅迫（ダブルエクストーション）」が一般的になっています。攻撃者は以下の2段階で脅迫を行います：

・データの暗号化による使用不能化と、その解除のための身代金要求
・盗み出した機密データをインターネット上に公開すると脅して、追加の金銭を要求

この2重の脅迫により、データのバックアップがある組織でも、機密情報の流出を防ぐために身代金を支払わざるを得ない状況に追い込まれることがあります。
ちなみに、最大4重までの脅迫があります。

• （１重脅迫）システムを暗号化し、業務を停止させランサム（身代金）を要求。
• （２重脅迫）データの暗号化と同時に窃取。公開されたくなければ身代金を支払うよう要求。
• （３重脅迫）攻撃対象のパートナーや顧客に、情報が洩れていることををリークし、身代金を支払うことを攻撃対象企業に提案させる。
• （４重脅迫）DDoS攻撃でさらに追い打ちをかける。

ノーウェアランサム

ノーウェアランサムは、「2重の脅迫（ダブルエクストーション）」の部分を切り出した攻撃です。
データを暗号化せずに盗み出し、それを公開しないように身代金を要求する「2重脅迫」を起点とするサイバー攻撃のことです。

警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等」によると、ノーウェアランサムによる被害が国内で令和5年に30件、令和6年上半期のみで14件報告されています。国内ではまだ数は少ないですが、海外では既に多くの被害が多発しています。米国テキサス州の某病院では、2022年７月にノーウェアランサムの攻撃を受けて、患者の氏名や住所、健康保険番号や病歴などのデータ約360GB分が盗まれ、金銭の支払いを脅迫される被害に遭いました。

ノーウェアランサムの特徴

ノーウェアランサムは、データの暗号化を行わないことによって、従来のランサムウェアとは異なる4つの特徴を持っています。

被害の検知が困難

従来型ランサムウェアとの大きな違いは、ファイル暗号化を行わない点です。従来型では暗号化により即座に攻撃を認識できましたが、ノーウェアランサムではシステムの動作に影響が出ないため検知が極めて困難です。正規のファイルアクセスと区別がつきにくく、システムパフォーマンスへの影響も最小限に抑えられています。さらに、マルウェアの痕跡が残りにくい設計で、一般的なアンチウイルスソフトでの検出も困難です。データ窃取はバックグラウンドで静かに行われ、正規の通信に偽装してデータを送信します。段階的な情報収集により負荷を分散させ、アクセスログの改竄や削除で痕跡を隠蔽します。この結果、情報流出の範囲特定が困難になり、攻撃者が十分な準備時間を確保できる一方で、組織の対応は後手に回りがちです。

攻撃のスピードが速い

暗号化プロセスが不要であることから、攻撃から脅迫までのサイクルが大幅に短縮されています。従来型と比較して、防御側の対応時間が著しく制限されることになります。データ窃取に特化することで攻撃の効率性が向上し、短時間での大量データ抽出が可能となっています。組織が対策を講じる前に攻撃が完了してしまうため、被害の防止が極めて困難です。情報の窃取と脅迫のプロセスが最適化されており、攻撃者は迅速に要求を突きつけることができます。

支払に応じやすい

従来のランサムウェア攻撃では、データの暗号化によってシステムが停止し、業務が中断してしまいます。そのため、被害を公表する必要がありました。一方、ノーウェアランサムはシステムが停止しないため、業務は継続できます。被害公表による株価下落や顧客離れなどの二次被害を恐れて、被害を公表せずに要求に応じて、穏便に解決することもできます。その結果、支払いに応じる可能性が高まってしまう恐れがあります。事業継続への影響が少ないことが、かえって被害の深刻化を招く要因となっています。

攻撃対象が広い

システム停止を伴わないという特徴により、重要インフラへの攻撃障壁が大きく低下しています。従来のランサムウェア攻撃では、暗号化による業務の停止が伴うため、人命にかかわる病院や空港、原発などの重要なインフラに対しての攻撃に、人道的に二の足を踏んでいた犯罪グループもありました。ノーウェアランサムでは攻撃対象の業務を停止させることなく攻撃できるため、今までは攻撃の対象とされていなかった重要施設が攻撃対象となる可能性があります。

なぜノーウェアランサムが利用されるようになったのか

情報を窃取して身代金を要求するサイバー攻撃は、ノーウェアランサムの出現前から存在していました。では、なぜ改めてそのような攻撃が利用されるようになったのでしょうか

ランサムウェア対策が少しずつ浸透してきた

2025年の情報処理推進機構(IPA)の「情報セキュリティ10大脅威」におけるランサムウェアでランサムウェア攻撃が10年連続でランキングされていることからもわかるように、ランサムウェア攻撃が世間一般によく知られるようになってきています。このような状況を受け、経営層のサイバーセキュリティへの関心も高まり、対策予算の確保や事業継続計画（BCP）への組み込みなど、組織的な取り組みが進んでいます。
代表的な対策であるバックアップが行われ、暗号化による攻撃の効果が薄れていることがわかります。
ただし、バックアップを行っても、バックアップ自体が暗号化されたり、準備不足で結局バックアップからリカバリーできていない現状があります。

身代金支払いに関する二次被害

「テロ、犯罪者に屈した」というイメージが形成され、ブランド価値が毀損したり、メディアによる否定的な報道により、長期的な企業イメージの低下を招く原因となるため、日本は世界的にみても身代金の支払いが低い国となっています。
攻撃者の視点では、暗号化により業務停止を行うと世間に広く知れ渡り、攻撃対象者が身代金支払いをできなくなる要因を作ってしまうことになるため、通常のランサムウェア対策ではなく、情報窃取だけを行うようになったと考えられます。

インシデント対応に注意が必要

ランサムウェアに関するコンティンジェンシープランの起点を、「暗号化による業務停止」にしていないでしょうか。ノーウェアランサム攻撃では、業務停止を伴いません。身代金を要求する痕跡ファイルや電子メール(ランサムノート)をいたずらと思って見過ごすことのないよう気を付ける必要があります。

また、データ窃取型の攻撃であるため、初期対応として被害範囲の特定が最優先となります。しかし、通常のランサムウェアと異なり、データが暗号化されていないため、被害範囲の特定も困難な対応になることが予想されます。被害範囲の特定を容易にするためには、普段の通信ログ、アクセスログ、プロセスログなどの詳細な取得、インシデント発生時の迅速な分析が必要です。特に不審な外向き通信やデータ転送の痕跡を重点的に調査します。さらに、権限昇格やラテラルムーブメントの形跡も確認が必要です。

ノーウェアランサムに有効な対策

ここまで解説してきたように、ノーウェアランサムはランサムウェアに感染させないことを除けば、従来の手口とほぼ変わりません。そのため、感染経路には大きな違いはなく、感染経路であるVPNなどのネットワーク機器の脆弱性管理を徹底することや、怪しいメールに対する警戒心を高めることが基本となります。加えて、ウィルス対策やデータのバックアップ・暗号化、アクセス権限の管理などの基本対策も重要です。

ALSOKがおすすめするノーウェアランサム対策

ノーウェアランサムに対する、ALSOKおすすめのソリューションとして「ALSOK UTM運用サービス」をご紹介します。UTMは、アンチウィルスやファイアウォール、アンチスパムなどの複数のセキュリティ機能が一つに集約されています。そのためUTM１つで、ノーウェアランサムに有効な対策を複数講じることができます。 本サービスでは、ALSOKにより厳選されたUTM機器の提供に加え、機器の脆弱性対応や設定作業、稼働監視などをALSOKがお客様に代わって行います。負担のかかる機器の運用管理の多くをALSOKに任せることができるため、手軽にノーウェアランサム対策を行うことができます。

まとめ