最近では、大手企業を狙った大規模なランサムウェア攻撃のニュースを耳にする機会も多いのではないでしょうか。ランサムウェアとは、不正アクセスなどで端末を感染させ、復旧するために身代金を要求するサイバー攻撃です。
攻撃を受けると、業務システムを一時的に停止したり、端末を隔離したりする必要があることから、日常業務に大きな支障を与える可能性があります。その点、ランサムウェア対策を実施すると、攻撃を受けた際に発生する情報漏えいや身代金の要求などのリスクを抑えられます。
本記事では、攻撃を受ける前と後の2つのシーンに分けて、ランサムウェア対策の方法やポイントを解説します。
ランサムウェアとは端末を感染させて身代金を要求するサイバー攻撃
ランサムウェアは、マルウェア(悪意のあるソフトウェア)の一種で、感染したコンピュータのデータを暗号化し、使用不能にしたうえで、復旧のために身代金を要求するサイバー攻撃の一種です。被害者が身代金を支払わない限り、攻撃者は暗号化されたデータを復号するためのキーを提供しません。
ランサムウェアの感染経路には、フィッシングメールやファイルのダウンロードなどがあります。例えば、不審なメールの添付ファイルを開いた結果、端末が感染してデータが暗号化され、復旧するためのキーを提供する条件として、暗号通貨などによる身代金の支払いを要求するのが一般的です。
厄介なのは、身代金を支払ったとしても、必ずしもデータがもと通り復元されるとは限らない点です。一度攻撃を受けてデータが暗号化されてしまうと、復元は非常に困難となります。そのため、ランサムウェアによる暗号化への対策としては、感染を未然に防ぐことが最も重要だといえます。
ランサムウェアの被害事例2選
ランサムウェアの対策を講じるには、まずどのような被害があるかを具体的にイメージすることが重要です。実際に被害に遭った事例を2つ紹介します。
株式会社KADOKAWA
株式会社KADOKAWAは、2024年6月8日に大規模なランサムウェアの被害に遭っています。当初、複数のサーバーにアクセスできない障害が起こり事実調査を行なったところ、株式会社ドワンゴ専用のファイルサーバーが外部からの攻撃を受けたことが明らかとなりました。それにより株式会社ドワンゴが運営するニコニコ動画などのサービスが一時的に停止し、業務に大きな影響を与えています。
その後、2024年6月27日に「BlackSuit」と名乗るハッカー集団が犯行声明を発表し、同社の約1.5TBのデータを窃取したと発表しています。被害の拡大を防ぐため、サーバー間の通信切断や社内ネットワークへのアクセス禁止といった処置を行いましたが、その後、取引先の情報や社内情報の漏えいが発覚しました。
参考:KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず|日経XTECH
税理士法人高野総合会計事務所
税理士法人高野総合会計事務所は、2024年7月10日にランサムウェアの被害に遭っています。同事務所は東京海上グループから委託を受けており、関連する自動車保険・信用保険などの情報や事務所側の財務データなどが外部に流出しました。
同事務所グループ間に設定されている通信機器において、更新作業時に委託先が設定を誤ったことが主な原因です。設定不備によりデータサーバーに第三者がアクセスできる状態になっており、その穴を突かれて攻撃を受けたと考えられます。この事例は、社内のセキュリティ対策で発生しがちな、些細なヒューマンエラーが起因となっているのがポイントです。
参考:東京海上日動グループ3社で漏えいか 委託先会計事務所のランサムウェア被害で|ITmedia
事前にできる9つのランサムウェア対策
株式会社KADOKAWAの事例からわかる通り、ランサムウェアは攻撃に遭うと事後対策が困難なので、いかに事前に対策を講じることが重要となります。事前にできるランサムウェア対策には次のような種類があります。
- 主な感染経路を把握する
- セキュリティ対策ソフトを導入する
- 重要なデータのバックアップを取る
- OSやアプリケーションを最新の状態に保つ
- パスワード管理やユーザー認証を徹底する
- 不審なメールやWebサイトを開かない
- 不審なソフトウェアやアプリケーションをダウンロードしない
- 安易に個人情報を提供しない
- セキュリティ教育を実施する
それぞれの対策方法について詳しく解説します。
主な感染経路を把握する
ランサムウェアの主な感染経路を把握することで、「どの部分が特に脆弱なのか」「重点的に対策すべき箇所はどこか」といったことが明らかになります。日常的な業務フローを視野に入れることで、具体的な対策方法が浮かびあがります。
主な感染経路やパターンは次の通りです。
- メールの添付ファイルをクリックすることで、そこに仕込まれたランサムウェアが起動して感染する
- ール本文のURLやフィッシングサイトにアクセスした時点で、自動的にランサムウェアが端末にダウンロードされる
- インターネット上の配布サイトでソフトウェアやアプリケーションをダウンロードすると、ランサムウェアが起動して感染する
- USBメモリが端末に接続されると同時にランサムウェアのインストールが始まる
上記の点から、メールを開く際やWebサイトにアクセスする際などは、安全性や信頼性を慎重に検討することが重要だとわかります。
セキュリティ対策ソフトを導入する
ランサムウェア感染を防ぐための基本的な対策として、セキュリティ対策ソフトの導入があげられます。しかし、近年の巧妙化したサイバー攻撃においては、従来のパターンマッチング型のセキュリティ対策ソフトでは検知が難しいケースも少なくありません。
従来のセキュリティ対策ソフトは、ウイルス定義ファイルに新たなウイルス情報が追加されてはじめて有効に機能します。ただし、脆弱性が明らかになった直後に攻撃を受けた場合、ウイルス定義ファイルの更新が間に合わず、検知できない可能性があります。
例えば、ソフトウェアに脆弱性が発見された直後に、その脆弱性を突いて行われるゼロデイ攻撃には、従来のセキュリティ対策ソフトでは予防が困難です。このような脅威に対応するためには、EDR(エンドポイント検出・対応)やNGAV(次世代アンチウイルス)など、ウイルス定義ファイルに依存しないセキュリティ対策を組み合わせて活用することが求められます。
重要なデータのバックアップを取る
ランサムウェアの攻撃者は、特定のデータに依存するユーザーを標的にする傾向があります。これらのデータは日常業務に不可欠であるため、被害者はデータの復旧を優先し、身代金の支払いを選択してしまうことも珍しくありません。その点、重要なデータを定期的にバックアップしておけば、このような状況に陥るリスクを軽減できます。
データがコンピュータ上で直接アクセスできないデバイスや場所にバックアップされていれば、仮に攻撃を受けても、必要なデータを復元することが可能です。そのため、重要なデータは頻繁にバックアップすることが欠かせません。長期間バックアップを取らずにいると、ビジネスの継続性を阻害する要因にもなりかねないため、適切なバックアップ体制を整えましょう。
OSやアプリケーションを最新の状態に保つ
ランサムウェアの感染を防ぐための基本的な対策として、使用している端末のOS(基本ソフト)やアプリケーションの更新ファイルやパッチを適用し、常に最新の状態を維持することが重要です。
パソコンやスマートフォンといった端末だけでなく、サーバーやネットワーク機器なども対象に含まれます。先ほど紹介した税理士法人高野総合会計事務所の事例では、ヒューマンエラーによってデータサーバーに脆弱性が発生し、その穴を突いて攻撃を受けています。脆弱性を放置しないように注意し、定期的にアップデートを実施しましょう。
パスワード管理やユーザー認証を徹底する
パスワードの適切な管理は、基本的ながらも非常に重要なセキュリティ対策です。「12345」や「abcdef」といった規則性のあるパスワードは容易に破られる可能性があります。また、「password」「company」など、辞書に載っている単語も危険です。パスワードは十分な長さを確保し、ランダムな文字列を使用することが望ましいでしょう。
さらに、多要素認証の導入も推奨されます。多要素認証とは、複数の認証方法を組み合わせてセキュリティを強化する仕組みです。システムやアプリケーションにログインする際、IDとパスワードに加え、生体情報やワンタイムコードといった情報を付け加えられるため、第三者の不正アクセスを防ぎやすくなります。
不審なメールやWebサイトを開かない
近年のランサムウェアは、ネットワーク機器の脆弱性を悪用するケースが増えていますが、特定の従業員を狙った標的型攻撃メールも依然として多い傾向にあります。メールの添付ファイルを開いたり、本文に記載されたURL(リンク先)へアクセスしたりすることで、ウイルス感染や認証情報の窃取に発展するリスクが高まります。
また、ウイルス対策ソフトでは検知できない未知のウイルスも存在するため、メールの送信者、文面、添付ファイルには十分に注意を払いましょう。心当たりのないメールや、不自然な点がある内容の場合は、ファイルを開いたりリンクをクリックしたりしないことが重要です。
不審なソフトウェアやアプリケーションをダウンロードしない
ダウンロードしたソフトウェアやアプリケーションから感染することもあります。そのため、不審なWebサイトからソフトウェアやアプリケーションをダウンロードしないことが重要です。
ダウンロードする際は、必ず信頼できるサイトを利用しましょう。信頼性を判断する際には、ブラウザーのアドレスバーに表示される情報を参考にするのがおすすめです。例えば、URLが「http」ではなく「https」で始まっていることや、安全なサイトであることを示す盾や鍵のアイコンが表示されているかを確認します。
また、モバイル端末でアプリケーションやファイルをダウンロードする際も、公式のダウンロードサイトを利用することが大切です。Android端末であればGoogle Play、iPhone端末ならApp Storeから入手したアプリのみを使用しましょう。
安易に個人情報を提供しない
インターネット上で情報収集や調査を行う際は、勤務先の企業名や担当部署、メールアドレスなどを提供するケースもあります。その際、安易に個人情報を提供しないよう注意が必要です。また、インターネット以外にもSMSや電話など、個人情報を聞かれた場合も警戒する必要があります。
仮に悪意のある第三者に個人情報が渡った場合、それを起点にランサムウェアの攻撃を受けることも考えられます。ほかにも個人情報を取得し、不正なメールを正規のものに見せかけるために悪用することがあります。個人情報の提供を求められた際には、問い合わせ元の企業の信頼性や、個人情報を取得する目的が明確に示されているかを十分に確認することが重要です。
セキュリティ教育を実施する
ランサムウェアの被害を未然に防ぐには、従業員に対するセキュリティ教育も重要だといえます。ランサムウェアは主にメールやWebサイトの閲覧を経由して感染するため、不審なメールやWebサイトを開かないよう注意を促すことが不可欠です。加えて、万が一感染が発生した場合に備え、事後対応の手順を策定し、従業員に周知しておくことも必要です。
攻撃者は恐怖心を煽り、混乱させることで金銭を要求します。被害を最小限に抑えるためには、実際の攻撃を想定した訓練を実施し、従業員が冷静に対処できるよう準備しておくことが効果的です。
ランサムウェアの被害が起きた際の事後対策方法
ランサムウェアは事前対策が重要とはいえ、税理士法人高野総合会計事務所の事例のように、避けにくいヒューマンエラーが起因となって攻撃を受ける可能性も考えられます。そのため、次のような事後対策を検討することも大切です。
- 感染した端末を隔離する
- 暗号化されたデータを復旧する
- 外部のSOCに相談する
- 警察に被害届を提出する
それぞれの対策方法について詳しく解説します。
感染した端末を隔離する
ランサムウェアに感染していることが確認できたら、すぐにその端末を社内ネットワークやインターネットから切り離すことが重要です。感染したコンピューターをネットワークから切断することは、ほかのコンピューターへの感染拡大を防ぐための重要な初期対応となります。
暗号化されたデータを復旧する
暗号化されたファイルをもとに戻すには、データを復号するか、ログやバックアップから復旧するかのいずれかの方法を採るが一般的です。復号に必要なソフトウェアはセキュリティソフト企業から提供されていますが、すべてのランサムウェアに対応しているわけではありません。ランサムウェアの被害が発生した際に素早く対処できるよう、できれば平常時に自社向けのソフトウェアを選定しておくのが理想です。
また、暗号化が解除できたとしても、すべてのファイルが完全に元の状態に戻るとは限らないため、注意が必要です。ログやバックアップから復旧する場合、復旧できるのはファイルが暗号化される前、またはランサムウェアに感染する前の時点に存在していたデータまでとなります。
外部のSOCに相談する
SOC(セキュリティオペレーションセンター)は、サイバー攻撃の中でも特にランサムウェアなどの標的型攻撃を検出・分析し、企業に対策を提案する専門組織です。大規模な企業では自社内にSOCを設置することもありますが、人的リソースが限られる場合は、外部の専門企業に委託するケースも少なくありません。
これまで、SOCのような業務は企業の情報システム部門やシステム担当者が担っていました。しかし、近年の攻撃手法の高度化に伴い、求められるセキュリティ対策もより高度になり、専門的な知識が不可欠となっています。外部のSOCに相談することで、高度な専門知識を備えた心強いパートナーから的確なアドバイスを得られる可能性があります。
警察に被害届を提出する
ランサムウェアの被害を受けた際は、自社を管轄する警察署に被害届を提出しましょう。また、サイバー犯罪の実態を明らかにし、被害拡大を防止するためには、警察署または警察庁のWebサイトにあるサイバー事案の通報受付窓口に相談・通報することも一案です。
警察への相談・通報を行うことで、ランサムウェア対策に関するアドバイスを受けられます。そのほか、所管省庁やIPA(独立行政法人 情報処理推進機構)、JPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)に連絡し、事後対応の指示を受けて適切に行動することが大切です。
ランサムウェアの脅威や対策方法を理解して適切なセキュリティ対策を
事業を進めていくうえでランサムウェアは大きな脅威となります。ランサムウェアの攻撃を受けると、データの窃取やそれに伴う情報漏えい、身代金の要求など、さまざまなトラブルに発展する恐れがあります。
ランサムウェアの被害を避けるには、事前対策と事後対策の両方が欠かせません。ランサムウェアの場合、一度端末が感染すると対処するのが難しいこともあり、セキュリティ対策ソフトの導入やデータのバックアップといった事前対策が特に重要です。今回紹介した対策方法を参考に、自社に合ったセキュリティ環境を構築しましょう。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。GmailやGoogleドライブといった個別のサービスはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。「Googleサービスを活用したいが具体的なイメージが湧かない」といったお悩みを抱える方は、ぜひ電算システムへと気軽にお問い合わせください。
- カテゴリ:
- Google Workspace
- キーワード:
- ランサムウェア対策
