ランサムウェア対策とは?欠かすことのできない対策とツール

INDEX

    データやPCを人質にして身代金を要求するのがランサムウェア

    会社のPC(パソコン)で仕事をしていたら、突然企画書も請求書も顧客リストも開けなくなり、「それらのファイルを取り戻したければ金銭を支払え」というメッセージが全画面に表示されて何もできなくなってしまう、そんな悪夢のような事態を招くのがランサムウェアです。

    「ランサム」とは「人質を解放するための身代金」を意味しており、PC(データ)を人質にとって仕事を妨害し、その解放を条件に身代金を要求することから、ランサムウェアと呼ばれています。企業・組織は、ランサムウェアの脅威への対策の必要性が高まっています。

    個人情報/機密情報を持たない会社でもランサムウェアの脅威にさらされる

    コンピュータウイルス等による不正アクセス被害としては、個人情報/機密情報等の情報漏洩も近年大きな話題になっていますが、ランサムウェアは「仕事を妨害する」という脅迫による金銭詐取を狙います。流出して困るような個人情報/機密情報を持たない小さな会社や個人でも、その脅威にさらされます。

    この種のプログラムが初めて登場したのは約30年前ですが、大きな脅威として注目されたのは2005年頃で、以後10年強の間に、より巧妙なものへと変化を遂げています。2017年にはその1つであるWannaCry(ワナクライ)が世界的に大流行して、一般のTVニュースなどでも報道されました。

    ランサムウェアによる被害は、その後も衰えることなく増加を続けており、IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威 2018」でも、ランサムウェアの脅威が前年に続いて2位にランキングされています。

    企業のIT環境セキュリティを考えるうえで、ランサムウェアを想定した対策は今や不可欠なものと言えるでしょう。


    被害を防ぐために知っておきたいランサムウェアの種類と仕組み

    被害を防ぐための対策として、その脅威がどのように起きるのかを知っておかなければなりません。ランサムウェアの主な感染経路はメールやWebサイトです。

    メールの中にある「ランサムウェアを感染させるWebサイトへのリンク」あるいは「添付されているランサムウェアそのもの」を開くことで感染します。

    他のマルウェア(ウイルス、アドウェア等の不正なプログラムの総称)同様、ウイルス対策ソフトウェアである程度検知できますが、完全に防ぐことはできないため、感染してしまうことを想定した対策が欠かせません。

    ランサムウェアが使う「脅迫」手法は、大まかに「暗号化型」と「警察偽装型」の2種類です。暗号化型はPC内のファイルやHDDそのものを暗号化または破壊し、使用不能に陥らせて、それを回復させるための支払を要求するものです。


    警察を偽装して罰金支払を要求するランサムウェアもある

    警察偽装型は「ネット上で違法行為を行った」という偽の告発画面を表示して、その罰金を要求します。支払を要求する際はタイムリミットが設けられ、その時間までに支払わなければファイルが永遠に失われる、などの脅迫を伴います。

    要求される金額は数万円程度で、「この程度ならポケットマネーで払えないこともない」と思えるぐらいの額でしょう。しかし、米国のセキュリティ専門機関US-CERTは「攻撃者が暗号化を解く保証はなく、逆に被害情報を攻撃者に渡すことになり次の攻撃を呼び込む恐れもあるため支払うべきではない」としています。実際、近年のランサムウェア被害では、支払っても暗号が解除されない例がほとんどです。

    2017年に話題になったWannaCryは、さらにLAN上で拡散する機能を持っていたため、多くのコンピュータに感染が広がり被害が拡大しました。


    ランサムウェア対策に欠かすことのできない3箇条

    このような脅威をもたらすランサムウェアに対して、どのような対策を取れば良いのでしょうか?

    1. セキュリティ教育

    まず必要なのは、社員へのセキュリティ教育です。標的型攻撃と同様、ランサムウェアもメールやWebサイトの閲覧を通じて感染する場合が多いため、不審なメールやWebサイトを開かないようにという注意喚起と、感染が起きてしまった場合の事後対応手順を策定・周知しておかなければなりません。

    ランサムウェアは人間の恐怖につけ込み、パニック状態に追い込んで冷静な思考能力を奪うことで、金銭詐取や混乱の拡大を狙います。だからこそ、被害を最小化するためには実際に起きた場合を想定して事前に訓練を行うことが有効です。

    2. システム的な感染防止策

    もちろん、注意だけで不審なメールやWebサイトを避けることは不可能なため、システム的に感染を防ぐ対策も必要です。

    具体的には、以下の対策が必要となります。
    ・ウイルス対策ソフトウェアでメールやWebサイト、PC内のマルウェアを検知・駆除すること ・Webフィルタリングで危険なWebサイトへの接続を防ぐこと ・知られていないマルウェアについても不審な「振る舞い」を監視して検出すること ・OSやアプリケーションの脆弱性に常に気を配り、アップデートを最新に保つこと

    3. データのバックアップ

    それらの策を講じても、なお感染してしまった場合に備えて大事なのが、データのバックアップです。ただし、バックアップがランサムウェアからアクセスできる場所に取られていると、それも暗号化されてしまう恐れがあります。

    また、バックアップを世代管理ではなく上書き方式で取っていると、暗号化されたファイルでバックアップを上書きしてしまう場合もあります。バックアップの手順は注意深く設計しなければなりません。

    以上、「セキュリティ教育」、「システム的な感染防止策」、「データのバックアップ」は、ランサムウェア対策に欠かせない3箇条と言えます。


    ランサムウェア対策に役立つツールとは?

    ランサムウェアの被害から会社を守るための体制は、それぞれの目的に合ったツールを組み合わせて構築します。具体的には下記のようなツールがあります。

    ウイルス対策

    メール送受信、Webアクセス、コンピュータ内のファイルなどに潜む、ランサムウェアをふくむマルウェアを検知・駆除します。

    ランサムウェアはマルウェアを介してインストールされることもあるため、ウィルス対策によってウイルスの検知・駆除は非常に効果的です。逆にウイルス対策が行われていない場合、各種マルウェアによる被害とともにランサムウェアによる被害も受けることとなり、情報漏えいやデータ改ざん、デバイスの乗っ取りなど多角的なサイバー攻撃の脅威にさらされることになります。また、ウイルス対策は最新のウイルスに対策するためにも常にパターンファイルが最新の状態にアップデートされるセキュリティベンダーのソフトを利用することをおすすめします。

    ウイルス対策『AssetView Vplus』

    未知の脅威対策

    毎日何十万種と作られる、パターンファイルでは発見できない新種・亜種のランサムウェア対策として、その「振る舞い」を手がかりに発見します。

    パターンファイルをすり抜けたウイルスや悪質なスクリプトを検知できるようになれば、未知のランサムウェアへの感染防止とともに他のマルウェアの感染防止にもつながります。サイバー攻撃を行うような悪意のある第三者はパターンファイルの存在を知っていることから、パターンファイルをすり抜けるような工夫も行うことも考えると未知の脅威についてもしっかりと対策しておくべきと言えます。

    未知の脅威対策『AssetView Vplus』

    Webフィルタリング

    PCからアクセスできるWebサイトの範囲をさまざまな条件で制限し、標的型攻撃の入口・出口になり得るWebサイトへの接続を防ぎます。

    Webフィルタリングにおいてもパターンファイルのような形でホワイトリスト・ブラックリストが存在します。これらが更新されていないと安全なのにアクセスできない、または危険なのにアクセスできてしまうようなことが発生するため、Webフィルタリングにおいても最新のデータが更新されるソフト・ベンダーを選ぶことをおすすめします。

    Webフィルタリング『AssetView F』

    自動バックアップ

    重要なファイルのバックアップを自動的に行います。

    ランサムウェアはデータを暗号化するタイプであることから、暗号化されていないデータがバックアップされていれば何の被害にもあわないサイバー攻撃とも言えます。そのため、自動バックアップを行う仕組みを備えておくことで被害を受けずに済みます。注意点としては悪意のある第三者はそのようなことも理解しており、バックアップも含めて暗号化するように組み込まれている可能性がある点です。自動バックアップする場合も同じネットワーク内ではなく、物理的に切り離すか、アクセス制限やIPアドレス制限などでシステム的に切り離すよう工夫しましょう。

    不正PC遮断

    管理されていない未登録のPCが社内LANに接続されることを防ぎます。ランサムウェアに感染したPCのLAN接続を速やかに遮断することも可能です。

    前述したアクセス制限やIPアドレス制限の他、MACアドレスによる制限、または専用のソフトウェアのインストールの有無など、ゼロトラストの考え方を前提にひとつの認証で突破されないようにすること、複数の認証、複数の制限を設けることをおすすめします。同様にネットワークへのログイン、社内システムや基幹システムへのログイン、データそのものへのアクセス制限や権限の割り当てを行うと、さらにセキュリティ性を強化することにつながります。

    不正PC遮断『AssetView S』

    デバイス制御

    USBメモリ、SDカード、CD/DVD、Bluetoothなど、ランサムウェアの感染源となりうるデバイスの使用に制限を与えます。デバイスのグループやユーザーごとの制限、申請による例外処置などの柔軟な運用が可能です。

    ランサムウェアの侵入経路である物理的なデバイスへのアクセスを制御・制限することで侵入経路のひとつを塞ぐことにつながります。また、クラウド上に暗号化された状態でデータをやりとりするなど、物理的なデバイスや記憶媒体そのものを利用しない方法もあります。必ずしもUSBメモリやSDカードでなければならない状況を除けば、物理的なデータのやりとりを廃止することも検討してみても良いかもしれません。

    デバイス制御『AssetView G』

    RMIMGL2664_TP_V (1).jpg

    不幸にも感染してしまったとき、被害を最小限に食い止めるためにすべきことは?

    不幸にもランサムウェアに感染してしまったとき、被害を最小限に食い止めるためにはどのようなことをすればよいのでしょうか?

    標情報漏洩を狙うタイプのマルウェアとランサムウェアには大きな違いがあります。前者は気づかれないように密かに長期間活動するのに対して、後者はユーザーを脅迫するメッセージを出すため、少なくともその時点で気づくことができる、という点です。

    このときに最もしてはならないのは、何もせずに時間を空費したり、脅迫どおりに支払をしてしまったりすることです。対応が遅れれば遅れるほど、多くのファイルが暗号化される、LAN上の他のマシンに感染が広がるなど、被害が拡大する恐れがあります。

    ランサムウェアは、脅迫メッセージを表示した背後でもファイルの暗号化を続けているため、感染に気がついたらすぐにPCをネットワークから切断し、セキュリティ管理者に通報することが望まれます。

    暗号化されたファイルを復旧できる可能性はほとんどないため、拡大防止を最優先に考えて、その後の処置はセキュリティ専門のチームに任せましょう。


    ランサムウェアに関する不安や心配が消えない時の具体的な対応策

    次にランサムウェアに関する不安や心配が消えない時の具体的な対応策について解説します。

    統合的なセキュリティ管理が可能なソフトウェアを導入する

    ランサムウェアに関する不安や心配はセキュリティに関する不安とも言えます。そのため、統合的なセキュリティ管理がソフトウェアを導入して、社内や組織内全体のセキュリティを強化することをおすすめします。前述したランサムウェア対策の他、各種サイバー攻撃、マルウェア対策、内部不正対策や情報漏えい対策など、セキュリティ対策全般を強化することで、必然的にランサムウェアに関する不安や心配も解消されます。 同様にPC操作ログの取得、Web閲覧履歴、メール送受信履歴の監視や管理を行うことで、ランサムウェアの感染源を特定できるようになり、今後のセキュリティ対策に活かすことにもつながります。セキュリティに絶対はないからこそ、取れるべき対策を取ること、その上で従業員の周知徹底や情報共有を行い、システムとリテラシーの両面を強化することを意識するのが効果的です。

    セキュリティソフトウェアのベンダーとのつながりを作っておく

    統合的なセキュリティ管理ができるソフトウェアの導入はセキュリティソフトウェアのベンダーとのつながりとなることでもあります。セキュリティソフトウェアの開発元・ベンダーはセキュリティの専門家であることから、最新のサイバー攻撃から既知のサイバー攻撃まで熟知しています。 企業や組織におけるセキュリティの課題に「セキュリティが本業ではない」や「セキュリティばかり注力できない」ことが挙げられます。現実問題として本職・本業やコアとなる業務に専念しなければならないことを考えても、セキュリティに強いベンダーとつながりを作り、サポートやアドバイスを受けた方が効率的であるの明白です。

    企業や組織の規模によってはセキュリティ人材の雇用・配置も検討すべき

    企業や組織の規模によっては、セキュリティ人材の雇用・配置を検討しましょう。必ずしもパソコンやデバイスの台数で判断すべきではありませんが、複数台のパソコンやデバイスによって業務や作業を行い、パソコン内で個人情報や機密情報を利用するのであれば、専任でなくてもセキュリティ人材を雇用すべきです。 また、複数台どころか数十台以上のパソコン、デバイスを日常的に利用するのであれば、セキュリティ人材の雇用・配置だけでなく、情報システム部の設置も検討すべきです。セキュリティに関する作業や業務は範囲が広く、対応に即時性を求められることから人員不足で対応できないとそれ自体が脆弱性、セキュリティホールになるからです。

    ランサムウェア単体ではなく、各種サイバー攻撃に関する情報を共有する

    セキュリティ意識の向上において、時事問題としてニュースで取り上げられているセキュリティインシデントやサイバー攻撃以外の周知や共有が行われない場合があります。サイバー攻撃は基本的に一つの手口・手法で攻撃してくるとは限らないため、多角的に対策を知っておくべきということを理解しておきましょう。 ランサムウェア自体も自身で感染させるタイプだけでなく、何らかのマルウェアやフィッシング詐欺などの手法を組み合わせることもあります。ランサムウェア単体の情報だけでなく、各種サイバー攻撃の手口や手法、対策を周知・共有しておく方がセキュリティ効果が高いということを覚えておきましょう。

    セキュリティに対する投資を怠らないことがもっとも大切

    企業や組織におけるセキュリティの課題の中に「セキュリティに対する投資を軽視」があります。現実的にもセキュリティは利益や売上に直結する投資・コストではないため仕方がないことでもあります。 しかし、物理的なセキュリティで考えれば、盗む人はいないだろうと倉庫に鍵をかけなかったり、玄関を開けっ放しにしたりするようなことはありません。高くても壊されにくい鍵を利用すべきですし、監視カメラの設置や警備員の配置も行うべきと言えます。これらも利益や売上に直結することではありませんが、企業や組織として必須となる投資・コストなのは間違いありません。セキュリティについても同様であり、投資を怠らないこと、コストを削減し過ぎないことを念頭に置いて、安心・安全に利益や売上を積み重ねられる職場環境の構築を目指すことをおすすめします。

    まとめ:セキュリティの基本に立ち返って地道な対策を積み重ねよう

    ウイルス対策、未知の脅威対策、Webフィルタリング、バックアップなど、ランサムウェアの被害を防ぐために必要な対策は、いずれも特別なものではありません。標的型攻撃や情報漏洩対策でも同じ項目があることからもわかるように、ITのセキュリティを考えるうえで基本と言ってよいものばかりです。

    人的対応の面でも、ランサムウェア感染時に、それをすべての社員が隠蔽せず速やかに報告し、組織的に対処できるようにするためには、標的型攻撃への対応と同様、風通しのよい組織風土に加えて、十分なセキュリティ教育が欠かせません。

    ランサムウェア対策は、標的型攻撃対策と合わせてセキュリティの基本を確認する機会と位置づけ、基本に忠実に一つひとつ進めていくことが望まれます。

    お役立ち資料を
    まとめてダウンロード!
    IT資産管理やセキュリティに関するお役立ち資料を、
    ダウンロードいただけます!
    今すぐ資料ダウンロード

    人気ランキング


    開催イベント

    • オンライン配信

      10/29(金)16:30~17:30

      CLOUD営業担当が聞いた現場情シスの
      win10/11お困りごと紹介セミナー

      運用支援

    • オンライン配信

      10/28(木)10:30~11:30

      AssetView 活用セミナー
      ~アプリケーション配布編(D)~

      運用支援

    • オンライン配信

      10/28(木)14:30~15:30

      機能別ワンポイントセミナー
      ~アプリケーション配布編(D)~

      運用支援

    • アーカイブ配信

      8/20(金)~12/31(金)

      テレワーク対策実情と今、
      必要な解とは?

      運用支援

    オススメのプロダクト

    • AssetsView
      IT資産管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT資産管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      多忙な営業現場でも継続できる、
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト