データやPCを人質にして身代金を要求するのがランサムウェア

個人情報／機密情報を持たない会社でもランサムウェアの脅威にさらされる

国内におけるランサムウェアに感染した事例

次に国内におけるランサムウェアに感染した事例を5つご紹介します。

参考資料：IPA 独立行政法人情報処理推進機構 - コンピュータウイルス・不正アクセスの届出事例［2021 年上半期（1月～6月）］
https://www.ipa.go.jp/files/000093083.pdf

※上記URLのPDF資料の「表 2-2 身代金を要求するサイバー攻撃に関する届出の概要一覧 」から抜粋しました。

NASへのランサムウェア攻撃の事例

社内や組織内におけるNASへのランサムウェア攻撃の事例として上半期だけで5件の届出が示されています。数十万個ものファイルを暗号化され、身代金を要求するメッセージが届いたもの、脅迫文やメッセージがNAS内に残されていたものなど、現実的に起こった事例です。原因が特定できていないものもあれば、NASの脆弱性を悪用したもの、テレワークへの対応で共有ポートを誤って開いてしまったものなどさまざまです。

NASのファームウェアやシステムを最新にアップデートしていなかった、急なテレワークへの対応でセキュリティの確認を怠っていたなど、どちらもありがちなケースであり、今の時代では業界や業種問わず、セキュリティ性を確保するための体制・技術・人材が必要であることを物語っています。

クラウドストレージへ不正アクセスされファイルを暗号化された被害の事例

クラウドストレージへ不正アクセスされ、かつファイルを暗号化された事例として、上半期だけで3件の届出が示されています。どのケースにおいてもクラウドストレージ上のファイルを削除されてしまったという被害であり、脅迫文が残されていたとのことです。ファイルをバックアップから完全に復元・復旧できたかは明記されていませんが、クラウドストレージに依存していた場合、デバイスとの同期を設定していれば、デバイス内のデータも削除されてしまうことも考えられます。

多要素認証やバックアップ体制を再構築するなどの対応策が挙げられていますが、被害にあってからでは遅いということを忘れてはいけません。クラウドストレージの利用自体を見直すことも含めて、ひとつのサービス・物理的なサーバーに依存しすぎないこと、最低でも3箇所以上のバックアップ先を作ることの重要性を感じる事例と言えます。

その他の身代金を要求するサイバー攻撃被害の事例

その他の身代金を要求するサイバー攻撃の事例として、上半期のみで22件もの届出が示されています。

・ランサムウェアに感染
・リモートデスクトップを介した不正アクセス
・SSL-VPN装置の脆弱性を悪用
・共有のユーザーアカウントの悪用
・ウェブサイトの閲覧により感染（推測）
・脆弱性のあるクライアント端末の悪用
・認証サーバの情報を窃取
・クラウド上の設定不備

上記はその他の身代金を要求するサイバー攻撃の事例から抜粋した原因です。原因が特定できていない、調査中という表記もいくつか見られました。中にはパソコンとサーバー合わせて80台ものデバイスがランサムウェアに感染したケースもあります。いずれも脅迫文が残されていること、何らかの脆弱性や設定の不備を狙ったものなど、セキュリティ管理があと少し行き届かなかった事例と言えます。また、ランサムウェアとともにマルウェアに感染し、社内や組織内のネットワークやデバイスで偵察や認証情報の窃盗を行うようなケースもあり、検知して駆除できなければ、被害がどんどん拡大していく恐ろしさが伝わってきます。

被害を防ぐために知っておきたいランサムウェアの種類と仕組み

警察を偽装して罰金支払を要求するランサムウェアもある

ランサムウェア対策に欠かすことのできない3箇条

ランサムウェア対策に役立つツールとは？

不幸にも感染してしまったとき、被害を最小限に食い止めるためにすべきことは？

情報システム部やセキュリティ担当として準備および想定しておくべきこと

次に情報システム部やセキュリティ担当として準備および想定しておくべきことについて解説します。

日頃のバックアップやバックアップからの復旧手順・予行演習

ランサムウェアは感染しないことも大事ですが、バックアップさえあれば復旧や復元できるものばかりです。普段から利用するマスターとなるデータだけでなく、手元のバックアップ、遠隔地でのバックアップなど、複数のバックアップをしておけば、いざという時に身代金を支払わずに済みますし、業務や作業が停滞することもありません。

ただし、バックアップがあること自体を悪意のある第三者は理解しています。偵察や他の情報の搾取、認証情報の窃盗を行われてしまえば、バックアップも含めて暗号化、もしくは削除されてしまう可能性があるということです。システムやネットワークから隔離された場所、オフラインの場所にバックアップを残せるようにしておくことも検討しておきましょう。

明確な責任区分と、必要な権限を持つ人による判断・連絡体制

ランサムウェアやサイバー攻撃は被害を受けたタイミングで正常な判断がしにくくなりがちです。そのため、責任区分を明確にし、必要な権限を持つ人を決めておきましょう。誰が判断し、誰に連絡すれば良いのかがわかっていれば、ズルズルと対処が遅れることがないからです。

また、単に責任区分を明確にするだけでなく、セキュリティ上の判断ができる人、経営も含めて判断できる人など、技術面や経営面など、それぞれの分野で必要な権限や決定権を割り振っておくことも重要です。正しい判断だとしても他に影響が出てしまったり、知識や経験が足りないことで被害が拡大しないように体制を整えておきましょう。

セキュリティインシデントの発生を想定した事後の段取り

判断する人間、権限を持つ人間を決めたら、実際にセキュリティインシデントの発生を想定した事後の段取りも決めておきます。判断や権限が決まっているだけでは、発生時の対応に遅れが生じたり、結局判断が遅れたりするためです。

例えば、日本国内で病院がランサムウェアに感染した事例において、患者のデータも含めて暗号化されてしまったため、正常な診察ができないという事例がありました。身代金は支払わず、億単位のコストをかけて復旧したものの、患者に二次的な被害であったことは否めません。バックアップから復旧し、すぐに正常に診察できる体制にしておけば、少なくとも診察ができない、急な外来にも対応できないということはなかったかもしれないということです。

同様に企業や組織においても、事業活動が一時的にでも停止する、もしくは復旧まで時間がかかるとすれば、損失が発生する時間が伸び続けるということです。顧客やユーザーの信頼を失う可能性も高いため、すぐに復旧できるようにしておくこと、被害が発生することを想定して動けるように計画しておくことをおすすめします。

担当者はもちろんのこと、担当者以外でも対応できるマニュアルの配備や人材の育成

セキュリティインシデントの発生時において、担当者が対応するのは当然ですが、担当者以外でも対応できるマニュアルの配備や人材の育成も行っておきましょう。判断や権限を持つ人も同様であり、誰それと連絡が取れない、判断を待たなければならないという形で初動を遅らせないようにすることが重要です。

同じ箇所に判断する人、権限を持つ人、対応する人が存在していることも大事ですが、何かあった時に遠隔地や別の場所で対応できる人材を作っておくということでもあります。極端なことを言えば、ランサムウェアやサイバー攻撃によるセキュリティインシデントだけでなく、自然災害の発生によって、データやシステムを失うこともあります。いざという時にどれだけ迅速に対応できるか、再建や復旧までの道筋をしっかりと考えておきましょう。

ランサムウェアに関する不安や心配が消えない時の具体的な対応策

次にランサムウェアに関する不安や心配が消えない時の具体的な対応策について解説します。

統合的なセキュリティ管理が可能なソフトウェアを導入する

ランサムウェアに関する不安や心配はセキュリティに関する不安とも言えます。そのため、統合的なセキュリティ管理がソフトウェアを導入して、社内や組織内全体のセキュリティを強化することをおすすめします。前述したランサムウェア対策の他、各種サイバー攻撃、マルウェア対策、内部不正対策や情報漏えい対策など、セキュリティ対策全般を強化することで、必然的にランサムウェアに関する不安や心配も解消されます。

同様にPC操作ログの取得、Web閲覧履歴、メール送受信履歴の監視や管理を行うことで、ランサムウェアの感染源を特定できるようになり、今後のセキュリティ対策に活かすことにもつながります。セキュリティに絶対はないからこそ、取れるべき対策を取ること、その上で従業員の周知徹底や情報共有を行い、システムとリテラシーの両面を強化することを意識するのが効果的です。

セキュリティソフトウェアのベンダーとのつながりを作っておく

統合的なセキュリティ管理ができるソフトウェアの導入はセキュリティソフトウェアのベンダーとのつながりとなることでもあります。セキュリティソフトウェアの開発元・ベンダーはセキュリティの専門家であることから、最新のサイバー攻撃から既知のサイバー攻撃まで熟知しています。

企業や組織におけるセキュリティの課題に「セキュリティが本業ではない」や「セキュリティばかり注力できない」ことが挙げられます。現実問題として本職・本業やコアとなる業務に専念しなければならないことを考えても、セキュリティに強いベンダーとつながりを作り、サポートやアドバイスを受けた方が効率的であるの明白です。

企業や組織の規模によってはセキュリティ人材の雇用・配置も検討すべき

企業や組織の規模によっては、セキュリティ人材の雇用・配置を検討しましょう。必ずしもパソコンやデバイスの台数で判断すべきではありませんが、複数台のパソコンやデバイスによって業務や作業を行い、パソコン内で個人情報や機密情報を利用するのであれば、専任でなくてもセキュリティ人材を雇用すべきです。

また、複数台どころか数十台以上のパソコン、デバイスを日常的に利用するのであれば、セキュリティ人材の雇用・配置だけでなく、情報システム部の設置も検討すべきです。セキュリティに関する作業や業務は範囲が広く、対応に即時性を求められることから人員不足で対応できないとそれ自体が脆弱性、セキュリティホールになるからです。

ランサムウェア単体ではなく、各種サイバー攻撃に関する情報を共有する

セキュリティ意識の向上において、時事問題としてニュースで取り上げられているセキュリティインシデントやサイバー攻撃以外の周知や共有が行われない場合があります。サイバー攻撃は基本的に一つの手口・手法で攻撃してくるとは限らないため、多角的に対策を知っておくべきということを理解しておきましょう。

ランサムウェア自体も自身で感染させるタイプだけでなく、何らかのマルウェアやフィッシング詐欺などの手法を組み合わせることもあります。ランサムウェア単体の情報だけでなく、各種サイバー攻撃の手口や手法、対策を周知・共有しておく方がセキュリティ効果が高いということを覚えておきましょう。

セキュリティに対する投資を怠らないことがもっとも大切

企業や組織におけるセキュリティの課題の中に「セキュリティに対する投資を軽視」があります。現実的にもセキュリティは利益や売上に直結する投資・コストではないため仕方がないことでもあります。

しかし、物理的なセキュリティで考えれば、盗む人はいないだろうと倉庫に鍵をかけなかったり、玄関を開けっ放しにしたりするようなことはありません。高くても壊されにくい鍵を利用すべきですし、監視カメラの設置や警備員の配置も行うべきと言えます。これらも利益や売上に直結することではありませんが、企業や組織として必須となる投資・コストなのは間違いありません。セキュリティについても同様であり、投資を怠らないこと、コストを削減し過ぎないことを念頭に置いて、安心・安全に利益や売上を積み重ねられる職場環境の構築を目指すことをおすすめします。

まとめ：セキュリティの基本に立ち返って地道な対策を積み重ねよう