近年は、組織をターゲットにしたサイバー攻撃の中でもランサムウェアによる被害が激増しています。
そのため、企業にとっては、ランサムウェア攻撃の危険性を理解し、正しい対策を取ることが急務です。
本記事では、ランサムウェア攻撃の手法や、感染した場合の初動、そしてランサムウェアを侵入させないための対策方法について分かりやすく解説します。
ランサムウェアは、マルウェア(悪意あるソフトウェア)の一種です。
マルウェアとは、コンピュータシステムやネットワークに侵入し、損害を与えるプログラムの総称。
ウイルス、スパイウェア、アドウェア、トロイの木馬など、マルウェアにはさまざまな種類がありますが、中でもランサムウェアの被害件数は著しく増加しており、世界中の企業にとって大きな脅威となっています。
ランサムウェアとは、「ransom(身代金)」と「software(ソフトウェア)」を組み合わせた造語。
コンピュータシステムに侵入し、データを暗号化することでアクセスを阻害し、解除のための身代金を要求するのがランサムウェアの手口です。
近年、ランサムウェアはその攻撃手法を進化させ、多くの大企業や公的機関を悩ませています。
警察庁の統計によると、企業・組織におけるランサムウェアの感染経路トップ3は次の通りです。
特に、上位2つの感染経路が8割以上を占めています。
従来よりマルウェアの主な感染経路であった「メールの添付ファイルや不審なリンク」からの感染も依然としてありますが、テレワークの普及により利用が増加しているVPN機器やリモートデスクトップを狙うサイバー攻撃が増えているのが近年の特徴です。
ランサムウェアによる攻撃とは一体どのようなものなのでしょうか。
その名が示す通り、ランサムウェア攻撃の最終的な目的は身代金です。
データを人質に金銭を要求するのが共通点ですが、攻撃にはいくつかの異なる手口が存在します。
具体的にどのような攻撃手法が取られているのか・どのような被害を及ぼすのかを解説します。
攻撃者がシステムに侵入し、重要なデータやファイルを暗号化します。
データの暗号化は、ランサムウェア攻撃の最も一般的な手法です。
システムに侵入すると、特定の暗号化アルゴリズムを使用して被害者のファイルやデータベースを読めない形に変換します。
暗号化のプロセスは非常に迅速に行われるため、多くの場合、ランサムウェア攻撃に気づいた頃にはデータへのアクセスができなくなっていることが多いです。
暗号化されたデータは、特定の復号キーがなければ元に戻すことができません。攻撃者は元に戻すための鍵を提供する代わりに身代金を要求するのです。
一部のランサムウェア攻撃では、攻撃者がシステムを乗っ取り、システム全体または重要な機能をロックして使用不能にします。
具体的には、OSの起動を妨害したり、ログイン機能をブロックしたり、操作を無効にするといった手法がとられます。
この攻撃を受けると、システムを早急に回復しなければ、企業活動に支障がきたすだけでなく、業務を停止せざるを得なくなることも考えられます。そうなると顧客サービスやブランドの信頼性にも影響します。
データやシステムの解除と引き換えに、ビットコインなどの匿名性が高い暗号通貨で身代金の支払いを要求されます。
身代金が支払われれば復号キーを提供する・システムへのアクセスを元に戻すといった約束ですが、支払ったとしても必ずしも解除される保証はありません。
最近のランサムウェア攻撃では、単にデータを暗号化するだけでなく、さらに複数の脅迫手段を用いる「多重脅迫」戦略が見られます。
二重脅迫では、攻撃者は、身代金が支払われない場合に盗んだデータを暴露すると脅します。
三重脅迫では、被害者にサービス妨害(DoS)攻撃を行うことをほのめかします。
さらに四重脅迫では、これらに加えて、被害者の顧客や取引先へ直接連絡を取り、被害者の評判にダメージを与えると脅迫します。
多重脅迫により、攻撃者は、多重脅迫することで、被害者への心理的負担を増幅させます。
ランサムウェア攻撃を受けた場合、迅速かつ冷静な対応が極めて重要です。
被害の拡大を防ぎ、可能な限り早く通常の業務に復帰するために、行うべきことを順を追って説明します。
まず早急に対処しなくてはいけないのが感染した端末を切り離すことです。ランサムウェアの感染を確認したら、直ちにコンピューターや端末を社内ネットワークやインターネットから切断してください。
感染した端末をネットワークから遮断することは他の端末への被害拡大を防ぐ上で重要な初動となります。
感染した端末が切り離されたことが確認されたら、感染時のデータを証拠として確保しましょう。この際に注意するべきは所定の手続きに則って行う必要があります。
むやみに電源を切ったり、バックアップを取るなどの操作を重ねるとハッシュ値などが書き変わってしまう恐れがあり、感染経路の特定や復元作業の妨げとなってしまう可能性があるので注意しましょう。
これら手順の確認も含めて、システム管理者へ相談、通知しましょう。
最初に行うべきことは、攻撃の影響範囲を特定することです。
どのシステムやデータが影響を受けているのか、感染が内部ネットワークに拡散していないかを確認します。
影響を受けたシステムを特定したら、すぐに文書化し、記録を取っておきましょう。
この情報は、後続の対応策を決定する際の基礎となります。
感染が他のシステムやデバイスに拡散するのを防ぐために、影響を受けたシステムをネットワークから隔離します。
インターネット接続を切断し、内部ネットワーク内の通信もただちに停止させてください。
これにより、ランサムウェアがネットワーク内で拡散するのを抑えることができます。
ランサムウェアの種類を特定することが次のステップです。
セキュリティソフトウェアを使用してスキャンを行い、感染源を特定します。
また、ランサムウェアの挙動や特徴から、感染したマルウェアの種類を特定することが可能な場合もあります。
この時に削除してしまうと追跡ができなくなることもありますので、可能であればセキュリティの専門家に相談しながら行うことをお勧めします。
データが暗号化されたり、システムがロックされたりした場合、事前に取得していたバックアップからの復旧が最善の対応策です。
重要なのは、感染する前の最新のバックアップを使用すること。
復旧作業を安全に行うためにも、バックアップデータがランサムウェアに感染していないことを必ず確認しましょう。
復旧作業には時間がかかることがあるため、事業継続計画に従って対応し、必要に応じて顧客や関係者に通知を行うことも必要となってきます。
このようにランサムウェアをはじめとしたマルウェアに感染してしまうと損害を被るだけでなく、多くの時間やコスト、リソースが対応に必要となってしまいます。
このようなインシデントが起こってから対策するのではなく、インシデントが起こる前からセキュリティ対策を行う必要があるのです。
大事な顧客データや社内データをたくさん抱える企業や団体の方は特にセキュリティ対策を進めていきましょう。
以下はセキュリティ対策の一例です。
セキュリティ対策は一度きりのものではなく、継続的な取り組みが必要です。
ランサムウェアを始めとしたマルウェア感染やその他サイバー攻撃は日々進化しており、新たな手法が常に開発されているため、最新の脅威情報に常に注意を払い、適切な対策を講じることが求められます。
ランサムウェア攻撃の対策としては、「侵入・感染を防ぐ」ことと同時に、「万一、感染した場合に備えた自社での復旧方法を確保する」ことも重要です。
そのため、多方面からの攻撃に備えた万全なセキュリティ対策が必要となります。
とはいえ、自社のセキュリティを一から見直すには時間もリソースも足りないということも多いのではないでしょうか。
そのような場合は、セキュリティ対策を専門家にアウトソーシングするという選択肢もあります。
本記事を監修しているNECネッツエスアイでは、セキュリティの診断から最適なサービスの提案・構築・運用・保守までを一貫したサポートを提供しています。
ランサムウェア攻撃への対策にお困りでしたら、ぜひ一度NECネッツエスアイへご相談ください。
アウトソーシングすることのメリットは、こちらの記事でも詳しくご紹介しています。
