データやデバイスが使えなくなることで、事業を止めざるを得ないような大きな影響をもたらすランサムウェア攻撃。生活インフラや人命に関わる組織が狙われる場合もあり、注目が集まっています。

本記事では、ランサムウェア攻撃の基本的な情報と対策について、分かりやすくまとめています。

ランサムウェア攻撃とは

ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語であり、暗号化などによってファイルやデバイスを利用不可能な状態にした上で、それをもとに戻すことと引き換えに金銭を要求するマルウェア（コンピュータウイルス）です。その攻撃がランサムウェア攻撃です。

近年、ランサムウェア攻撃を支援するクラウドサービス「RaaS（Ransomware as a Service）」がサイバー攻撃者の間で普及しています。これはサイバー攻撃者がランサムウェアを使用するうえで必要なツールをセットにしたもので、高い技術力がない攻撃者にもランサムウェア攻撃を可能にしています。こうしたRaaSの登場がランサムウェア攻撃の増加に拍車をかけており、組織にはより一層のセキュリティ対策強化が求められます。

ランサムウェア攻撃の手口

ランサムウェア攻撃は暗号化した情報を人質にして金銭を要求する攻撃が一般的ですが、2020年以降は「暴露型」と呼ばれる攻撃が増加しています。暴露型のランサムウェア攻撃では、サイバー攻撃者は人質とした情報に対して、①情報の復元を不可能にする ②窃取した情報をダークウェブ上で公開する という二重の脅迫を行います。BCPやランサムウェア対策としてデータのバックアップを行っている組織でも、情報の暴露は重大なリスクとなります。

また、暴露型のランサムウェア攻撃は攻撃の狙いも変化させています。従来、ランサムウェア攻撃手口はメールなどの一斉送信による無差別な「ばら撒き」が主流でしたが、暴露型ではより高額な身代金を請求することを目的としてターゲットを絞り込んだ「標的型攻撃」に姿を変えてきています。そのため、従来よりも時間と労力をかけた高度な攻撃が増加しているのです。

ランサムウェアによって暗号化されたファイルを自分自身で復元するのは極めて困難な上、たとえサイバー攻撃者が要求する身代金を支払っても暗号化や情報の暴露を攻撃者が止めてくれる保証はなく、大きな被害を被るリスクがあります。さらに、金銭的な損害だけでなく、取引先のデータや個人情報など重要な情報の流出に発展することもあるため、社会的信用の失墜を引き起こしたり、事業の継続が困難になる恐れさえあります。

ランサムウェア攻撃への対策

組織に重大なリスクをもたらす高度なランサムウェア攻撃を防ぐためには、高度な標的型攻撃にも対応できるようなセキュリティ対策を行うことが重要です。侵入防止の観点で重要なポイントをご紹介します。

①次世代型のエンドポイントセキュリティ

ランサムウェアを含めたマルウェアは日々新しい亜種が生まれています。重大な被害に至らないためには、パターンやシグネチャをもとにマルウェアを検知する従来型のセキュリティソリューションだけではなく、プロセスやファイルの振る舞いをもとに侵入を検知する次世代型のセキュリティソリューションが有効です。

②脆弱性への対応

ソフトウェアや機器の脆弱性は日々発見されており、それを放置しているとサイバー攻撃者につけ入る隙を与えてしまいます。多くのメーカは自社製品の脆弱性を是正するアップデートファイルを配布していますので、最新バージョンへのアップデート・最新パッチの適用を必ず行いましょう。また、古いOSはメーカのアップデート対象とならず脆弱性の解消ができないことがあるため、なるべく最新のOSを使用することも重要なポイントです。

③従業員へのセキュリティ教育

従業員に対してセキュリティに関する基本的な教育を行うことは、ランサムウェア攻撃のみならず、全てのセキュリティインシデント予防において最も重要です。不審なファイルが添付されたメールは開かない、簡単に推測されてしまう安易なパスワードを設定しない、組織で定めた機器以外を業務で使わないなどのルールを明文化して、ルールの徹底を図りましょう。

100%防げないからこそ、侵入後の対策を

サイバー攻撃の手法が日々急速に進化する現在、ファイアウォールやアンチウイルスなどの侵入防止ソリューションが100%侵入を止めることが難しくなってきています。

このような状況で、「侵入を絶対に防ぐ」のではなく、「侵入後、いかに早く攻撃を検知し、正確に影響範囲を特定し、迅速に対処するか」という侵入後対策の重要性が高まっています。効果的な侵入後対策を行うためのポイントをご紹介します。

①EDR（Endpoint Detection & Response）

EDRとは、エンドポイントの状況や通信内容を監視して異常や不審な挙動を検知し、迅速な対応と復旧を可能にするセキュリティソリューションです。高度なランサムウェア攻撃に狙われやすいインフラ系の組織は、侵入を前提としてセキュリティ対策を考える必要があります。サイバー攻撃の兆候をいち早く検知し、スムーズな初動対応を行える体制を取ることが非常に重要です。

②ファイルの適切なバックアップ

ランサムウェアにより情報を暗号化されてしまうと、自力で暗号化を解除することは非常に困難です。万が一の事態に備え、定期的・複数箇所にバックアップファイルを保存して、重要な情報が失われないようにしましょう。またこのとき、従業員が無断で私的なクラウドストレージやUSBメモリなどを使用することは情報漏えいのリスクを高めるため、組織としてルールを定めておきましょう。

③情報インシデント管理体制を構築する

ネットワークや端末などで不審な活動が検知された際、発見者やIT部門の従業員などが全ての対応を行うことは極めて困難です。特に、ランサムウェアなどの深刻な脅威に対抗するためには、情報インシデントが発生した際の管理体制を構築する必要があります。不審な活動を発見した際の通報や被害状況の集約・分析、他社への連絡が必要な際の担当者などを決めておく必要があります。また、こうした管理体制の構築には経営層の強いコミットメントが欠かせません。

ランサムウェア攻撃で事業を止めないために

さまざまなサイバー攻撃の中でも、ランサムウェア攻撃は被害にあった組織が事業を停止せざるを得ない状況に追い込まれる深刻なリスクをはらんでいます。特に、生活インフラや人命に関わる事業を行っている組織では、インシデント発生時に原因究明と復旧をいかに迅速に行うかが、社会的信用の失墜を防ぐためには非常に重要です。

資料ダウンロード

特設ページ

同じカテゴリーの記事をみる