世界中で様々な企業がランサムウェア攻撃を受けています

近年ランサムウェアの被害が急増していると感じている方も多いと思います。
今回のブログではランサムウェア今更聞けないランサムウェアの基本と対策についてお話ししていきます。

ランサムウェアとは

ランサムウェアは、「ウィルスの一種、ウィルス対策ソフトを最新化しておけば大丈夫」とお考えの場合、認識を改めたほうが良いかもしれません。
ランサムウェアは基本的には「ファイルを暗号化して使えなくする」攻撃ですので、影響範囲がPCに限定されると思われがちです。
しかしその影響範囲は拡大し、事業継続上のインパクトが増大。増大したインパクトを背景に解決策として莫大な額の身代金を要求してきたり、データを盗み出して販売するといった情報漏えいに発展する悪質なケースもあります。

• ファイルを暗号化して利用できない状態にする
• バックアップデータを暗号化して復旧できない状態にする
• サーバーのデータを暗号化してサーバーが担っていた役割を果たせなくする
• 解決策として身代金を要求する
• データを盗んでダーク市場で販売する

ランサムウェアが単にPCを対象とした攻撃ではない事がご理解いただけたでしょうか。

ランサムウェアは効率の良い犯罪ビジネスになりつつあります

ランサムウェアの攻撃対象は、企業が保有する情報の質や量を問いません。
攻撃対象を選ばないという点で、攻撃者にとってランサムウェアは効率よく身代金＝お金を生み出すビジネスツールと化しており、いまやあらゆる企業が攻撃の対象になり得ます。
ツールやメールアドレスなどの攻撃に必要なアイテムをダーク市場で購入出来るため、比較的技術力が低い攻撃者でも、ランサムウェアをばら撒くビジネスに参入できます。

他方では、高度な攻撃技術を駆使して検知や防御を回避して特定企業を狙う攻撃も見られ、攻撃手法は進化し続けています。

重要データの保有有無に関わらず、ランサムウェア攻撃を受ける可能性があります

ランサムウェアをはじめとするサイバー攻撃対策が不十分な企業は、攻撃者にとっては好都合な攻撃対象です。
「当社には重要データ（特に個人情報）が無いから」という理由で対策を怠っている場合、攻撃が成功する可能性が高いので、要注意です。

万一ランサムウェア攻撃に遭ってしまったら、企業活動はどのような状態になるでしょうか。

ランサムウェア攻撃を受けた場合

影響

• PCが使用不可
• 事業運営上必要不可欠な社内システムが使用不可
• バックアップデータも暗号化され、バックアップデータを用いた復旧不可

今や企業活動においてPCや業務システムの利用は必須です。
PCや業務システムが利用できない状態になってしまったら、事業継続は困難になります。
事業継続プランに基づいた代替手段があったとしても復旧までの間はパフォーマンスが低下することは否めず、事実上開店休業状態に陥るケースが多いのではないでしょうか。
バックアップデータが暗号化されて使えなくなってしまうと、復旧シナリオ自体が崩れてしまうケースもあるかと思います。
この場合元通りに復旧できるのか、出来たとしてどれだけの時間を費やすのか、考えたくもないシナリオです。

万一身代金を支払ったとしても（身代金を支払う事は推奨されていません）暗号化されたデータが元通りになる保証はありません。
一旦身代金を支払ってしまった企業は「カネになる企業」として認知されてしまい、複数回の攻撃に見舞われるケースが指摘されていますので、身代金の支払いは避けるべきです。

二重脅迫型ランサムウェア攻撃を受けた場合

PCや社内システム、バックアップデータが暗号化され、利用や復旧が困難になるのに加えて、重要データが外部に持ち出されるシナリオが考えられます。

影響

• 重要情報が漏えい

攻撃者は奪った情報を闇市場で販売されたくなければ、身代金を支払うよう迫ってきます。
犯人に万一身代金を支払ったとしても（身代金を支払う事は推奨されていません）漏洩した重要情報が転売されない保証はありません。

ランサムウェアは、被害に遭うと八方ふさがりになる事がご理解頂けましたでしょうか。

お勧めする対策

メール経由での感染対策に加えて、多段の対策をお勧めします

メール経由でのランサムウェア感染対策として、悪性ファイルや悪性URL対策が重要になります。
クラウド型メールの場合、メール事業者側が厳重な対策を施していることがあるため、その効果を期待できます。
とはいえ過信は禁物ですので、以下に示すような多段階の対策をご検討ください。

脆弱性対策

エンドポイント（PC）は常に最新バージョンのソフトウェアを利用し、既知の脆弱性を放置しない脆弱性対策が必要です。
しかし企業内には多くのＰＣやサーバーがあるうえ、様々なソフトウェアがインストールされているため、管理は大変困難です。
そこで、優れたパッチ配布ソリューションをご検討ください。
PCやサーバーに導入されているソフトウェアは単一企業の製品では無い事が一般的ですので、マルチベンダーをサポートする製品がお勧めとなります。

弊社ではBigFixという製品を取り扱っています。
https://www.niandc.co.jp/sol/product/bigfix/

EDR

メール受信時の対策でブロックしきれないランサムウェアに備え、エンドポイント対策が必要です。
エンドポイント内の挙動を元にリスク判定するEDRの導入をお勧めします。
従来型のウィルス対策と比較して、脅威の検出率が向上するとともに、感染発覚後の対応をサポートする機能が充実しているなど、多くの導入メリットがあります。

弊社ではCrowdStrikeという製品を扱っています。

不正通信遮断

マルウェア感染後には更なる攻撃のため、不正サイトとの通信が発生するケースが多いため、不正な通信を発見・遮断できる仕組みの導入をご検討ください。
万一マルウェアに感染しても、その後の不正通信を遮断する事で攻撃を失敗に終わらせる事が可能となります。

弊社では、zscalerやNetskopeという製品を扱っております。

データ保護・監査

攻撃者が重要情報へアクセスして暗号化をしたり、情報漏えいを行う場合、企業内の管理者アカウントを乗っ取るケースが大半です。
また、情報漏えい事件の情報流出元として最も割合が大きいのは、データベースです。
そこで、データベース管理者アカウントを含めたすべてのデータベースアクセスを監視・監査するソリューションをお勧めします。
万一攻撃を受けた場合、攻撃者は発覚を恐れて痕跡を消す（ログを改ざん、消去する）ケースが大半です。
データ保護・監査ソリューションを導入する事で、攻撃者が行った操作（検索や絞り込み、コピーや削除）のログを保全して改ざんを予防する事で、攻撃の影響範囲を特定出来るようになります。
また、データベース管理者の操作（例えばコピーや消去）を予め制限しておくことで、攻撃者が制限されたコマンドを実行したタイミングで異常を検出することが可能となり、検出後のアクションとして「遮断」するよう制限をしておけば、攻撃者のコマンドは実行前に破棄されます。

弊社ではGuardiumという製品を取り扱っております。
https://www.niandc.co.jp/sol/product/guardium/

特権ID管理

サーバーやネットワーク機器などを含めたITインフラにおける管理者アカウントは特権アカウントとも呼ばれ、攻撃者側にアカウント情報が漏れてしまうと、攻撃者は管理者になりすまして企業のITインフラ内を行き来することになります。
そのため、特権アカウントの利用を制限し、利用する際は適切な申請プロセスを経た場合のみ、特権アカウントが貸与される仕組みを設けるソリューションをお勧めします。
特権アカウントの使用に際して申請者と承認者の両方に成りすしたり、申請プロセスを適切に進めるなど、攻撃者にとって攻撃の難易度が飛躍的に上がるため、特権アカウントを用いた効率的な攻撃の抑止に効果が期待できます。

弊社では IBM Security Verify Privileged Vaultという製品を取り扱っております。
https://www.niandc.co.jp/sol/product/ibm_security_verify/

ランサムウェア対策に最適解を。ランサムウェア特設サイトはこちら