ランサムウェア対策とは?
当社では年間200件を超える企業様より実際に発生したランサムウェア被害のご相談を
頂いております。ニュースなどの記事を通しての情報だけを見てみると、
被害件数自体はあまりないように思われるかもしれませんが、実はこれは
氷山の一角であって、不正アクセスなどの報告義務を必要としない中小企業などでは、
潜在的に多数の企業様で感染被害が発生しているということろが実情です。
この点につきましては、システム管理部門の方々や会社の経営にかかわる方々には
特に知っておいていただきたいことになります。
また、ランサムウェア自体が認知されだした頃は、感染源がメールであったり、
偽のWEBサイトへ誘導して感染させるという手法がとられていましたが、最近得た情報
として、製造業やインフラ関連の企業様を中心に不正アクセスを行い、ピンポイント
攻撃を行って感染させるという情報もあります。もし、ランサムウェアの被害に遭って
しまいますと、先日のトヨタグループ子会社の被害などでもありましたが、
被害の範囲によっては長期間業務停止に追い込まれる可能性があります。
当社にご相談頂いた企業の中には、実際にランサムウェアへの感染後、業務再開のめどが
立たないまま業務停止に追い込まれ、このままでは倒産する!というような危機感の中
ご相談頂くケースが多いです。
では、実際に感染する企業と、感染しない企業との差は?というところになります。
当社へご相談いただき、実際に被害に遭われた企業様には共通点があります。
『まさか、当社がランサムウェアの被害に遭うとは、、、』というお言葉を必ずと
いっていいほどいただきます。誠に残念ではあるのですが、”ランサムウェア被害”
というものが、自社にもおこりえるという当事者意識の欠如が、被害に遭われた企業様の
最大の共通点です。
中小企業のセキュリティ対策の場合、その企業をターゲットとするような攻撃への
対策よりも 不特定多数に向けた攻撃への対策がメインとなります。
(内部犯への対応は要検討)
当記事ではランサムウェア対策について知っておくべきこと、 その対策方法、
そして万が一感染した場合の対応方法などについてまとめます。
1.ランサムウェアとは?
ダウンロードされたファイルやネットワーク上の脆弱性を利用してパソコンなどの
システム内に侵入し、保存されているファイルに対して暗号化を開始します。
フォルダごとの暗号化の完了と同時に脅迫文と連絡先を記載したファイルを残し、
コンタクトを取らせ、暗号資産などを利用して金銭を奪い取っていくツールのことを
ランサムウェアと呼んでいます。
2.ランサムウェアの被害に遭うとどうなる?
①ファイルの暗号化
ランサムウェアに感染すると、保存ファイルが暗号化され、専用の暗号化解除情報が
なければ、元に戻すことができなくなってしまいます。また、元に戻すためには、
主に暗号通貨(ビットコインなど)で提示された金額の支払い(身代金)が必要となります。
②ファイル拡張子の変更
1ファイルごとに暗号化が完了すると、”xxx”や”encrypt”、”lockbit”などの拡張子や
任意のメールアドレスなどの情報がファイル名に加えられます。
③コンタクト情報データの生成
1フォルダごとに保存されているファイルの暗号化が完了すると、ほとんどの場合は
英文での脅迫文のテキストが作られます。このテキストの中にどのようにすれば
暗号化されたデータを元に戻すことができるのかという情報が書かれています。
3.ランサムウェアの被害に遭いやすい企業
①簡単なパスワードを設定している
どれだけセキュリティを強固にしていても、機器へのアクセスを行う際に入力する
パスワードが安易なモノであると、ハッカーはいとも簡単にサーバーなどの機器へ
アクセスを行ってきます。年末に発表されている危険なパスワードランキングなどを
含めて、想像しやすいパスワードを設定していると、簡単に不正アクセスが行われ、
ランサムウェアを含めたマルウェア感染の温床になります。
②アップデートを行っていない
Windowsですと、基本的に毎月中ごろに定期的にアップデートプログラムが
配信されます。アップデートを怠ると、脆弱性が見つかっていた場合、標的に
なることは間違いありません。
③古いOS
OSとひとくくりにしても、WindowsやLinuxなど様々なものがありますが、
ご利用されているパソコンやサーバー機などのOSで公式のサポートが終了している
ものはありませんでしょうか?サポートの終了=更新情報がないという状態では、
万が一にそのOSで脆弱性と呼ばれる弱点が見つかってしまっても、修正プログラムの
配信が行われないため、セキュリティがいわゆる”ザル状態”になります。
こうなると、ハッカー側も願ったりかなったりという最悪な状態になります。
③サポート期間が終了したOSやソフト類
サーバー機などで使用されているOSなどは、一定期間のサポートが
行われていますが、サポート期間中が終了すると、その後に見つかってくる
脆弱性などに対して修正プログラムが提供されることがなくなるため、
ランサムウェアなどへの感染リスクが非常に高くなります。
④セキュリティリテラシーの欠如
どれだけシステム管理部門やセキュリティ部門の方々が、日々セキュリティ対策に
尽力されていても、ウイルスメールを開いて感染させてしまったパソコンに
ランサムウェアのツールをダウンロードされて実行してしまったりすると、
せっかくの努力が水の泡になってしまいます。
4.ランサムウェアから感染を防ぐ対策
①ネットワークセキュリティ機器の導入
最近のセキュリティ機器は設定したネットワーク内での異常な動作を検知した場合、
即座にその処理を強制停止させる機能(ふるまい検知)や、不正アクセスを遮断できる
機能などが組み込まれている機器が多く出回っています。一度ランサムウェアに
感染すると、時間をおいて再び感染被害に遭う可能性が高くなるため、導入される
ことをお勧めします。
②簡単に予測できないパスワードを設定する
不正アクセスを行おうとする場合、アクセスを行うために解析ソフトでパスワードを
割り出してアクセスされるということがあります。したがって、解析されにくい
パスワード=強固なパスワードとなります。
例えば、
“データ復旧クイックマン”という文字列を
“de-tahukkyukuikkuman”と変換してパスワードとすることで、解析難易度が一気に
上がります。
これは、フレーズパスワードと言われるものですが、これ以外にも条件設定を
行うことで、ランダムなパスワードを生成するツールを利用されるのも
方法の一つです。
③サポート期間が終了したOSやソフト類を使用しない
サーバー機などで使用されているOSなどは、一定期間のサポートが行われています。
サポート期間中が終了すると、その後に見つかってくる脆弱性などの対して
修正プログラムが提供されることがなくなるため、ランサムウェアなどへの感染リスクが
非常に高くなります。そのため、常に最新の状態を維持できるように環境の維持を
行って、ランサムウェアなどへの感染リスクを下げてあげることが重要になります。
④セキュリティリテラシーの向上
ランサムウェアを含めたセキュリティ上事故は物理的なものを除くと、発生要因に
人が介在していることが非常に多いです。会社の規模に関係なく
セキュリティ講習会などを開き具体例などを踏まえて身の回りにあるリスクを
きちんと理解していただくことが重要です。理解度が上がるごとに感染リスク
そのものが顕著に下がってきます。
5.ランサムウェアに万が一感染したら?
まずは、感染状況の把握を行っていただき、被害の拡大を防ぐように行動を
行っていただくことが最重要となってきます。手順としては
①感染機器のネットワークからの遮断
感染拡大を防ぐためにも、まずはLANケーブルを抜いたり、Wi-Fi機器の電源を
落とすなど行っていただき、全台ネットワーク接続ができない状態に
しましょう。
②使用中機器全台のウイルススキャン
サーバー機内で直接感染用のツールが実行されているのか、ネットワーク内の
パソコンへ感染ツールをダウンロードさせているのか、現時点では判断が難しく、
ネットワーク内から感染ツールを根絶しない限り、再びランサムウェアに
感染させられる可能性があります。セキュリティソフトなどを使用して手動で
機器ごとに全体のスキャンを行っていただき、感染源を完全に駆除していただく
必要があります。
③ネットワーク情報の再設定
主にメールアカウントやサーバーなどのネットワーク機器へのパスワードを変更して
いただくことになります。変更をかけてあげることで、ハッカー側からのアクセスを
遮断することができます。
6.ご相談ケース
【2022年実例】 設計事務所 大阪 社員数:30名 被害媒体:NAS 1台
●被害について
業務中に突然、NASに設置した共有フォルダ内のデータのアイコンが変わり、
開くことができなくなったと総務部へ問い合わせ 担当者が確認すると共有フォルダの
拡張子がどんどんencryptに変わっている 慌ててLANケーブルを抜き、NASの電源を
落としたが、 時すでに遅く、NAS内の9割以上のデータが暗号化され開くことが
できなくなった。
●当社へのご相談
拡張子を元に戻してみたりしたがファイルは開けない。 ネットで調べると
ランサムウェアの一種に感染したと判明。 対策方法がわからないので当社へ
ご相談の電話をいただきました。
●コンサルティングの開始
お電話とメールで状況のヒアリングをおこない、
・ランサムウェアの種別の特定
・被害範囲の把握
・感染拡大防止策の実施
を行いました。
また、データを復元したいとのご要望もありましたので、並行して
対応させていただきました。
業務を復旧するための前準備として、
・感染経路の調査
・ウイルスの駆除
・侵入経路の防止
を行い同じ手法での被害を防ぎつつ、今後の対策について企業様とご相談、
担当者の育成と対策機器の導入などについて取り決めをおこないました。
●結果
・約48時間でストップしていた業務を復旧
・5日で暗号化されたデータを復元
・1ヶ月後には中短期での対策を完了、長期対策計画も同時に策定完了
失ったデータが過去案件のデータがほとんどであったため、 短期的な損失は
ほとんどありませんが、データを失ったことによりリピート顧客からの対応が
難しくなり、 会社の信用を毀損する可能性がありました。今回の経験により
保存データの重要性を再認識、万が一の状況でも会社を継続できることを前提とした
対策を取りまとめいたしました。
7.最後に
最近の世界情勢を含めて、今まで以上に気を配っていかなければならないのが実情です。
ちょっとしたほころびから業務が滞り、廃業を余儀なくされてしまうこともあります。
セキュリティ対策に関しては、画一的にここまでできていればよいというものは
ありません。企業規模に関わらず、BCPの策定を行われることで、ランサムウェアの
感染以外にも業務再開へ向けての指針や方策を明確にすることができます。
