好きな所から読む
ランサムウェアとは?
ランサムウェアは、ユーザーが使用しているPCや社内システムを利用不可能な状態に追い込み、元の状態に戻す代わりに多額の身代金を要求する不正プログラムです。身代金を払わなかったとしても、攻撃を受けた社内システムの復旧作業には多くの時間を必要とするため、ビジネス機会の損失や管理者の業務負担増大につながり、企業にとっては多くのダメージを受けます。
ランサムウェアは攻撃の兆候や予兆が無く、突然PCがシステムダウンに追い込まれるため、企業としては非常に厄介で深刻なダメージを与えるサイバー攻撃です。実際、企業の感じているセキュリティ上の脅威には毎年トップ5に入っています。
近年では、ユーザーIDやパスワードをハッキングして企業の機密情報を盗んだり、社員の個人情報を盗んだりして、闇取引の取引材料として売買されるケースも増えてきました。
ランサムウェアによる被害事例を紹介
WannaCry、Bad Rabbit、Oni(鬼)の事例を紹介します。
WannaCry
2017年に世界150か国以上で被害をもたらした事例です。発生から24時間で30万台以上のPCに被害を与え、特に被害が大きかったイギリスでは政府システムや病院、鉄道など、機密情報を多く保有している組織や社会インフラとして重要な機能を果たしている組織が狙われました。
WannaCryはランサムウェアに加え、ワームの要素もミックスさせたマルウェアだったのが特徴です。ワームは自己増殖が可能なマルウェアで感染スピードが速いです。他のPCやネットワークに侵入して、メールやWebサイトを悪用して次々と感染を広めていきます。
WannaCryは、Windowsの共有プロトコルSMB 1.0(SMB v1)の領域でのコード処理における脆弱性を利用して、サイバー攻撃を行ってきました。OSやソフトウェア上の脆弱性を突く攻撃をエクスプロイト攻撃と呼び、Windowsの脆弱性を突いたWannaCryの攻撃は「EternalBlue」と呼ばれています。Microsoft社はWannaCryの攻撃後すぐに修正プログラムを配布しましたが、適用されていないPCが数百万台あり、依然として危険性が叫ばれています。
Bad Rabbit
2017年に、主にロシアやウクライナで感染が見られたランサムウェアです。Bad RabbitはAdobe Flashのインストーラーに偽装し、ユーザーが偽装ファイル「install_flash_player.exe」をダウンロードすると、PCが感染します。
Bad Rabbitに感染した場合、PCが勝手にシャットダウンされ、再起動しても動かなくなります。攻撃者は元の状態に戻す代わりに身代金を要求し、期限時間内に支払いに応じないと要求金額を引き上げる手法を取っていました。
Adobe Flashに似せた巧妙な偽サイトを用意して、ファイルをダウンロードさせる手法を使ってきたため、ユーザーは警戒心を抱かず、感染が拡大しました。
日本でも愛知県に本社を置き、住宅関連用品を販売するアイカ工業社がWebサイトを改ざんされる被害に遭っています。WannaCryに比べると、被害の地域や被害総額は限定的でした。
Oni
Oniは、2017年に確認された日本企業をターゲットにしたランサムウェアです。企業内のネットワークに長期間侵入し、標的型攻撃を繰り返してきた痕跡を消すために作られたランサムウェアだと言われています。
特徴は偽装メールに添付したワードやエクセルのドキュメントをユーザーが開いた瞬間に、遠隔操作ツール(Ammyy Admin RAT)をダウンロードさせる仕組みがOniの特徴です。
遠隔操作ツールによって、ネットワークを利用するための情報やデバイス機器の証明書に関する情報を収集します。その後、ドメインコントローラーを中心としたネットワークを構成する主要機器を感染させ、攻撃者が自由にシステムを操れる状態を作ります。
ネットワーク内のログ削除やファイルの暗号化などを実行しつつ、最終的には企業の構築したシステムをシステムダウンの状態に追い込みます。深刻な被害は見つからなかったものの、依然として注意が必要です。
ランサムウェアが増加している3つの理由
RaaS(Ransomware As A Service)の存在、セキュリティ対策の未整備、社員のセキュリティ意識の低さが挙げられます。
RaaSの利用増加
ランサムウェアをクラウドサービスとして購入可能なRaaSの存在が、理由として挙げられます。スキルや知識がない攻撃者でもRaaSの利用料金だけ支払えれば、簡単にランサムウェアを利用できるからです。
RaaSは主にGoogleやYahoo!では引っ掛らないダークウェブ上で行われ、サービスの中には数万円前後で取引が行われるものもあります。手が届きやすい価格設定であるだけでなく、成功報酬としての身代金の支払方法や脅迫の仕方などサービスも細かく設定されています。
攻撃者がランサムウェアを利用しやすい状況が作られているため、今後もランサムウェアを利用したサイバー攻撃は後を絶たないことが予想されます。
セキュリティ対策が進んでいない
ランサムウェアが驚異を与える存在として認識していたとしても「うちは規模も小さいから狙われない」、「うちの企業には攻撃者が狙うような情報資産はないだろう」といった、セキュリティ対策が進んでいない理由を正当化することが問題です。自分の出来事として捉えていないため、セキュリティ対策を先延ばしにしても問題ないと考えています。
確かに直接売上や利益を生まないセキュリティ分野への投資は、優先順位としては高くないのが現状です。業績が苦しい時に経営者がまず行うべきことは新規企画の立案、既存企画の修正、営業戦略の見直しなど、業績を回復させるための施策です。経営者には長期間安定的に企業を維持していくことが求められるので、当然の判断だと言えるでしょう。
ですが、資金面やセキュリティ分野の人材確保に悩む企業でも残されている時間は、多くありません。近年は中小企業をターゲットにしたサプライチェーン攻撃も増加しています。サプライチェーン攻撃はターゲット対象である大企業を直接狙わずに、取引のある中小企業を起点に大企業のネットワーク侵入や情報資産・機密情報の獲得を狙う攻撃です。
資金的に余裕のある大企業はセキュリティ対策を強化して、自社の情報資産を守るシステムを強化しています。攻撃者にとって正面から大企業のネットワークに侵入するのはリスキーであり、大企業と比べてセキュリティ対策や意識の低い中小企業を狙う方が、はるかに成功確率が上がるといった判断です。
セキュリティ対策への取り組みを強化するべきとの認識は社会全体で浸透しており、取引先のセキュリティ対策が不十分が原因で自社の技術データや顧客情報など機密情報が流出した場合は、取引量の低下や取引停止を考えている企業がほとんどです。
莫大な経済的損失と社会的信用を同時に失うため、情報資産を守るための対策は非常に重要です。
社員へのセキュリティ教育不足
ランサムウェアやマルウェア感染を狙った標的型攻撃は、偽装メールを利用した場合も依然として多いです。取引先や送信元を偽装して攻撃者の用意した偽サイトへの誘導やワードやエクセルにランサムウェアを忍ばせるパターンなど、様々な方法で攻撃者は騙そうとしてきます。
セキュリティ意識の低い社員が何も警戒しないでメールを開封すると、ランサムウェアへの感染リスクが高まります。また、テレワークの導入で、自宅やサテライトオフィスといった社外で仕事をする機会が増加してきました。
直接セキュリティについて指導する機会や情報の取り扱いに関しての監視の目も減ってきています。ですが、一度のミスで企業の機密情報や顧客情報は流出し、今後のビジネスが大変厳しくなります。
社員に対してランサムウェアを含むマルウェア感染の危険性、情報漏洩への対策と流出した場合の企業への影響力など、社員にセキュリティ分野について教育する時間を作ってください。
ランサムウェアを防ぐための4つの対策
アクセス制限と権限の最小化、導入製品を最新の状態に保つ、データのバックアップなど4つを紹介します。
外部サイトへのアクセス制限
社員が閲覧できる外部のWebサイトを業務上必要性のあるサイトのみに限定します。ランサムウェアの感染は、改ざんされた偽のWebサイトで何らかのデータファイルをインストールして感染するパターンも多いからです。
攻撃者によって巧妙に作成された偽サイトは本物と見分けがつきにくいため、安易に閲覧してランサムウェアに感染しないためにも、有効な手段の1つと言えるでしょう。
データファイルへのアクセス権限の最小化
ランサムウェアは社員の利用するPCに侵入後、共有フォルダのファイルの暗号化を行います。ですが、特定のユーザーしかデータファイルへの書き込みや編集が行えないようにすることで、暗号化を防ぎます。アクセス権限を最小限にすることで、ランサムウェアによる被害を最小限に抑えることが可能です。
定期的なアップデート
導入しているOSやソフトウェア、セキュリティソフトは最新のバージョンを使いましょう。古いバージョンを利用していると製品の性能を最大限に享受できないだけでなく、最新のマルウェアにも対応できません。
社員に対して定期的なアップデートを行うように教育を行ってください。また、使用しているセキュリティツールやソフトウェアでベンダーから脆弱性に関して発表があった場合は、ベンダーから配布される修正プログラムを必ず適用してください。
未適用の場合、攻撃者から脆弱性を突かれるエクスプロイト攻撃を受け、システムの停止や業務の停滞など様々な影響が考えられます。
データのバックアップ
ランサムウェアに万が一感染した場合でも、バックアップを取っておけば感染後の被害を最小限に抑えることができます。暗号化されたファイルは消去し、バックアップのデータを復元すればいいからです。
重要なのはバックアップデータを保存する場所で、社内ネットワークに侵入後アクセス可能な場所に保存しておくと、バックアップデータも暗号化され使えなくなります。
データセンターやサーバーは別の場所で保管しておくなど、被害を抑える仕組みを取りましょう。
ランサムウェアを防ぐために3つのおすすめのセキュリティツールの紹介
EDR、UTM、SDPの紹介をします。
EDR
EDR(Endpoint Detection and Response)は、社員の利用するスマートフォンやノートPCをエンドポイントと位置づけ、端末内のセキュリティ監視を行います。EDRはランサムウェアを含めた未知・既知のマルウエアや脅威の検知・隔離を行います。
感染源を素早く隔離することで、ネットワークへの被害を最小限に抑えることが可能です。また、脅威が侵入してきた経路の把握・分析を行う機能も持ち合わせているので、攻撃の二次災害を防ぎます。
UTM
統合脅威管理と呼ばれるUTM(Unified Threat Management)はファイアウォールやアンチウイルス機能など、複数のセキュリティ機能を1台に集約したセキュリティツールです。低コストで導入できるだけでなく、アクセスの一元管理もできるため効率的なセキュリティ運用も可能にします。
UTMが備えている機能をまとめました。
| 種類 | 機能 | 効果 |
| ファイアウォール |
|
|
| アンチウイルス/アンチスパム |
|
|
| IPS |
|
|
| Webフィルタリング |
|
|
| アプリケーション制御 |
|
SDP
SDP(Software Defined Perimeter)は、「全てのアクセスにリスクがある」との考えを持つゼロトラストモデルを取り入れたセキュリティツールです。ソフトウェア上に境界を作りながら、コントローラーが中心となって制御・管理を行います。
SDPはコントローラーが許可していないアクセス以外は全てブロックします。デバイス機器と本人認証を別々で行い、安全性が確認されたアクセス以外はアプリケーションの利用が出来ず、データ接続の際のチャンネルは一連のやりとりが終了した段階で、消滅します。
侵入口を少なくすることで、第3者による不正アクセスのリスクを軽減することに成功しているのです。他にもユーザーとデバイス機器の行動をリアルタイムで監視できるので、異常を感じた場合はすぐに対応できます。
