対抗するために必要な措置を考える
被害拡大が止まらないランサムウェア
対抗するために必要な措置を考える
従来型のアンチウィルスに取って代わりエンドポイント防御・対策の主流になったEDR
ターゲットとなった企業や組織のデータを暗号化し、元に戻したければ身代金を払えと要求する、ランサムウェアを使ったサイバー攻撃。その被害拡大は、今年になってからも勢いが止まりません。2021年9月に警察庁が発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」※1によれば、2020年下半期に21件だった被害報告件数が、2021年上半期には61件と3倍近くにまで増大しているのです。
この報告書ではさらに、これらの犯罪の手口や侵入経路、要求された金銭の支払い方法、ターゲットとなった企業や団体の規模、復旧に要した期間と費用などについても記載されています。
ここでまず目を引くのが、金銭の支払い要求があった被害のうち暗号資産が要求されるケースが9割と圧倒的に多く、残りの1割がUSドルであることです。また攻撃のターゲットのうち大企業が3割弱なのに対し、中小企業が7割近くに上っていることも見逃せません。いまや攻撃の多くは無差別に行われており、規模の大小にかかわらず、リスクに晒されていることがわかります。侵入経路としてはVPN機器からの侵入が半数以上となっており、リモートデスクトップからの侵入がそれに続いています。コロナ禍で増えたリモートワークが狙われていることが、数字からも裏付けられた格好です。
復旧に要した期間は1週間以内が最も多かったものの、なかには2か月以上かかったケースもありました。復旧費用に関しては、1,000万円以上を要したものが4割近くを占めていることもわかっています。
そしてもう1つ注目したいのが、これらの手口の中に「二重恐喝(ダブルエクストーション)」と呼ばれるものが8割近くも占めていることです。これはデータを暗号化するだけではなくデータの窃取も行い、「対価を払わなければ当該データを公開する」と脅す手口です。
この二重恐喝の事例としてまだ記憶に新しいのが、2020年11月に発覚した国内著名ゲーム会社のケースです。これは、米国現地法人がコロナ禍に伴うリモートワークで増大したネットワーク負荷に対応するため、緊急避難用として使用した旧型のVPN装置から侵入され、米国と国内の一部機器にランサムウェアが感染したというものです。その後、データ暗号化だけではなく個人情報の漏洩も確認され、サイバー犯罪集団「Ragnar Locker」が「身代金を支払わなければ盗んだデータを公開する」と恐喝しました。
この事件はマスコミでも大々的に報道され、多くの人々を震撼させました。そして同様のことは著名な大企業だけではなく、中小企業にも起こり得る時代になったのです。
常に侵入されうることを前提にした対策が必要
情報処理推進機構(IPA)が2021年8月に公開した「情報セキュリティ10大脅威 2021」※2でも、「ランサムウェアによる被害」が1位にランクインしています。2020年には5位だったので、その脅威がいかに大きくなったのかがわかります。
それでは、より悪質になったランサムウェアによる被害を防止するには、どうすればいいのでしょうか。参考になるのが、警察庁サイバー犯罪対策プロジェクトが公開している「ランサムウェア被害防止対策」※3です。
このページでは、「ランサムウェアとは」「ランサムウェアの手口」「被害の未然防止対策」「感染に備えた被害軽減対策」「感染してしまったら…」「再発防止策」「参考リンク」という章立てて、ランサムウェア被害の防止策が挙げられています。これを読むと、実に多岐にわたる対策が必要になることがわかります。
例えば「被害の未然防止対策」では「電子メール等への警戒」「OS等の脆弱性対策」「ウィルス対策ソフトの導入等によるマルウェア対策」「認証情報の適切な管理」、「感染に備えた被害軽減対策」では「データのバックアップの取得等」「アクセス権等の権限の最小化」「ネットワークの監視」が挙げられています。いずれも当然必要になるセキュリティ対策だといえますが、これらを網羅的に実施するのは簡単ではありません。特にセキュリティ人材に乏しい中小企業では、手が回らないというのが実情ではないでしょうか。
ここでぜひ考えていただきたいのが、最先端技術を採用した次世代アンチウイルスやEDR(Endpoint Detection and Response)の積極的な活用です。「侵入や感染を完全に防ぐことは不可能」という前提に立ち、侵入・感染してもいち早くそれを検知し、被害が拡大する前に食い止める仕組みを作り上げておくのです。
そのような製品の例が「VMware Carbon Black」です。独自の「ストリーミング解析技術」によって、従来のアンチウイルスでは検知できない未知のマルウェアの検知や、脅威が内部に侵入しているか否かを調査する脅威ハンティング、侵入した脅威に能動的に対応するインシデントレスポンスといった機能を装備しています。
このようなツールを適切に活用することで、万一ランサムウェアが侵入・感染した場合でも、その被害を最小化しやすくなります。そして未然防止策に穴があった場合にも、それをいち早く見つけ出し、対策を改善しやすくなります。もちろん未然防止策も重要ですが、それに加えて被害軽減対策を行うことが、ランサムウェアに対抗するための鍵になると言えるでしょう。
脚注
※2 https://www.ipa.go.jp/security/vuln/10threats2021.html (情報処理推進機構サイト)
※3 https://www.npa.go.jp/cyber/ransom/index.html (警察庁ウェブサイト)