日本でも増えつつある「ランサムウェア」から、会社を守るには?

建築予定地やご希望の地域の工務店へ一括無料資料請求

   昨年(2022年)10月、大阪の病院がランサムウェア攻撃の被害に遭い、全面復旧まで2カ月を要した事故は大きく報道された。実際、日本でもランサムウェア被害は急増しているという。

   本書「ランサムウェアから会社を守る」(日経BP)は、身代金支払いの是非から事前の防御計画まで、専門家が対応策をまとめたものだ。マニュアルのように活用できる。

「ランサムウェアから会社を守る」(株式会社ラックほか著)日経BP

   執筆したのは株式会社ラックのサイバー救急センターのスタッフ。サイバー攻撃や情報漏えいなどの事故に4000件以上、対応してきた。元千葉県警察サイバー犯罪特別捜査官の佐藤敦さんらが分担して書いた。

警察庁に報告されただけで146件の被害

   2021年に都道府県警察から警察庁に報告されたランサムウェア被害は146件。2020年下半期から2021年下半期まで平均してみると、日本におけるランサムウェア被害は倍増に近いペースで増加しているという。だが、実際の被害はこれよりもずっと多いと推測している。

   被害を受けたのは大企業ばかりではなく、中小企業や団体にも及んでいる。

   日本プライバシー認証機構が2022年1月に公開した「拡大するランサムウェアビジネス」によると、業種別では製造業が最も多く、ついで流通サービス業となっている。これらの被害組織のコンピューターが利用不可能になれば製品やサービス提供ができなくなり、多くの被害が発生するため狙われていると見ている。

   不幸にもランサムウェアによる被害を受けてしまった場合、システムを復旧して正常化するのにかかる時間・費用はどれくらいだろうか?

   警察庁が2022年4月に公開した資料によると、被害から復旧に要した期間は、1週間以内が30%と最も多い。しかし、1カ月~2カ月、2カ月以上、復旧中を合計すると46%となり、約半数のケースで正常な状態に回復するまでに1カ月以上必要なようだ。

   また、調査・復旧費用の総額は、1000万円以上5000万未満が35%で、5000万円以上を合わせると43%を占めている。最低でも1000万円を見込んでおく必要があるという。

攻撃者はビジネス化した組織

   ランサムウェアの攻撃者は、高い技術スキルを持ったハッカーやクラッカーといった人物像を思い浮かべるかもしれないが、必ずしもそうではないようだ。

   技術スキルが乏しい者でも攻撃者グループに参加できる「RaaS」(ラース、Ransomware as a Service)というサービスがあり、攻撃に必要なツール一式を提供し、身代金の一部をロイヤルティーとして受け取るグループがいるのだ。その内部情報から、マニュアルがロシア語などで使われるキリル文字で書かれていたため、ロシア語圏の者が主要メンバーと考えられるという。

   組織がランサムウェアの被害に遭ったら、どう対応したらいいのだろうか。

   まず、これが「非常事態」であることを理解し、通常とは異なる対応をしなければならない。こうした非常時の対応をITセキュリティーの用語で「インシデント対応」と呼ぶ。そのひな形を以下のように示している。

・犯人への身代金は支払わずにシステムを再構築し復旧を行う
・システム復旧を最優先するシステムは〇〇システム
・システムが復旧するまでの間は、長時間停電を想定したBCP(事業継続計画)対策を応用し、システムを利用しない手作業による業務で対応する
・手作業による業務継続は△△部門の範囲とし、他の部門の者は△△部門の応援に当たる

   対応方針を決めるポイントとして、身代金を支払うのか支払わないのか、復旧を優先する業務範囲はどこか、手作業による業務継続は可能かといったことを挙げている。

   これと平行して、攻撃者がどのように侵入してランサムウェアを仕込んだのかを調べる原因調査や、再発防止策を検討する。可能であれば、普段から「かかりつけ医」のように相談できるコンサルタントと契約しておくことを勧めている。

   日本ネットワークセキュリティー協会が提供している「サイバーインシデント緊急対応企業」29社の一覧を掲げている。相談と見積作成は無償のところが多い。

ランサムウェア、攻撃の手口とは?

   ランサムウェア攻撃の手法についても、詳しく説明している。
そして、応急処置をしながら攻撃を食い止める初動対応をまとめている。データの保全、ネットワーク通信の制限、アカウントの保護など、技術的かつ専門的な記述になるので、実際に本書を読んでいただきたい。
攻撃者はどうやって感染させてしまうのか。6つのパターンを示している。

・メールから感染
・リモートデスクトップ(RDP)からの感染
・改ざんされたウェブサイトからの感染
・ネットワーク機器などからの感染
・別のウイルスから感染
・社員買収など組織内部からの感染

   今後予想されるランサムウェアの影響について、2031年には世界規模で2650億ドル(約37兆1千億円)という予想を紹介している。

   被害を抑えるため、ネットワーク構成やアカウント管理状況を把握、ペネトレーション(侵入)テストを行い、弱点を知ることも重要だ。

   また、攻撃を受けてファイルが暗号化されてしまったとき、バックアップから復旧が可能であれば、身代金を払う必要がないので、バックアップの有効性を強調している。

   対応手腕が企業の信頼に直結するため、IT部門だけではなく、経営層がランサムウェアについて知り、対応方針を明確にしておくことが大切なようだ。(渡辺淳悦)

「ランサムウェアから会社を守る」
株式会社ラックほか著
日経BP
2640円(税込)

姉妹サイト