ランサムウェアの実情と企業が取るべきセキュリティ対策

ランサムウェアは、企業などの組織に関する情報セキュリティ10大脅威 2022の第1位です。
※参照:IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

昨年も第1位に位置していた脅威であり、企業が最も注意しなければならない攻撃であるとも言えます。

しかしながら、これといった対策を施すことなく活動を続けている企業も多いのではないでしょうか。大きな損害を被るおそれがありますので、まずはランサムウェアについて理解すること、そして経営者やシステム管理者等の従業員がそれぞれに取り組むべき対策についても知っておきましょう。

目次

ランサムウェアとは

ランサムウェアとはウイルスの1種です。

サーバーやPCにウイルスが感染することから始まり、その結果端末がロックされたりデータが暗号化されたりしてしまいます。

しかしランサムウェアはここで終わりません。
ロックや暗号化からの復旧を人質のようにし、身代金を要求する」のです。

ウイルスのはたらきにより業務に支障をきたすことがありますし、機密情報が窃取されてしまうおそれ、情報漏洩されることによる顧客等の被害拡大自社の社会的信用の喪失などが起こり得ます。

当然、金銭の要求に応じたときにはその分の直接的な被害を受けることになります。

ランサムウェアの具体的な手口

ランサムウェアの手口は1つではありません。
代表的な手口としては次のものが挙げられます。

  • メールからの感染
    メールに添付したファイルやリンクを開かせることで感染させる手口
  • Webサイトからの感染
    閲覧することでランサムウェアがダウンロードされるようなWebサイトを設けたり、
    そのような動作をするようWebサイトを改ざんしたりして感染させる手口
  • ネットワーク経由での感染
    ソフトウェアの脆弱性が対策されていないままの機器に対し、その脆弱性を悪用し、インターネット等のネットワークを経由して感染させる手口
  • 不正アクセスによる感染
    外部に公開しているサーバーに不正ログインし、ランサムウェアに感染させる手口

ランサムウェア被害の実例

2021年だけでも複数件のランサムウェア被害が発生しています。

次のような実例があります。

長期的に悪影響を及ぼした事例

グループ会社も使っている基幹システム、バックアップを管理するサーバーなどが暗号化されたことにより復旧が難航し、被害が長期化。四半期決算報告書の提出が延期するなどの影響が出た。

病院が被害を受けて患者受け入れがストップした事例

病院がランサムウェア攻撃を受け、大量の電子カルテにアクセスができなくなるなどの被害が発生。身代金を支払わずシステムを復旧させたが、約2ヶ月にわたり一部の診療科で患者の受け入れが止まるなどの影響が出た。

社会全体に影響が及んだ事例

社会インフラに関わるアメリカの企業がランサムウェアの被害を受け、その影響を危惧した市民が買いだめをしたことにより価格の高騰などを引き起こした。データの窃取等を受けた同社は身代金要求に応えてシステムを復旧。しかしその後は身代金の多くが回収されたと報じられている。

ランサムウェアへの対策

ランサムウェアに感染することで、データやシステムが通常通り扱えなくなること、情報漏洩、身代金の負担、といった被害を受けるおそれがあります。
回復困難な被害を受ける可能性もあるため、以下で紹介する基本的な対策には取り組むようにしましょう。

経営者が取り組むべきこと

経営者としては、システム管理人などの従業員が適切なアクションを起こせるように環境を整えてあげることが大切です。

例えば「サイバー攻撃対策に向けた予算の確保」「CIOの配置」などを行い、組織としてランサムウェアに対応できる体制を構築しておきましょう。
※CIO(Chief Information Officer)とは、企業の情報戦略に関わる「最高情報責任者」のこと

システム管理者が取り組むべきこと

システム管理者として取り組むべきことは多岐にわたります。

まず、次の基本対策は必須です。

  • ソフトウェアの更新
    脆弱性を解消するため
  • セキュリティソフトの利用
    ウイルス感染等をブロックするため
  • パスワード管理・認証の強化
    パスワード窃取によるリスクを低減するため
  • システムの設定の見直し
    設定ミスによる情報漏洩、攻撃を防ぐため

これらが対応できていないとランサムウェアどころかその他様々な脅威にさらされます。
顧客情報の流出など大きなリスクを伴いますので注意しましょう。

CSIRT」等の体制を構築することも重要です。
CSIRT(シーサート)とは「Computer Security Incident Response Team」の略で、要はインシデント対応するためのチームのことです。
事前にチームを組んでおき、事故が発生したときの措置、経営層との連携体制などを整えておくことで迅速な対応が期待できるようになります。

他にも、パッチ適用を迅速に行うこと、サポート切れのOSの利用停止、セキュリティツールの見直し、メールやWebに関するフィルタリング、共有サーバーへのアクセス権限の管理、バックアップの取得など、様々な視点から対策を取る必要があります。

事後対応として、ネットワークの分離、データやシステムの復旧、顧客への被害拡大防止、原因や影響の調査などに取り組むことも大切です。