2020年6月、世界的な自動車メーカーがサイバー攻撃を受け、一時操業を停止したとの報道がありました。この攻撃はランサムウェア「SNAKE (EKANS)」によるものと推測されています。

また、セキュリティ企業CybSafe CEOのOz Alasheは、「今回の攻撃はテレワークに関連するものである可能性がある」と述べ、「新型コロナウイルスのパンデミックは、オフィスの外から勤務する社員らを増加させたが、これによって企業ネットワークの脆弱性を突く攻撃も増加した」と指摘しています。1)

ランサムウェアの攻撃にさらされた場合、対策が不十分であれば企業は大きな代償を支払うことになります。企業はどのような対策を講じればよいのでしょうか？

本記事では企業の情報システム部門向けに、感染の前後それぞれの段階で被害を防ぐ具体的な対策をご紹介します。

ランサムウェアとは

まずランサムウェアについて基本を振り返ってみましょう。

ランサムウェアとは「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語で、ファイルの暗号化や、パソコンにロックをかけるなどで操作不能にして、金銭の支払いを条件にデータやパソコンの復旧を行う、という画面を表示させるコンピュータウイルスです。

ランサムウェアはパソコン内部に保存されているデータだけでなく、直接繋がれている外部ストレージや、同一ネットワーク内のNASやファイルサーバーにも感染を広げる種類もあり、企業のパソコンが感染した場合、大きな損害に繋がりかねないリスクがあります。

ランサムウェアの被害を防ぐには"感染時" "感染後"二本立てで考える必要がある

ランサムウェアの被害を抑えるには、まず感染を防ぎ、そして万が一感染してしまった場合でも元の状態に復元して被害を被らないようにする二本立ての対策が大切です。

① 基本的な感染対策

まずなによりもランサムウェアに感染しないことが大切です。独立行政法人情報処理推進機構（IPA） セキュリティセンターの「情報セキュリティ10大脅威 2020」にもあるとおり、感染対策にも、企業内の対策体制の確立や社員のセキュリティ意識の教育など幅広く存在しますが、今回は感染対策を行う技術に焦点を当ててご紹介します。

1. サポートされているOSに統一し、常に最新版にアップデートする

攻撃者はOSやソフトウェアの脆弱性を利用します。たとえば2017年に猛威を振るったランサムウェア「WannaCry」は、Windowsのネットワーク環境でファイル共有に使われるプロトコル「Server Message Block（SMB）」の脆弱性を利用したものでした。

このような脆弱性が発見されると、メーカーは修復アップデートによりその脆弱性対策を行いますが、攻撃者はまだ対策が施されていないシステムを対象に同じ脆弱性を狙って攻撃を行い続けることが知られています。

これは、OSや導入しているソフトウェアのアップデート情報を定期的に確認し、常に最新版にしておくことで感染対策を行うことができます。

2. ウイルス対策ソフト

ウイルス対策ソフトを導入している場合、既知のウイルスがパソコンに侵入してもその脅威を検知し、感染を防ぐことが出来ます。

また、振る舞い検知機能が搭載されている製品の場合、未知のウイルスに対してもプログラムの動きから脅威判定を行うことができるためより安全です。

3. メールセキュリティソフト

ランサムウェアの感染経路でもっとも多いのが、メールからの感染です。メール添付ファイルの開封や、本文中URLのクリックで感染させます。

企業のメールセキュリティソフトはメールの受信時に添付ファイル内のウイルスを検知したり、スパムメール判定を行い受信拒否することにより、危険なメールからの感染を防ぎます。

4. アクセス制限ソフト

ユーザーがそうと気づかず不正なサイトにアクセスしてしまい、勝手にウイルスをダウンロードさせられてしまうことがあります。この動作はバックグラウンドで行われ、傍目にはダウンロードされていることに気づくのは困難です。

ウイルス対策ソフトで検知できる場合もありますが、まず不正なサイトにユーザーがアクセスできないようアクセス制限することにより、より強固なセキュリティを保つことが出来ます。

② 復旧のためのバックアップ

感染防止対策を行うことにより、ランサムウェアの感染リスクは大幅に下げることができます。しかし、どんなに感染対策を行っても感染リスクをゼロにすることはできません。

万が一ランサムウェアに感染してしまった場合に備えて、バックアップを作成しておき感染前の状態に復帰できる体制を整えておくことが重要です。

ランサムウェア対策のためのバックアップの主なやり方を二種類ご紹介します。

1. ファイルサーバーに重要なデータを置きバックアップ

各個人が保有するデータの中で重要なデータをファイルサーバーに配置し、システム管理者はファイルサーバーのバックアップを取得する方法です。

重要なデータがパソコンのみに置かれないため、パソコンがランサムウェアに感染しても重要なファイルは社内に残ります。また、システム管理者はファイルサーバーのバックアップのみ意識すればよく、ランサムウェアの感染が社内ネットワークに拡大してしまっていても、ファイルサーバーの復元のみで元の状態に復元ができます。

ただし、人的ミス等により重要データがファイルサーバーにそもそも置かれない可能性を否定することはできません。また、ランサムウェアの感染に気付かずネットワーク全体が汚染された場合、バックアップファイルも暗号化される可能性があります。

2. パソコン自体をバックアップ

各個人のパソコンをバックアップし、クラウドに保存する方法です。

パソコンやスマホ等のエンドポイントデバイスに重要なデータがある場合、バックアップソフトやSaaS(クラウドのバックアップサービス)を使用し、ユーザーの操作を必要とせずに自動でバックアップすることも有効です。

弊社のDruva inSyncというSaaS式のバックアップサービスはエンドポイントのバックアップを短期間で簡単に導入できます。インターネットに接続可能な環境であれば、AWSの契約も不要です。

Druvaは、パソコンのバックアップを社内ネットワークから独立したAWSリージョンに暗号化して保存します。バックアップデータは暗号化されており、さらに社内ネットワークから独立しているAmazon S3に保存するため、ランサムウェアによる改ざんの恐れがありません。

さらに、Druvaは振る舞い検知により、ランサムウェアによる暗号化や異常な数のファイル削除、変更などを検知し、システム担当者にセキュリティアラートを発することが可能です。この振る舞い検知機能により、たとえパソコンがランサムウェアに感染した状態でバックアップが行われてしまっていても、ランサムウェアに侵されていない最も新しいバックアップデータから、安全な状態に復元することができます。

また、パソコン上のデータだけでなくMicrosoft 365 （旧称：Office 365）やG Suite、Slack等のSaaS製品もバックアップ対象とすることができ、クラウド上の重要なデータも保護することができます。

感染対策とバックアップにより被害を最大限抑えられる

犯罪者は企業の方がより価値の高い情報を持っていることを知って攻撃しています。

失われて困るデータは、基本的な感染対策と、万が一感染してしまった場合の二本柱で対策しておくことで、データの損失を最大限抑えることが可能です。また、ランサムウェアの特長である身代金の支払いによる金銭的な被害を最小限に防ぐことが可能となるでしょう。

​​​​​​​

1）Forbes JAPAN「ホンダのサイバー攻撃は「テレワークが標的」、専門家が指摘」https://forbesjapan.com/articles/detail/35133  (2020/06/11)