1.ランサムウェアの状況と感染経路

テレビや紙面などでも話題になりつつあるランサムウェア。大手企業や公的機関でも感染事例が相次ぎ、最早ITにおける課題を超えて社会問題となっています。

日本情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2022」でも2年連続でランサムウェアによる被害が1位となっており、早急かつ正しいランサムウェア対策が必要となります。

（出典：「情報セキュリティ10大脅威 2022」（IPA 独立行政法人 情報処理推進機構））

では、そのランサムウェア被害の感染経路ですが、警察庁が発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」では、下記のとおり発表されています。

（出典：「令和3年におけるサイバー空間をめぐる脅威の情勢等について」（警察庁））

様々なコラムやサイトを見ると、フィッシングメールなどのメール対策が重要と書かれたものも多いですが、上記のとおり感染経路は多岐に渡っており、特にVPN機器やリモートデスクトップを活用していることの多い「テレワーク環境の見直し」も必要な対策の一つとなります。

2.万が一のランサムウェア被害を想定して

もはやランサムウェアをはじめとしたマルウェアが社内システムに侵入してしまうことは避けられません。このような”ウィズランサムウェア時代”に我々はどう取り組まなければいけないでしょうか？
万が一ランサムウェアに感染してしまったことを想定して、事前に社内で下記を決めておく必要があります。

1. 絶対に身代金は支払わない、という意思を固めておく。
2. 復旧手順と被害想定の洗い出しを事前に実施。
3. "しかるべきシステム" でバックアップを取る。

特に身代金は何があっても絶対に支払わないということは最も重要な意思決定になります。そもそも身代金を支払ってもデータが復旧する確証はありません。また、このような反社会的勢力に身代金を支払うことで企業のイメージが大きく下がり、致命的な経営リスクを負う可能性があります。

そして、最近大手新聞社が報道しましたとおり、一度身代金を支払うと、"標的にしやすい"と見做され、繰り返し攻撃され被害に逢う事象が絶えませんその意味でも身代金を支払うという選択は捨ててください。

その強い意志を持った上で、まずは自社内にある情報資産を洗い出し、ランサムウェア感染時の被害を事前に想定しておく必要があります。そして万が一感染してしまった際、どこにどのような手順でデータを復旧するかの手順を策定しておく必要があります。

そしてデータ復旧に欠かせないのがバックアップです。ランサムウェアはWindowsのファイル共有サービスで利用されているプロトコルであるCIFSを通じて、ファイルサーバ・Active Directory、更に近年はバックアップデータも攻撃してきます。そのため、しかるべきシステムでバックアップしておく必要があります。

その "しかるべきシステム" は以下の3点です。

1. バックアップデータ部分の隔離
2. WORM（Write Once Read Many）機能の保有
3. 振る舞い検知機能を保有

まずバックアップサーバとバックアップデータを隔離する必要があります。特に現在広く使われているバックアップ製品はWindowsベースのものも多く、対策を喫緊で行う必要があります。このデータを例えばクラウドに保存するなども有効な手段になります。

また、WORM(Write Once Read Many)機能を保有するバックアップ製品を選択することも、有効な手段の一つです。  このWORMとは、一度書き込んだデータを消去・変更できないという機能で、万が一ランサムウェアに感染しても、感染ファイルは別のファイルとして保存され、元データを守ることができます。

振る舞い検知というマルウェアの挙動を目印に検知する機能がバックアップ製品に含まれている事があります。これは主にセキュリティ製品の機能としてありますが、多層防御の意味でもバックアップの機能として備わっているようであれば、使用することをお勧めします。

なお、当社では1988年の創業以来多くのバックアップ製品を扱い続け、その製品群の技術的知見を持っており、各社製品との比較も可能です。もしバックアップ製品についてのお困りごとやご相談があれば、是非当社にお声がけください。

https://www.dtc.co.jp/data_protection

3.ウィズランサムウェア時代に必要な対策とは？

前項でも述べましたが、ランサムウェアをはじめとしたマルウェアが社内システムに侵入してしまうことは避けられず、これを前提としたITインフラを作る必要があります。
また、自らが相手に加害を加えてしまうことも同時に想定し、この両方を対策する必要があります。これを当社では「加害者とならないための対策」と「被害者とならないための対策」と呼び、このいずれも対策を促しております。

まず、加害者とならないための対策についてです。これは自社のWebサイトを守ることです。これは悪意ある人間が、特定の企業を狙うために、第三者のサイトにマルウェアを仕込みウイルス感染を目論むことがあるためです（水飲み場攻撃）。
これは自社の信用失墜や損害賠償請求、そして取引停止などのリスクがあり、Webを守る必要があります。この有効な対策方法がWAF(Web Application Firewall)です。
当社ではクラウドWAFのご採用をお勧めしており、是非ご検討ください。
https://www.dtc.co.jp/aegis

次に被害者とならないための対策についてです。具体的には「予防」・「監視」・「復旧」の3つがあり、最も良い対策方法は多層的にこれらを全て行うことです。しかしながら、各社の予算には限りがあります。
まずは、前述のバックアップとともにランサムウェア感染に有効的な対策としては、EDR(Endpoint Detection and Response)製品を導入することです。
現在一般的なエンドポイントのセキュリティ対策はアンチウィルスソフトウェアを導入することになっています。しかしながら、従来型のアンチウィルスソフトウェアは、既知のマルウェアは防げても、未知のマルウェアは防ぐことはできません。

一方EDR製品は、人工知能(AI)と連携してマルウェアの挙動を目印に検知しブロックします。これにより従来型のアンチウィルスソフトウェアではできなかった未知のマルウェアからの感染を防ぎます。そのため、既存のアンチウィルスソフトウェアからの置き換えを強くお勧めします。

この他にも多くの対策方法がありますが、お客様のご予算や課題や環境をお聞きしながら、優先順位をつけて最適なソリューションをご提案致しますので、是非当社営業にお声がけください。