猛威を振るうランサムウェアによる事業停止を防ぐために、今取り組むべき対策

ある日突然、社内のとある部門から問い合わせが。

「顧客フォルダのファイルが、見慣れない拡張子になっていて開けません。」

（まさか。今朝のニュースで報じられていたランサムウェア攻撃が、当社に発生しているのか？）

サーバー内のファイルのアイコンが次々と変わっていく様を見て、今すべき対応を即座に判断できますか？

止まらない現場からの問い合わせ電話、経営陣からの度重なる状況報告の要請。

これは決して、他人事ではありません。いままさに攻撃者の水面下であなたの企業を狙った攻撃が進行しているかもしれません。

ランサムウェアとしてよく知られているのが、社内システムに侵入しデータファイルを暗号化し、復号するための鍵と引き換えに身代金を要求する攻撃です。
​その起源は1980年代ともいわれるランサムウェア、ここ最近ではどのような攻撃があるのでしょうか。

盗んだデータを一般公開すると二重に脅迫したり、DDoS攻撃を仕掛けると追加の脅迫をする攻撃です。

マルウェア開発が出来なくても利用できるRaaS（Ransamware as a Service）や攻撃の初期侵入のみを行うイニシャルアクセスブローカー、攻撃を実行するアフィリエイト、窃取したデータの販売仲介者など、攻撃実行のハードルを下げるいわばエコシステムが存在します。

ESET社のマルウェアリサーチャーらが発見した初のAI駆動型ランサムウェア。
​​PC内に存在するファイルの列挙、ファイルの重要度の判定、ランサムノート（脅迫文）の生成などを行います。

ランサムウェア感染のお悩みの代表的なものは、長期間にわたり業務が停止してしまう事ではないでしょうか。
そういったお悩みに対応するため、感染したことを瞬時に察知し、変更されたデータを順次元に戻すソリューションがあります。
ファイルの利用者にとってはデータが閲覧できなくなる心配はありませんし、会社としても業務を停止するリスクを極めて小さくすることが可能です。

このソリューションのポイントは、エンドポイント（PC・サーバー）で不意のファイル変更を止めることです。
ランサムウェアに感染した際に、実際のファイル変更（暗号化・大量リネーム・拡張子付与など）を検知して即時にブロックします。

エンドポイント（PC・サーバー）でランサムウェア対策を行うことにより、感染の初期段階で止められること、感染の横展開（ラテラルムーブメント）を防げること、ユーザ操作や業務アプリを考慮した制御が可能であることなど多くのメリットがあります。

転ばぬ先の杖が欲しい、といった場合にはデータの二次保管やエンドポイントでの対策についてぜひご検討ください。

もう一つの対策として、データを元に戻して事業を復旧することも事前にとれる選択肢です。
データをバックアップする際には、バックアップデータを元データと同じネットワークではなく、安全性の高い場所に定期的に保管するのが基本です。
これによりネットワーク内のデータが暗号化されても、バックアップデータから環境を復元することが可能になります。

ただし、何となくデータを二次保管するだけでは十分とは言えません。取得したバックアップの安全性やリストアが問題なくできるかなどを検討しないと意味をなしません。
バックアップを選ぶ際に考えておきたいのは、世代管理が出来るバックアップでデータを感染前の状態に戻せること、ブロック単位でデータを保存することでバックアップシステム内でマルウェアを発動させないこと、バックアップデータのセキュリティを確保するためアクセス時にはファイル共有やSMBポートを開放しないことなど、多岐にわたります。

実際にランサムウェア被害を受けてしまい、復旧後のセキュリティ強化策としてバックアップシステムを導入された事例を紹介します。

では、システム管理を担当するうえで、ランサムウェアに感染してもデータが元に戻ればそれでよいのでしょうか。
答えは、Noです。ランサムウェアが侵入し、感染や情報流出の被害が発生するリスクを根本から是正する必要があります。
復旧のみではなく、発生を防ぐ恒久的な対策が肝心です。

公開されている被害事例をご紹介します。

これらの例では、ネットワーク機器や認証の脆弱性が悪用されていました。
いずれの例も個人情報が漏えいし、長期間にわたり通常業務が出来ない状態が発生しました。

ファイアウォールやVPN、Webフィルタリングなどの対策をとるためにさまざまな機器やサービスを利用されてはいませんでしょうか？
どれも必要な対策ではありますが個別に管理を行うのは工数がかかるだけではなく、脆弱性が残ったまま利用を続ければ、上記の事例のようにサイバー侵害の入口となります。
SASEというネットワーク機能とセキュリティ機能が統合されたクラウドサービスであれば、どこからでも安全にアクセスすることができる上に脆弱性対応もメーカーによって迅速に行われます。

サイバー攻撃は、ネットワークへの侵入から端末の乗っ取り、権限昇格、偵察、水平展開、情報の外部への送信と多様なステップを踏むのが一般的です。
近年では明らかに悪性のマルウェアをいきなりインストールするという手段はあまり使われず、OSに標準搭載されている機能を悪用するなど検知をすり抜ける手法が取られます。
そのため、正常な動作の中に紛れ込む攻撃者の行動を見つけ出す仕組みが無いと攻撃の検知は難しくなっています。
EDRは、端末上で不審な動きを検知し、攻撃を即座に遮断します。感染の広がりを防ぎ、業務への影響を最小限に抑えるための第一線の防御がEDRです。

セキュリティにおいては「人」が最後の防衛戦であり最大の脆弱性となるため、防御の仕組み作りと一緒に進めたいのが従業員一人一人のセキュリティ意識の強化です。
怪しいメールも気にせず開封するといった”うっかり”をなくすと同時に、異変を認識した際にはすぐに報告をする体制を整えておくことが大切です。
標的型攻撃メール訓練は、日頃から件名や本文、送信元を注意深く確認する必要性を各従業員に実感させることができます。

万が一外部から脅威侵入されたとしても、侵入経路や影響範囲が見えてくれば被害を最小限にとどめることや再発防止策を検討しやすくなります。
複数のシステムログを収集・分析するSIEMは、日常業務とは異なる不審な行動がある場合には即座に対応が可能です。外部脅威だけではなく、組織内部の不正が原因となる情報漏洩の対策にもつながります。

冒頭の例だと、どのようになるでしょうか。

ランサムウェアの侵入となりやすい入口は、防御されています。
リモートワークで利用しているVPN環境も安全に利用できる環境が保たれています。
不審なメールを開かないよう、従業員ひとりひとりの意識は高まっています。
ただし、それですべてが十分満たされているわけではありません。100%大丈夫と断言できないのがセキュリティの世界です。 

もし、あの手この手でもしネットワーク内に侵入されたとして、端末がランサム感染してしまった場合を想像してみましょう。
ランサムウェア修復ソフトがあるので、データの暗号化が始まると順次ファイルは復元され、管理者に通知が届きます。
また、データをバックアップで保全していることにより、ランサムだけではなくデータ故障などの際にもバックアップからデータを復元できます。
そもそも、リモートワークの環境は安全性が保たれていて、万が一侵入を許してしまった際にも端末の不審な動作が検知され、システム上検知したログは一か所に集約されて分析できます。
従業員は不要なメールを開かないように意識が向上しています。

攻撃を止めることは出来ませんが、攻撃を受けた際の被害を最小限にする手立てはあります。
ランサムウェアの脅威は日々進化しています。でも、適切な対策を取れば、あなたのビジネスは守れます。今日から一歩、安心への準備を始めませんか？