【緊急レポート】ランサムウェアによる被害の拡大と対策のポイント
2020.11.17総合研究部 上席研究員 佐藤栄俊
ランサムウェアによる被害の拡大と対策のポイント
大手ゲームメーカーは11月16日、同社のサーバがランサムウェアを用いた不正アクセス攻撃の被害を受けたと発表しました。元従業員や現従業員の個人情報、販売レポート、財務情報の流出に加えて、氏名・住所・メールアドレスなどを含む最大約35万件の顧客個人情報や、売上・開発資料などの企業情報が流出した可能性があるとしています。
6月には自動車メーカーがランサムウェアによるサイバー攻撃を受け、国内外の11製造工場が一時、生産停止に追い込まれました。今夏以降に目立つのは、盗み出したデータをネット上で公開する「暴露型」で、7月上旬には金型製造会社の伝票や設計図など大量の文書が公開されてしまいました。
一般的にランサムウェア攻撃とは、攻撃者が被害者のサーバやネットワークにランサムウェアというウイルスを侵入させ、データを暗号化させて使用できなくし、それらのデータを復旧する代わりに金銭(身代金)を支払うよう脅迫(サイバー恐喝)するものです。直近では、ウイルスを添付したメールをばらまくだけではなく、標的の企業・組織のWebの脆弱性などを介し、管理するサーバを乗っ取って一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりする等の攻撃方法を取ります。また、攻撃者が暗号化されたデータを復旧するための身代金要求の他にあらかじめデータを窃取しておき、支払わなければそのデータを公開すると脅迫してくることもあります。
できることは限られている
ランサムウェアへ感染してデータが第三者に渡ってしまった後に実施可能な対策はほとんどありません。身代金を支払わなければ、業務の停止や機密情報の実質的な喪失など、攻撃者が意図した被害を受ける可能性があります。身代金を支払い、データを復旧できたとしても、再び同じグループや別のグループによるランサムウェア攻撃を受け、身代金を再度支払う羽目になります。相手に既に渡っているデータを回収する術はなく、また、身代金を支払ったとしても、今後一切のリークが発生しないことが保証されるわけでもありません。ほとんどの場合、身代金を支払うかどうかの決断を迫られた時点で、もう手遅れなのです。
きっかけをつくらない基本的な対策を
特に、ランサムウェアは、遠隔地の拠点やテレワーク中の社員の自宅のパソコンなど、相対的に安全性が低い場所から侵入し、企業システムの中枢に感染を広げる手口が一般的です。対策としてまずは、侵入のきっかけをつくらないことです。不審なメールの添付ファイルなどを不用意に開封、実行したりしないなど基本的な事項をあらためて周知するとともに、ウェブサイトにおける侵入防御、攻撃や改ざんなどの検知、脆弱性の検査や発見後の修正対応を講じ、可能であればネットワークやシステムなどにおける不審な通信などの兆候をできる限り監視し、マルウェア感染機器などを分離するといった対応が取れるように備える必要があります。
- SNSの不審なURLやメールの添付ファイルを安易に開封しない、本文中に記載されたURLに容易にアクセスしない
- サーバやクライアントPCにウイルス対策ソフトを使用して、常に最新の状態を保持する
- ランサムウェアの侵入口となるOSやWebサイト、ソフトウェアを更新し、常に最新の状態を保持する
- 重要データは定期的にバックアップし、外付けHDDやクラウドのストレージサービスなど端末と異なるネットワーク環境へ避難させておく
- 感染した端末を確認した際は、即座に有線であればLANケーブルを外す、無線の場合はWi-Fiをオフにする
バックアップ体制の見直しを
データ損失から復旧する手立てとして最も重要かつ一般的な方法は、定期的なバックアップです。ウイルスに感染しないような手段を講じるだけではなく、万が一に備えてファイルのバックアップを取っておくことは、複数ある防御策のうちの「最後の砦」であり、その手前で幾重にも防御の網を張り巡らせておくことで初めて効果的な対策が可能になります。また、重要データのバックアップを定期的に作成し、その「バックアップデータをオフラインで保管する」ことも重要な視点です。オフライン上でバックアップデータがあれば、PCシステムがランサムウェアに感染し、ハッカーがファイルの暗号化解除と引き換えに暗号資産を要求しても、企業はシステムの状態をロールバックして、数週間または数カ月分のデータを失うだけで済ませることができます。
また、感染前の環境をそのまま再現するには、データ領域だけでなく、システム領域を含めたバックアップをとることが推奨されます。そうすることで、復旧のスピードも格段に速くなり、サーバだけでなくクライアントPCも同様に保護しておけば、いずれの場合でも感染前の状態に簡単に復元することが可能になります。バックアップは非常に重要な事後対策ですが、事業継続性も考慮の上、適切な復旧方法を選択することも極めて重要です。データが増加すれば、バックアップにかかる時間や、保管するデータ容量、復旧にかかる時間が無視できなくなりますし、バックアップデータが正常に保管できており、問題なく復旧できる状態であるか整合性を確認しておくことが重要です。
身代金は支払うべきか?
脅しに応じることは、犯罪行為を間接的に正当化することにつながるので、一般的には身代金は支払うべきではないとの見解が多いと言えます。しかし、実際には、要求どおりのビットコインなどを支払う被害者が少なからず存在し、それがランサムウェアを蔓延させる一因にもなっています。確かに、身代金の支払いは、暗号化されたファイル、ロックされたPCを復旧させる確率が高いと思われる方法です。犯罪者の目的の多くは金銭であり、ファイルを破壊したりPCを使えなくしたりすることではなく、身代金が目的であるならば、支払いを受けたなら約束通りファイルを復旧させたほうが、金銭要求の効果は持続されるはずです。無視したり約束を破ったりすると、「やはり破壊活動が目的の犯罪行為だ。要求に従う必要はない」と、誰も支払いに応じなくなります。そのため、平均的な身代金の額も数万円から数十万円と微妙に支払い可能な水準で金額を設定してくることが多くあります。実際に支払いに応じてファイルを無事に復旧させている被害者も少なくない現実があります。
マルウェアの駆除、暗号の解読またはバックアップファイルによる暗号化されたデータの復旧の手間やコストを考えた場合、現実的な判断として、身代金のほうが安く済むという考え方もあります。特に組織・企業においては、その間業務やビジネスが停止するようなことになれば、損害額が跳ね上がります。現在、海外でランサムウェアの被害にあう病院が増加しており、ある病院の被害事例では、身代金を支払ってデータおよび業務を復旧させるという苦渋の決断がなされました。これは多くの患者の生命を預かる病院で、最も手早く最も効率的にシステムや管理機能を復旧させる手段は身代金を払って暗号解除の鍵を入手することでした。正常な業務を復旧させることが最善と判断できれば、身代金を支払うことも一つの選択肢となり得るケースが現実にはあるということです。
ただ、米では、身代金の支払を違法とする法案を審議しており、攻撃者が既知のテロ集団のメンバーであることが判明した場合、身代金を支払うことはテロリスト制裁措置への違反とみなされる可能性があります。身代金を支払うことは、反社会的勢力の活動を助長したり、さらなる大きなサイバー攻撃へ寄与することにもなり、そのことによって大きな社会的批判を受けることになります。支払いが必ずしも問題を解決するわけではないということを考慮したうえで決断する必要があります。
身代金を支払っても暗号化されたシステムが復旧される保証はどこにもありません。ランサムウェア対策の視点は、「身代金を支払うべきかどうか」という次元にとどまることなく、「身代金を支払わなくても業務が滞りなく継続できる」ために何をすべきか(平時から備えておくべきか)という点も極めて重要だと思います。そして、そのためには、攻撃を受けることに備え、組織内の重要情報の置かれている場所と脅威をしっかり把握すること、失った時の影響が大きい重要ファイルのバックアップからデータを復旧できる状況にしておくことが望ましいと言えます。