中堅・中小企業も狙われる!ランサムウェアの脅威と対策
企業の大切な情報を人質にとって金銭を要求するランサムウェア(ransom=脅迫とソフトウェアを組み合わせた造語)が猛威をふるっています。どんな手口が横行しているのでしょうか? 被害を防ぐための対策は? 今回はランサムウェアの実態と対策について記します。
中小企業にも被害が広がるランサムウェア攻撃
出典:NPO日本ネットワークセキュリティ協会「インシデント損害調査レポート第2版(2024年)」
近年、ランサムウェアは情報セキュリティの最大脅威とみなれるようになりました。2023年には被害件数は197件を数えており、企業被害は大企業(71件)よりも中小企業(102件)の被害が多い状況です。その他団体等が24件。(※1)
2024年上半期だけでもすでに昨年の半数を超える被害が出ており、深刻な事態が続いています。業種は製造業が多いのですが、むしろ日本の産業構造を反映した被害発生率であって、特別に偏って攻撃対象が選ばれているわけではないように見えます。ほとんどの被害企業が事業の一部を停止せざるを得ない状況に陥り、2023年では調査・復旧費用が100万円未満で済んだ企業は23%のみ、1000万円以上を支出した企業が37%(なかには1億円超の企業もありました)でした。これにはシステム停止による事業影響金額が含まれておらず、ケースによっては巨額損失が出ているものと思われます。
※1:統計数字は警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」より)
進化するランサムウェアの手口と背景
ランサムウェアの典型的な手口は、何らかの方法で企業システムに侵入して不正プログラムを実行、システムやデータを暗号化して利用不能にし、その後に「復旧するための復号キーが欲しければ○月○日までに金銭(暗号資産を指定される)を送金せよ」と脅迫するものです。
これに加えて近年は、データ暗号化前にデータを盗み出し、「機密情報(個人情報などの重要情報)を入手している。金銭支払いがなければそれを公開する」という脅しも重ねて行われるようになりました(「二重脅迫」)。
なかには暗号化は行わずに、情報を窃取して「情報を公開するぞ」と脅かす「ノーウェアランサム」の手口もあり、近年は増加傾向です。
ランサムウェア攻撃が増加している背景には、攻撃者が「実行役」「侵入のための情報提供役」「ランサムウェア作成役」と分業して効率よくランサム行為が行える「RaaS(Ransomware as a Service)」と呼ばれる犯罪プラットフォームが整備されてきたことが一因と考えられます。ランサムウェアは巨額な利益を上げる闇ビジネス化しているのです。
その一方で、生成AIを利用してランサムウェア作成が容易になってきた事実もあります。日本でも技術知識がない人物が、ランサムウェアを作成したとして逮捕、有罪判決を受ける事例が出てきました。(日本経済新聞(10/1)『生成AIでランサム作成の男に懲役4年求刑 東京地裁』より)この事件ではランサムウェア作成に対話型生成AIが使われており、プログラミングができない初心者でも不正プログラムを容易に作れることが明らかになりました。その一方、攻撃者たちのコミュニティでは不正プログラム作成のための専用大規模言語モデルが作成されているとの噂もあります。ランサムウェア作成の裾野が広がり、かたや犯罪コミュニティではより巧妙に対策の裏をかく専門技術が、容易に利用可能な仕組みが作られつつあります。
ランサムウェア攻撃にどう対抗すればよいのか
ランサムウェア攻撃への対策は多岐に渡りますが、基本ルールとしてITユーザー全員が次の3点は必ず意識して実行できるよう、啓蒙・教育しておく必要があります。
- PC /サーバーおよび周辺機器・IoT機器のOSはじめソフトウェアを更新。最新の状態を保つこと
- アンチウイルスツールを必ず導入して利用し、適時に更新・アップデートすること
- 複雑で類推できないパスワードを設定すること
また管理者側は、重要情報にアクセスできる人や端末を選別・特定し、他の人や端末がアクセスできないようにアクセス制限を施しておくことが重要です。情報共有は大切ですが、少なくとも重要情報を管理するサーバーやストレージには厳密なアクセス管理を実施する必要があります。
さらにセキュリティ体制として多層防御の仕組みを構築することも重要です。多層防御とは、組織ネットワークの入口・内部・出口のそれぞれに、不正な通信を検知して遮断する仕組みや、攻撃と思われる端末/サーバー操作などを検知・通知・対処する仕組みを構築することです。防御層のそれぞれに複数のツールを適用して多重防御する体制を構築すると、ランサムウェアを含むサイバー攻撃全般に有効な対策となります。
多層防御の考え方は、システム内部に密かに侵入して存在を気づかれないように内部情報を取得し、外部に送信する標的型攻撃に対応するものです。この考え方以前は、組織内ネットワークは安全という前提で、インターネットと内部ネットワークの境界で不正な通信を検知・遮断する「境界型セキュリティ」が中心的でした。それが組織内部も安全ではなく、境界だけでは守りきれないという考え方に変わってきたのです。
この考え方をさらに進め、現在では社内通信も外部通信も、アプリケーションやクラウドサービスへのアクセスなども含めて、すべて信用せずに厳密な認証(多要素認証)を必要とする「ゼロトラストアーキテクチャ」を採用する企業が増えています。このアーキテクチャ構築は大きな投資になりがちですが、サイバー攻撃全般から事業を防御する効果はおおいに期待できます。
ただし、どれだけ防御体制を充実させても、巧妙なサイバー攻撃を完璧に防ぐことは不可能とも言われています。万一ランサムウェア攻撃に遭遇した場合に備えることも大切です。
日常的な備えとしては、まずはデータの頻繁なバックアップです。ただし同じネットワークのHDDなどにデータを保管しておくだけだとランサムウェアはPCやサーバーと同時に暗号化してしまいます。バックアップデータの保管媒体としては磁気テープ、ハードディスク、クラウドストレージが候補になります。このうち2種類以上の方法を使い3箇所にデータを保管すること、そしてそのうち1箇所はネットワークにつながらない遠隔地などに保管することが推奨されます(3-2-1ルール。BCP対策としても役立ちます)。またデータはたとえ窃取されても利用できないように暗号化保存しておくことも有効な対策です。
またランサムウェア被害を受けたときに適切な行動をスムーズにとれるよう、対応手順・方法をあらかじめ策定しておくことも重要です。顧客や取引先への通知の手順も大事ですし、警察(都道府県警察本部にサイバー犯罪相談窓口があります)や所管省庁、業務委託している場合はセキュリティベンダーなどに連絡・相談する手順を策定しておきます。
なお、ランサムウェア被害に限らず、ケースによっては事業継続を脅かすほどの損害になる可能性があります。十分に心して、日常的にセキュリティ強化とバックアップなどの対策を怠りなく行っていきましょう。
“コスパ最強”の勤怠管理システム
