法人のお客さまに起こりがちな状況
「何かよくわからない画面が出た」と社員から連絡が入り嫌な汗をかいた経験が、情シス担当なら一度はあるのではないでしょうか?
このワードが出た場合、必ず想定しておかなければならないのが「ランサムウェア」の感染です。
感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち元に戻すことと引き換えに「身代金」を要求する不正プログラムであり、2019年にトレンドマイクロが国内法人組織に行ったインシデント対応の中でも、ランサムウェアの被害事例は全体の40%を占める凶悪なマルウェアです。
今回は実際に起こった事例を紹介し、そこから考えられる情報セキュリティ対策をご紹介します。
事例:9割以上のサーバが暗号化され一部端末でセキュリティ対策ソフトのアンインストールも
日本国内のある企業でランサムウェアへの感染が発覚しました。大きな被害は以下の通りです。
- 数十台あるサーバの90%以上で暗号化などの被害が発生
- サーバ内にある一部データが流出
- 数千台ある従業員の端末の約10%でセキュリティ対策ソフトがアンインストール
攻撃に使用されたランサムウェアはその時点のウイルス対策ソフトでは検出できない新しいタイプのものだったことが判明しました。
この企業は現在外部業者と協力し復旧を行っているそうですが、メールサーバの復旧に苦労しているとのことです。
ランサムウェアの感染経路は様々でピンポイントでの対策は困難
イメージとしてはメールの添付ファイル経由が多いランサムウェアの感染ですが、その感染経路は多岐に亘っておりポイントを絞って対策を行うことは困難になっています。
例えばSNSなどのURLリンクやWebサイト経由での感染、ダウンロードしたファイルの中に仕込まれていることもあります。
昨年から目立つようになった、ブラウザでさまざまなサイトを見ているとたまに出てくることがあるセキュリティアラートのようなダイアログを出して来るようなものもランサムウェアをインストールさせるための挙動だったりします。
攻撃者側としては手段を問わず相手のPCの中にランサムウェアを潜り込ませることさえできれば良いので、極端な話ですが拾った名刺の相手にDVD-ROMを送って会社で開くのを待つのでも構いません。
しかし情シス担当としてはすべての可能性をリスクとして見ていくのは物理的にも時間的にもコスト的にもリソースが足りません。
こうした攻撃と防御の非対称性がランサムウェア対策を困難にしているのです。
セキュリティ対策ソフト単体での防御だけで守り切ることは難易度が高い
事例にもあるように、ランサムウェアの種類によっては検知しきれないものも出てきます。
これはランサムウェアの開発者も常にセキュリティソフトの脆弱(ぜいじゃく)性や検知ロジックを研究しその穴を突いてくるためです。
狙うのが一般的に販売されているセキュリティ対策のパッケージソフトだったりするとランサムウェア開発者も当然手に入れることが可能で、簡単に研究を進めることが可能です。
この対策に対して重要なのが複数のセキュリティツールを用いた多層防御になります。
悪意を持ったハッカーの観点で考えてみましょう。
企業が数多くの知見を活かして開発されたセキュリティソフトは、それ単体の研究だけでも元々かなり難易度が高いものです。
そこに加えて複数のセキュリティツールを掛け合わせた場合の脆弱(ぜいじゃく)性までカバーしようとすると組み合わせが膨大になり現実的ではありません。
そうなるとハッカーとしても コスト>メリット となり諦めざるを得なくなってしまいます。
だからこそ防御者側としては複数のセキュリティツールを用いて防御態勢を構築するのが、情報セキュリティ対策として非常に効果的であると言えるのです。
リスクヘッジとしていざと言う時に備えバックアップも行っておくのが正しい危機管理意識
セキュリティの世界は日進月歩、セキュリティ会社とハッカーの戦いはハッカーが脆弱(ぜいじゃく)性を見つけたら即座にセキュリティ会社が定義ファイルを更新するイタチごっこが日常茶飯事となっています。
ハッカーにとって企業に対する攻撃へのメリットがデメリットを上回らない限り、多層防御によりセキュリティレベルを上げたとしても、いつか突破される可能性を0にはできません。
だからこそ企業としては最悪のケースも想定して常にバックアップを取っておきましょう。
頻度やバックアップ方法については求められるセキュリティレベルや体制などによって最適なものを検討してください。
人への教育によってリスクは有意に下げられる
感染経路はさまざまで対策は難しいと書いてはいるものの、社員ひとりひとりの意識次第でその感染リスクは大きく上下します。
差出人不明のメールのURLをクリックしない、業務と関係ないWEBサイトを閲覧しないなど、単純なことかもしれませんがひとりひとりがこうした意識を持つことで防ぐことができるインシデントは数限りなくあるはずです。
人間の心理をうまく使って感染させようとするのがランサムウェアを開発する人間であれば、常に高いセキュリティ意識を持ち、今までにないシチュエーションでも感染しないような行動をとり続けられるのも人間です。
どのような感染事例があるのか紹介したり感染した場合の被害事例を紹介したりなど個々のセキュリティに向かう意識をしっかりと高めておくことで多くのケースで感染リスクを減らすことが可能になります。
ランサムウェア対策は人の意識×システムの多層防御で
添付ファイルのオープン、URLのクリック、ファイルのダウンロード。
ランサムウェアの感染は人が端末で何かした場合に起こるケースがほとんどです。
第一のフィルタとして人の意識を高めることで不用意な感染機会を防ぎましょう。
社内セミナーや事例共有会などを開くのも有効な手です。
それでもくぐり抜けてしまうランサムウェアを含むマルウェアについてはネットワーク監視、サーバのセキュリティ対策、エンドポイントプロテクションと言った多層防御での感染防止を行うのが最善の策です。
全方位に対する防御を固めることと、多層防御で抜け道をなくすことが重要になります。
情シス担当としては経営者と二人三脚で、個別の対策ではなく会社としての統合的なセキュリティレベル向上に意識を向け対策を行うようにしてもらえればと思います。
トレンドマイクロからのアドバイス
システム面でのランサムウェア対策には、複数のソリューションを入れることに加えて個々のセキュリティ対策ソリューションのレベルを上げるのが重要です。
トレンドマイクロでは、併用していただくことで社内全体のセキュリティレベル向上に寄与するさまざまなソリューションをご用意しています。
自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
Trend Micro Cloud One - Workload Security™:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。
ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。
挙動監視、機械学習型検索、Webレピュテーション機能など感知しにくかったマルウェアに対しても効果的なソリューションになっています。
クラウドのサービスですので、自宅で端末を利用しても、会社にいるときと同じレベルのセキュリティ対策が可能です。
高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護
Trend Micro Cloud App Security™(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。
ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。
※すべての未知の脅威に対応するものではありません
また、トレンドマイクロではExchange Onlineを使用しているお客様向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。
ご活用いただける環境にありましたらぜひお試しください。
Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視
Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。
検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。