コラムアーカイブ

最近もランサムウェア被害のニュースを目にします。VPNやリモートデスクトップ接続を介してインターネットと内部との境界から侵入される事例がよく紹介されていますが、マルウェアなどさまざまな手法や経路で侵入してくるため、インターネットと内部との境界防御を意識するだけでは、ランサムウェア攻撃を防げない可能性があります。

ランサムウェア攻撃や被害を机上で想定することは重要です。対策だけに目を向けるのではなく、被害に遭う想定もしておくことは、迅速な対応の準備につながります。被害に遭ったらどう対応すべきかについて、上記の記事でも紹介されているJPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」はとても参考になります（下記のご参考にURLあり）。このFAQには、被害後の相談先、ランサムウェア被害で見られる状況や侵入拡大の段階に応じた具体的な対応などについて記載されています。

また、上記の記事は弁護士による法律の観点で身代金の支払いや情報漏洩などランサムウェア被害について説明されていて参考になります。記事を読むと身代金を払う是非について考えされられます。やはり、必ずしも身代金を払って解決できるか疑問があり、さまざまなリスクが考えられるため、身代金の支払いは推奨されません。以下に、考えられる身代金支払いのリスクを列挙してみます。

身代金を払うリスク
・身代金を支払ってもデータを復号できる確証は無い
・侵入経路を特定して対策できなければ、復号できても再度被害に遭う可能性がある
・反社会的勢力へ金銭提供する行為が社会的な問題とみなされる可能性がある
・二重脅迫されている場合は、漏洩したデータを削除してもらえる確証はない

最後4番目のリスク、二重脅迫されている場合、大事なデータはランサムウェアの攻撃者の手に渡っていますので、データ復旧できるかの問題とは別の情報漏洩の問題に発展しています。こうなってしまった場合は、たとえバックアップや身代金の支払いを想定したサイバー保険を準備していたとしても、漏洩したデータは戻ってこない可能性があり、ランサムウェア対策以前に情報漏洩対策が不足していたと言えます。

これまでの内容から、ランサムウェア対策は、情報セキュリティ/サイバーセキュリティの基本に立ち返り、ネットワーク概要図の作成や守るべきIT資産の特定をして、攻撃のタイプや侵入経路や被害を想定し、対策や緩和策をどこまでするかの検討から実施、対応の想定や訓練などを行っていくことが求められます。

特に、社内や組織内に重要なIT資産があるのなら、厳格にセキュリティ対策を実施するべきです。内部のネットワークの分離や、内部であってもシステムに必要な通信やユーザー権限に制限することも、必要な対策になります。

企業や組織ごとにIT資産はさまざまあり、ランサムウェアに限らず攻撃や脅威は高度化や多様化が進んでいますので、この対策をすれば100%万全と言えない状況ですが、企業や組織の社会的な役割や責任を踏まえながら、内外の変化に対応できるよう、定期的にセキュリティ対策の見直しをしてみてはいかがでしょうか。

ご参考：

JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
https://www.jpcert.or.jp/magazine/security/ransom-faq.html

IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

NISC「ストップ！ ランサムウェア　ランサムウェア特設ページ」
stopransomware

NISC「インターネットの安全・安心ハンドブック」
https://security-portal.nisc.go.jp/handbook/