企業活動の脅威として情報セキュリティ管理者を最も悩ませていることの一つが、「ランサムウェア対策」ではないでしょうか。

この記事ではランサムウェアの実態や被害事例に加えて、有効な対策として活用すべきクラウドストレージについて、詳しく紹介しています。

ランサムウェアとは？対策の初めは実態を知ることから

ランサムウェアは“身代金”という意味の「Ransom（ランサム）」と「Software（ソフトウェア）」を合わせた造語です。

パソコン等の端末に保存されているファイルやデータを暗号化したり端末自体をロックしたりして利用できない状態にし、その暗号化またはロックを解除する交換条件として金銭を要求するマルウェア（悪意のあるソフトウェアプログラム）です。

このランサムウェア感染による個人情報・機密情報の流出やサービス障害、金銭被害といった事態は、業種・規模を問わず世界中の企業や組織に多大な影響を及ぼしています。

IPA（情報処理推進機構）の最新調査報告である＜情報セキュリティ10大脅威2023＞においても、「ランサムウェアによる被害」および「標的型攻撃による機密情報の窃取」といったマルウェア被害はそれぞれ１位と３位として、前年に引き続き最上位の脅威としてランク付けされています。

引用：IPA（情報処理推進機構）

では、ランサムウェアに関してより具体的にその特長や、肝心の対策対処について確認をしていきましょう。

ランサムウェアの特長とトレンド

ランサムウェアの特長とトレンドについて確認しておきましょう。

悪質化・巧妙化するランサムウェア

従来はデータの暗号化を解除する対価として企業に金銭要求をしている挙動をしていたランサムウェアですが、特に2019年以降の手口はより悪質化・巧妙化している状況です。

ファイルやデータの暗号化に加えてその窃取をしたうえで、金銭要求に応じない場合には「窃取した機密データを公開する」といった「二重恐喝」と、更にはDDoS攻撃（ウェブサイトやサーバーに対して過剰にアクセスをしたりデータを送付したりするサイバー攻撃）を仕掛け、被害企業や被害組織の顧客や利害関係者へ連絡するとさらに脅すといった「多重恐喝」も、新たに確認されています。

ランサムウェアの感染経路

警視庁の広報資料によるとランサムウェアの感染経路としては、「テレワーク時の業務端末やシステム環境の脆弱性」をついた攻撃の傾向が強くみられます。

1. VPN機器やリモートデスクトップ環境から企業や組織の内部ネットワークに侵入し感染
2. Emotet（エモテット）に代表されるボット型マルウェアから感染 （Emotetの詳しい記事はこちら）

出展：令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について［警視庁広報資料 ］

ランサムウェアの攻撃順序

では、ランサムウェアの攻撃が具体的にどのように進むかをみていきましょう。

1. 初期アクセス（スパムメールやOSの脆弱性をついた攻撃）によりパソコン等の端末やリモートデスクトップ経由で端末に侵入
2. パソコンなどの端末が登録されているネットワークを偵察・探索
3. その結果、デバイスやネットワーク接続先のファイル、データを窃取
4. ランサムウェアを展開して実行し、ファイルやデータの暗号化を行い身代金要求
5. 身代金要求に被害者が応じない場合は交渉に応じるまで被害者のWEBサイトやネットワークでDDoS攻撃を継続し、利用不可の状態にする
6. 身代金要求に応じない場合はリークサイト（通常のWebブラウザーではアクセスできない匿名性が守られたウェブサイト。匿名性ゆえに、非合法的手段で入手した個人情報や機密情報を含む取引がされ、犯罪の温床となる）にて、認証情報やデータそのもの、その他情報を公開

参考：Zscaler 2022年版Threat Labzランサムウェアレポート

 

ランサムウェアの種類

ランサムウェアの種類は、２つに大別されます。具体的に確認しましょう。

➀　スクリーンロック型（画面ロック型）

PCなどのデバイス起動できないようにしたり、またそのうえで恐喝メッセージなどを表示したりするタイプのランサムウェアです。

スクリーンロック型の代表的なランサムウェア

• Jisut(ジャイサット)　
• Ministry of Justice(ミニストリー・オブ・ジャスティス)
• CoronaVirus（コロナウィルス）

➁　暗号化型

ファイル自体を暗号化するタイプのランサムウェアは暗号化型と呼ばれます。

パソコンなどの端末は使えますが、中に保存されているファイルを暗号化し、加えて１つの端末だけではなくそのデバイスが参加しているネットワーク内の他の端末（サーバーやパソコンなどのデバイス）もランサムウェアに感染させてしまいます。

暗号化型の代表的なランサムウェア

• LockBit（ロックビット）
• Karakurt（カラカート）
• BlackBasta（ブラックバスタ）

上記のランサムウェアに平行して、近年RaaS（Ransomeware-as-a-Service）というランサムウェアを「サービス」として提供する悪意のあるグループ、ランサムウェアの詳細な仕組みを知らなくても企業を標的とした攻撃を仕掛けることが容易になり、身代金を支払ってもデータの復号ができない事例が増加している。

ランサムウェア被害の事例

ランサムウェアの情勢と感染経路、種類についてお伝えしてきましたが、実際の被害例を次で確認しておきましょう。

ケース１

発生：2022年3月

被害者：国内自動社メーカー

具体的被害：国内自動社メーカーと取引先およびその子会社のビジネスサプライチェーンにおいて、ネットワーク機器を侵入口にサイバー攻撃が行われた結果、取引先部品メーカーのランサムウェアに感染したことで、その事態をリスクと判断した国内自動車メーカーは、関連する国内全工場14カ所の28ラインが１日停止。それを受けて約1万3000台の生産に影響。

ケース２ 

発生：2022年10月

被害者：国内医療センター

具体的被害：医療センター内のサーバがランサムウェアに感染し、その被害および被害拡大措置のために電子カルテシステムおよび関連するネットワークを完全に停止した。その影響を受け緊急的対応以外の、外来診療や予定手術、新規救急受入の一時的な停止を余儀なくされ、発生から1ヵ月以上もの間、紙カルテでの運用を行った。

 

２つのケースのいずれも、「ランサムウェア感染」と報じられていたことから金銭要求があったと推察されることに加えて、被害拡大を迅速に食い止めるために、事業の根幹となる業務および、効率的な情報共有に必須となるシステムの停止を余儀なくされました。また、警視庁広報資料によると、感染した後の復旧にかかる時間として２か月以上を要した事例もあり、最重要視すべき企業課題の一つであることは明白です。

出展：令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について［警視庁広報資料 ］

なお過去の被害事例の詳細やそれを踏まえた注意喚起は、各公的機関等でも詳しく公開していますので、合わせて参考にしてみてください。

参考：厚生労働省、トレンドマイクロ

ランサムウェア対策に必要な４つの観点

では、ランサムウェアの被害に合わないための防止と備え、被害を受けた際の影響範囲の最小化のために、どのような策を講じるべきか、改めて概要を確認しておきましょう。

ランサムウェアはもとより、企業がセキュリティ対策を講じる際の参照フレームワークとして、たとえば、米国国立標準技術研究所（NIST）が発行している「サイバーセキュリティフレームワーク（CSF）」および、IPAが日本語訳した重要インフラのサイバーセキュリティを改善するためのフレームワークがあり、様々な企業や公的機関もこのフレームワークを活用した対策を講じています。

この記事では、よりランサムウェアにフィーチャーした内容にするべく、内閣サイバーセキュリティセンターに掲載されている「重要インフラ事業者等向け注意喚起」や、警視庁「サイバー犯罪対策」を参考に対策の際に必要な４つの観点として、「予防」「検知」「対応」「復旧」について詳しく紹介します。

１．ランサムウェア感染を未然に防ぐ：予防

ランサムウェアの侵入経路となりうるポイントを具体的に確認し対策を講じる必要があります。

ランサムウェアの侵入経路

• 外部ネットワークからアクセス可能な機器の脆弱性
• 特定の通信プロトコルや既知の脆弱性を悪用した攻撃
• テレワーク環境の不備
• 海外拠点等のセキュリティ対策の弱い拠点への攻撃
• その他のマルウェア感染を入口としたランサムウェア感染
• その他のマルウェア：たとえばEmotet（エモテット）のようなメールによる感染 

対策ポイント

• 不審な電子メールへの警戒

一見すると知人や、過去にメールの送受信を行った事がある企業からの電子メールと思われるものも、実際は送信元が詐称されていたり、本文になんら違和感はないがURLリンク先へのアクセスを誘導させたりと、巧妙にマルウェア感染に誘導されています。

添付ファイルつきのメールや、URLリンクつきのメールに警戒し、不用意に開封したりURLリンクへアクセスしたりする前に送信元への真偽を確認するなどしましょう。

• ネットワーク機器や、電子端末の脆弱性対策

最新のセキュリティパッチを機器に適用し、OSやソフトウェアに脆弱性を残さない運用ができるようにしましょう。

また、外部のネットワークに開放するポートやプロトコルは必要最低限にとどめた運用も必要となります。

• サービス利用時の認証情報の適切な設定と管理

リモートワーク環境を整備する際には、リモートデスクトップサービスやVPN機器などへの認証（パスワード）に脆弱性がないように対策が必要です。

初期設定のままのパスワードや、分かりやすいパスワード（「password」、「qwerty」、「12345678」などの文字列）は避け、分かりづらいパスワードに速やかに変更するようにしましょう。セキュリティ強度の高い（推測されにくい）パスワードとして「大文字・小文字・数字・記号の組合せ」「文字数が多い」「他のサービス認証時のパスワードの使いまわしではない」ことが条件としてあげられます。 

更に、ログイン時に別の認証サービスを組み合わせる２要素認証など、より強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も検討しましょう。また、パスワードの流出が懸念される際には速やかにパスワードを変更しましょう。

２．被害軽減のための備え：予防

ランサムウェアに感染してファイル・データが暗号化されてしまった際に、金銭要求に応じる事なくデータを手元に復元できるよう、ファイル・データのバックアップ環境をあらかじめ整備しておきましょう。

さらに、前述したような「窃取された機密データの公開」や「DDoS攻撃」、「利害関係者への感染通知を条件に脅す」といった、「多重恐喝」への備えも合わせて行うことは免れません。

対策ポイント：

• ファイルやデータのバックアップ：重要なファイルやデータは定期的に細目にバックアップをとり、バックアップからの復旧手順も確立しておくことが重要です。なお、法人向けクラウドストレージであれば、ファイルやデータのバックアップ運用も効率化できるので、是非チェックしておきましょう。
  

• ランサムウェア感染時にその影響範囲を最小化するようなシステム設計：ネットワークを分けたり、バックアップの場所を分散するなど、考慮した設計をしましょう。
  
  
• ファイルやデータの最適な暗号化やアクセス制御を実施：多重恐喝を受けた場合の機密情報公開リスクを想定し、ユーザアカウントに割り当てる権限や、アクセス許可の範囲は必要最低限にとどめて運用しましょう。
  
  
• 復旧計画及び手順の確立：マルウェア感染時の復旧計画や対処の手順をあらかじめ確立し、参照できる状態にしておきましょう。

３．不正アクセスを迅速に見つける：検知

マルウェア感染時には感染端末と外部のサーバとの間で不審な通信が見られる場合があります。そういった不正アクセスや不審な通信の挙動を迅速に検知する事でマルウェア被害を最小に食い止められる可能性があります。

対策ポイント：

• ネットワーク機器およびそれに接続されるサーバやファイルストレージ、パソコン等の端末のログ監視を強化したり、ネットワークのログなども最適な管理を行いましょう。
• アンチウイルスソフトなどの自動検知のセキュリティシステムの導入：ランサムウェア感染の入り口として、その他のマルウェアソフトやハッキングツールを利用されるリスクを低減するべく、ウイルス対策ソフトを導入し最新の状態に保つことも検討しましょう。

不審な挙動の検知と迅速な対応を支援するソリューションの例：

• EDR（Endpoint Detection and Response）：ユーザーのパソコン端末やサーバーといった“エンドポイント“の設備・機器における不審な挙動を 検知し、迅速な対応の⽀援をするソリューション。
• CDM（Continuous Diagnostics and Mitigation）：端末やシステムの現状を継続的に診断し可視化して、診断結果に応じて設定の修正や更新といった「脆弱性緩和と対策」を行うソリューション。

４．迅速なインシデント対応：対応・復旧

ランサムウェア感染（それに伴うファイルやデータの暗号化、機密情報のデータ公開、DDoS攻撃など）を検知した後の適切な対応は、結果として被害を拡大させないために必要です。自組織であらかじめマルウェア感染の事態を想定し、事前に計画した対応や手順に沿って迅速に対処を進めましょう。

対策ポイント：

• 対応計画や手順を定期的に参照したり、見直ししたりする運用を取り入れる
• エスカレーションルート（自組織内外）の確認　をしておく

また、万が一感染した場合の計画策定には、以下情報も参考してみてください。

• 一般的な相談や情報提供　情報処理推進機構（IPA） 情報セキュリティ安心相談窓口、情報処理推進機構（IPA） コンピュータウイルス・不正アクセス届出窓口
• 警察への届け出／相談　都道府県警察本部のサイバー犯罪相談窓口一覧
• 感染時のインシデント初動対応　JPCERT/CC インシデント対応相談、JPCERT/CC 侵入型ランサムウェア攻撃を受けたら読むFAQ

クラウドストレージでランサムウェア対策

すでに紹介したような事前の予防策や備えをしていたとしても、やはり対処が必要になるケースが出てきます。そのため、マルウェア感染の事態をあらかじめ可能な限り想定し、対処・復旧の計画をたて手順を確立しておくことが重要なことはすでにご説明したとおりです。

金銭要求に応えることなくファイルを復元するための最低限の手段としてバックアップを取得しておくことをご紹介しましたが、具体的にファイルやデータのバックアップを、効率的かつ短期間でシステム化して運用する手段としてとして、“クラウドストレージ“という方法もあります。ここでは、法人向けクラウドストレージのFileforce（ファイルフォース）を例に紹介します。

クラウドストレージでランサムウェア対策をする際に活用できる機能

ファイルやデータのバックアップはバックアップ専用のソフトウェアおよびハードウェアで環境構築をする方法もありますが、ここでは、クラウドストレージの機能でその代替をする方法を紹介します。

一般的にはクラウドストレージの用途として、全社のファイルサーバーやNASといった「社内のファイル共有用途」として活用しているケースもあれば、「社内外の関係者間でのファイル共有」のために活用しているケースもあります。そのようなクラウドストレージにおいて、次のような機能はランサムウェア対策としても有用です。

クラウドストレージにファイルアップロードする際の自動ウイルスチェック機能

クラウド上にアップロードする際に、自動的にウィルスをチェックする機能です。クラウドストレージ上のファイルはウイルスチェック済みの状態で保管、共有されることになります。また、万が一ファイルアップロードの時点でウィルスが検知された場合は、対象のファイルを自動的に削除し、そのことをアップロードしたユーザーに通知することが可能です。

バージョンファイル管理機能

ランサムウェアにより、Fileforce® Drive経由でファイルが暗号化されてしまった場合は、クラウドとの同期が完了していれば暗号化前のファイルがクラウド上に存在するので元に戻すことが可能です。Fileforce®Drive（ファイルフォース ドライブ）についての詳細はこちらでご確認いただけます。

クラウドストレージでランサムウェア対策？情報セキュリティ管理者が今知るべき最新情報まとめ

この記事では、クラウドストレージの機能がランサムウェア対策にも有効であるという紹介と、情報セキュリティ管理者が確認しておくべきランサムウェアの情勢と実際の被害事例などについても紹介をしました。

クラウドストレージサービスによっては、ランサムウェア対策に特化した機能やオプションも用意されているため、自社ですでに利用中のクラウドストレージの改めての機能活用や、今後オンプレミスのファイルサーバーやNASをクラウドストレージに移行されようとしている場合にも、ランサムウェア対策の観点で検討をすすめることをおススメします。