突然データが暗号化され、復旧と引き換えに金銭を要求するメールが届くランサムウェア。データが戻ることはなく被害コストも甚大であり、事前対策が特に重要とされるマルウェアです。
ランサムウェアの被害は事業規模や業種を問わず急拡大しており、被害にあった法人の累計被害額は3年間で平均1億7689万円※といわれています。どの企業においても早急な対応が必要です。 今回はランサムウェアに有効な対策と感染した場合の対処法をご紹介します。
1.いますぐランサムウェア対策が必要な理由
トレンドマイクロ㈱が2023年に行った「サイバー攻撃による法人組織の被害状況調査」※によると、この3年間のランサムウェア被害を受けた法人の累計被害額は平均1億7689万円。
復旧にかかった業務停止期間は、通常のサイバー攻撃が平均4.5日のところランサムウェア攻撃では平均13日と3倍近い日数が報告されています。
この数年でランサムウェア被害が急増した主な理由は、新型コロナ感染症や働き方改革によって社外へのネットワーク接続が増えたことです。
テレワークやSaaS、RDS(遠隔操作サービス)の利用が急速に進められた中で、多くの企業が新たな環境に適したセキュリティへの移行が間に合わず、その脆弱性がランサムウェアに狙われています。
ランサムウェアに一度感染すると完全な復元は不可能であり、事業存続にかかわる大きな被害を出す場合もあります。早急に対策を検討しましょう。
2.ランサムウェアに有効な7つの対策
ランサムウェアはネットワークの脆弱性やメールの添付ファイル、ソフトウェアのダウンロードなどから侵入します。以下の7つの対策を同時に行いましょう。
定期的なバックアップ
感染に備えて常にバックアップをとることが最も重要です。ランサムウェアにデータを暗号化されても最新情報をしていれば被害を最小限に抑えられます。バックアップへの感染を防ぐため複数コピーして外部からアクセスできない場所に保管しましょう。
OSやアプリケーションを最新に保つ
OSやアプリケーションは時間が経つと脆弱性が見つかることがある上、ランサムウェアをはじめとしたマルウェアは日々進化します。OSやアプリケーションの更新連絡がきたらすぐに適用して最新のプログラムにしましょう。使用していない古いアプリの削除も必要です。
セキュリティ対策ソフトの導入と更新
ほかのマルウェアもランサムウェアの侵入経路になるため総合セキュリティ対策ソフトの導入は必須です。すでにセキュリティソフトを導入している場合は更新状況や十分な性能があるか見直します。ランサムウェアは従来型のソフトでは検知できないケースも多くあります。EDRも含めて導入を検討しましょう。
パスワードの管理徹底・多要素認証の導入
パスワード管理は基本ですが、慣れや作業性を優先して簡易化されやすいものです。定期的な変更、法則性のない並び、十分な長さなど改めて徹底させましょう。SMS認証や生態認証など多要素認証の導入もおすすめです。
アクセス権限の最小化
感染の予防と拡大防止のため、ユーザアカウントのアクセス権限や範囲などは必要最低限にします。特に、外部に公開されているアカウントは攻撃対象になりやすいので、内部への接続を可能な限り制限しましょう。
ネットワークの監視とログの保存
ネットワークの監視はランサムウェア感染時の不審な挙動の早期発見、ネットワークログの保存は侵入経路の特定につながります。感染時の被害をいち早く収めるために必ず行いましょう。
全社員での警戒と危機意識の共有
マルウェア対策はネットワーク全体で行わなければなりません。以下のようなセキュリティルールを作成し、全社員で情報共有・警戒を徹底しましょう。
- 偽装メールやSNS、不審なUSB、公衆Wi-Fiへの警戒
- メールのスキャンやフィルタリング機能の活用
- 不審な添付ファイルやURLをクリックしない
- ダウンロード前に信頼性の確認を行う
- デバイス持ち込みは事前スクリーニングと報告 など
3.ランサムウェアに感染したときの対処法
巧妙な手口が次々と生まれるランサムウェアは万全な対策をとっていても感染が避けられない場合があります。被害を最小限に抑えるために感染時の対処法も合わせて周知しておきましょう。
ランサムウェアに感染した場合の対処は以下の手順で行います。
①ネットワークの遮断
感染が疑われたら、すぐに端末をネットワークから遮断して隔離します。同じネットワークを使用している端末はすべて感染の可能性があるため、早急に連絡して同様に対処させます。検出や駆除作業より優先させましょう。
絶対に要求には応じない
ランサムウェアはデータを奪うまたは暗号化するなどして、その漏洩防止や普及と引き換えに金銭や資産を要求してきます。しかし、データが安全な状態で戻ることはありません。
一度要求に応えてしまうとそのデータが共有され攻撃が増えるとも言われています。「要求には絶対に応じてはならない」と周知しておきましょう。
②ランサムウェアの検出と駆除
端末の隔離を終えたらセキュリティ対策ソフトでランサムウェアの検出と駆除を行います。多くの対策ソフトでは自動で特定箇所の削除や隔離がされますが、最新のランサムウェアの検知や駆除は非常に難しく対応できないソフトウェアも多いようです。
対処しきれない場合はセキュリティ担当者やサポートセンターへ依頼しましょう。
③ファイルとデータの復号
暗号型ランサムウェアは、「No More Ransom Project」などの復号化ツールでファイルとデータを復号できる場合があります。ただし、すべてのランサムウェアに対応できるわけでなく、端末に不具合が生じる可能性があるためよく検討してから使用しましょう。
④バックアップデータからの復旧
ランサムウェアに奪われたデータは最新のバックアップデータから復旧させます。バックアップデータの保管場所によっては感染している恐れがあるので、安全が確認できたデータを使用しましょう。
⑤警察へ通報
ランサムウェアはれっきとした犯罪行為です。攻撃を受けたら警察の各都道府県のサイバー犯罪相談窓口へ通報しましょう。対処に悩んだときの相談先にもなってくれます。
4.ランサムウェアの対策や感染は専門家に相談する
ランサムウェアをはじめとしたマルウェア対策は複数の対策を同時に行わなければならず、さらに常に変化する手口に最新の知識で対応する必要があるとなると、専門職でなければ難しいでしょう。
社内に専門の担当者がいない場合は、24時間体制でサイバー攻撃を監視してくれるSOC(セキュリティ対策専門部署)やwebサイトの保守サービスなど外部の専門家に委託するのがおすすめです。
ランサムウェアは事前対策と感染時の迅速な対応が被害規模に大きく影響します。損失を最小限に抑えるために、万全の体制を整えておきましょう。
5.まとめ
ランサムウェアの被害はこの数年で急増しており、復旧の難しさや事業への悪影響は他のマルウェアを大きく超えています。被害を受ける前に早急に対策しましょう。
検知が難しいランサムウェアを防ぐには、定期的なバックアップやアプリの更新など基本的対策に加え、ランサムウェアに対応できる高性能セキュリティソフトの導入などもう一歩踏み込んだ対策が必要です。
また感染被害を最小限に抑えるために正しい対処法も周知しておきましょう。感染したらまずネットワークを遮断、要求には応じない、警察への通報の3つです。
セキュリティソフトを使った検出や駆除、暗号化されたデータの復号、データの復旧などの作業は専門知識をもったSOCや保守サービスなどの利用がおすすめです。
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
※トレンドマイクロ株式会社+「サイバー攻撃による法人組織の被害状況調査」