ランサムウェア対策は3段階の多層防御が基本！さらに感染経路の早期検知・被害低減の方法を解説

• 2024.3.29 (金)
  Posted by NTT東日本

「ランサムウェアへの対処法は？」「バックアップを取っておけば何となる？」「セキュリティよりも社員の意識を高めるべき？」という方は多いのではないでしょうか。

昨今はリモートワークの推進により、クラウドサービスなどを新たに取り入れる企業が増えています。しかし、適切な情報セキュリティ対策がされていないため、ランサムウェア感染が増加している状況です。

今回の記事では、ランサムウェアの危険性や対策、対処方法を解説します。

ランサムウェアの脅威に怯えることのない情報セキュリティ対策をしたい方は、ぜひ最後までお読みください。

ランサムウェア対策で重要なことは、複数の観点からセキュリティを導入する「多層防御」という考え方です。「多層防御」は少しでもリスクや被害を低減させることを重視します。なぜなら、どれだけ対策しても感染リスクをゼロにはできないためです。

従来の情報セキュリティ対策では「侵入や感染をさせないこと」を重視しているため、ランサムウェアの対策としては不十分です。「多層防御」を実現するには、以下3つの観点でセキュリティを導入することが必要になります。

• 感染経路の把握
• 早期検知
• 被害軽減
  

セキュリティを3つ導入するのではなく、それぞれの観点で十分なセキュリティを導入する必要があります。多層防御の問題点は、導入するセキュリティが多くなるため、コストがかさんで管理が複雑になることです。

ランサムウェアとは、マルウェアの一種で、パソコンなどの端末に感染することで端末内のファイルを暗号化して使えなくするソフトウェアを指します。暗号化する理由は、ファイルを元に戻す対価として金銭を要求するためです。しかし、元に戻る保証はないため、支払う意味はありません。

また、最近のランサムウェアには情報を暗号化する前に、機密情報を盗む機能があります。ファイルを元に戻す対価の金銭要求とは別に、入手した機密情報の漏えいをチラつかせ金銭をさらに要求する「二重恐喝」が確認されています。

ランサムウェアによる被害は、世界的に増加の一途を辿っているため、認識が甘いと甚大な被害を被ることになります。

ランサムウェアは、日々手口を巧妙化し、技術は進化しているため、適切な対策には最新の情報が必要となります。2023年3月現在、主流のランサムウェアは「ばらまき型攻撃」と「標的型攻撃」の2種類です。

ばらまき型攻撃は、セキュリティが脆弱な端末が感染するのを待つタイプです。具体的には、不特定多数にフィッシングメールを送信したり、正規サイトを模したフィッシングサイトを用意したりします。

以前からある攻撃方法のため、対策はしやすいでしょう。しかし、手口は巧妙化しており現在も被害が出ているため、常に最新情報を共有する必要があります。

セキュリティが脆弱な部分から不正アクセスし、マルウェアなどを感染させるタイプです。企業などの組織が主な標的で、サーバーなどの社内ネットワークにつながる端末を不正操作します。

昨今被害が増えている攻撃方法で、技術の進歩に対し、多くの企業のセキュリティが追いついていないのが現状です。

昨今の主流は「標的型攻撃」で、被害は現在も増加しており、全体としての割合も大きい状況です。しかし、ばらまき型攻撃による感染も影を潜めるようになっただけで、注意する必要がなくなったわけではありません。

ばらまき攻撃による感染経路は、何かに仕込まれていて、セキュリティ上の脆弱性と人の意識の低さを突くことが共通しています。それらを大きく分けると以下の3つです。

• 電子メール
• Webサイトやアプリ
• 外部記憶媒体

本文のリンク先や添付ファイルに、ランサムウェアが仕込まれているメールは「フィッシングメール」と呼ばれています。安価に作成・送信できるため、以前はメジャーな手口でした。

ブラウザ上のメールを開くだけで、ランサムウェアがダウンロードされるフィッシングメールもあります。したがって、本文を確認して添付ファイルの安全性を確認するという対処法では危険です。

また、セキュリティソフトやサービスでメールスキャンが可能なものもありますが、完璧に防げるわけではありません。昨今の状況を考慮すると、巧妙化しているメール攻撃に対応できて、感染してしまった場合にもサポートがある「おまかせクラウドアップセキュリティ」がおすすめです。

フィッシングメールや標的型攻撃メールといった巧妙化したメール攻撃をクラウド上で検知し防御するセキュリティとなっています。さらに、セキュリティサポートオプションの追加によってセキュリティレポートのご提供や、ウイルス感染時の駆除支援等も可能なため、ご検討ください。

「おまかせクラウドアップセキュリティ」の詳細はこちら

正規のWebサイトを模した、フィッシングサイトと呼ばれるものを用意して、アクセスしてきた端末にランサムウェアなどをダウンロードさせます。Webブラウザの脆弱性をついており、閲覧するだけでダウンロードされることもあり注意が必要です。

また、利便性を謳ってランサムウェアが含まれているアプリもあります。

身元がわからない会社から、ネット通販でなどで購入したUSBメモリや外付けHDD（ハードディスクドライブ）の中に、ランサムウェアが仕込まれていることがあります。スキャンせずに、社内ネットワークとつながっている端末と接続することで感染します。

現在はクラウドサービスなどが充実しているため、社員個人がUSBメモリなどを用意して利用することは少ないです。しかし、普段使わないからこそ、意識が低くなっている可能性はあるため注意が必要です。

ランサムウェアに限らず、サイバー攻撃は日々巧妙化し、進化しています。したがって、どれだけセキュリティを強化しても、対策が万全になることはありません。

感染防止策だけでなく、感染後の被害拡大を抑え、さらに被害を軽減させる多層防御の実現が重要です。

利用するシステムや端末はもちろんのこと、回線などのインフラや認証情報を含めた管理を徹底することが重要です。昨今増加している標的型攻撃の感染経路は、主にVPN接続機器とリモートデスクトップにおけるセキュリティ上の脆弱性を悪用したものです。

原因は、リモートワークの推進において、急遽導入した新たなシステムや多種の端末の管理が行き届いていないことにあります。また、感染してしまった場合に、検知が遅れたり、原因究明に時間がかかる要因にもなるため注意が必要です。

また、セキュリティの有無だけではなく、OSやソフトウェアの最新状態を維持することも重要になります。なぜなら、OSやソフトウェアの更新が発生する理由は、新たに発見されたセキュリティの脆弱性への対処の可能性があるためです。

セキュリティソフトは、ただ導入すれば良いわけではありません。導入する端末に合っているか、最新の攻撃に対応しているかを考えなければ、十分な効果は期待できないからです。

多層防御は感染予防対策だけではなく、感染の早期検知や、感染の被害低減にも費用を回す必要があります。セキュリティソフトのコストを抑えることを意識すると、適切なものを選べない可能性があるため注意が必要です。

またセキュリティソフトで気になることは、更新されておらずセキュリティが最新ではない期間が発生することや、自動更新でライセンス切れを起こしてしまうことではないでしょうか。

「おまかせサイバーみまもりセキュリティパッケージ」なら、インストール済みの端末を自動でバージョンアップすることが可能で、パターンファイルも自動更新するため、管理の手間が省けます。また、ライセンス契約を自動更新するので、管理の手間やウイルス対策ソフトの更新漏れのリスクもなくなるためおすすめです。

「おまかせサイバーみまもりセキュリティパッケージ」の詳細はこちら

社員のセキュリティ意識を高めるためには、常に最新情報を共有することが大切です。サイバー攻撃の手口は巧妙化し、技術は進化しているため、情報セキュリティ対策に関する情報も常に更新されています。

セキュリティ意識を高めるためには、定期的に研修やセミナーを実施しましょう。また、最新情報を共有するため、常にアンテナを高くしておくことが有効です。

また、社員のセキュリティ意識が低い場合、適切なセキュリティソフトを導入しても、動作が重いからと設定を変えたり、アンインストールしてしまうことがあります。しかし、「おまかせサイバーみまもりセキュリティパッケージ」なら、まとめてパスワードをかけ、勝手に設定などを変えられないようにできます。

「おまかせサイバーみまもりセキュリティパッケージ」の詳細はこちら

必要最低限の権限を割り振っておくことで、感染速度を遅くできます。なぜなら、ランサムウェアが端末から端末へ感染してしまう原因は、感染した端末が他の端末やサーバーのデータを改ざんできる権限を持っているため発生することだからです。

ネットワークの監視で、情報が盗まれる際に発生する膨大なデータの送信を検知できます。一部のランサムウェアは、端末に感染した後に、情報の送信先として外部のサーバーと通信を行うためです。

また、ネットワークのログを取っていれば、不正アクセス発覚時の侵入経路の特定にも使えます。「おまかせサイバーみまもりセキュリティパッケージ」はネットワークの通信状況を監視し、情報セキュリティ対策の運用をサポートするため、ぜひ参考にしてください。

「おまかせサイバーみまもりセキュリティパッケージ」の詳細はこちら

ランサムウェアは、感染してから時間が経つほど被害が拡大するため、初動対応が重要となります。感染を確認したら、まずは他の端末やサーバーと接続させないことが重要です。

具体的には、LANケーブルを抜き、Wi-Fiの接続を切るなどです。ランサムウェアのタイプによっては、インターネットにつながったままだと、端末内の情報を盗まれることもあるため気をつけなければいけません。

次に、システム管理者と上司への報告です。他の社員が感染したことを知らずに作業を続けてしまうと、感染拡大の原因となります。社内全体で状況を共有し、早急に被害状況を確認することが大切です。

ログやバックアップは隔離した場所に取得しておくことです。一部のランサムウェアは、感染した端末やサーバーとつながっているファイルを暗号化する可能性があるため、社内ネットワークから物理的に隔離することが重要となります。

ランサムウェアの被害を減らすためには、感染により業務を中断せざる負えない状況になった際に、どれだけ早く復旧できるかが大切となります。なぜなら、事前に業務を復旧できるように準備していれば、損害を低減できるからです。

被害軽減のためには、ログやバックアップからのスムーズな復旧手順をあらかじめレクチャーしておくことも有効です。

ランサムウェアに感染した時の被害を減らすには、適切な初動対応とその後の対処が重要となります。具体的な対処法は、以下の3つです。

• ランサムウェアの除去
• 暗号化されたファイルの処理
• 再発防止のための調査
  

それぞれに特別な技術は不要ですが、不安が残るようなら自社のみで行おうとせず、専門の業者に依頼・相談することも大切です。

ランサムウェアに感染した端末、および感染した可能性がある端末やサーバーは、セキュリティソフトを使用してランサムウェアの除去をすることになります。実際の作業はソフトウェアが行うため、必要な操作をすれば後は気を付けることはありません。

しかし、ファイルが暗号化されていなくとも感染している可能性はあるため、スキャンは忘れないようにしてください。

暗号化されたファイルの処理方法は、主に復号化するかログやバックアップから復旧するかです。復号化に必要なソフトウェアは、セキュリティソフトの会社が提供していますが、全てのランサムウェアに対応しているわけではありません。

また、暗号化が解除できても、全てのファイルが元通りになるわけではないため、注意が必要です。

ログやバックアップから復旧する場合は、ファイルの暗号化やランサムウェアに感染する前ではなく、復旧可能なデータがある時点までとなります。

ランサムウェアに感染した場合には、再発防止策を講じることになります。再発防止には、感染経路を特定することが重要となり、調査が必要です。

フィッシングメールやフィッシングサイトなどからの感染であれば、操作した社員がいるため、感染経路の特定は容易です。しかし、不正アクセスの場合は、感染が始まった端末ではなく、ログなどの記録だけでは特定することが難しい原因の調査が必要になります。

ランサムウェア対策で大切なことは、ランサムウェアに対して完璧なセキュリティは存在しないため、何か一つを導入すれば良いわけではないことです。複数の観点から、セキュリティや対策を拡充する多層防御が有効となります。

「社員ひとり一人が気を付けていれば良い」「多少社内の情報を見られたところで事業には影響はない」では済まないほど、ランサムウェアを含む外部からの攻撃による被害は甚大となっています。また、個人情報が漏えいすれば、顧客の信頼低下による機会損失も測り知れません。

既に情報セキュリティ対策をしている企業は、感染させない入口に力を入れていることが多いでしょう。しかし、セキュリティは感染することを想定した対策も必要であり「おまかせサイバーみまもりセキュリティパッケージ」がおすすめです。

ウイルス感染時にはNTT東日本から連絡、ウイルス駆除支援までサポートしています。標準付帯されたサイバー保険により、調査や復旧にかかった費用の一部を補償できるのもポイントです。是非導入をご検討ください。

ページの先頭へ

おまかせサイバーみまもりセキュリティパッケージのトップに戻る