クイックマンからのお知らせ
ランサムウェアの対策として本当に有効な方法とは?【2022年 実践編】
当社では実際にランサムウェアに感染した企業様から年間200件を超えるご相談を頂戴しております。
その中にはランサムウェア対策をやっていたのに感染した!?
というようなご相談もあります。
この記事ではこれまでのご相談から実際に、
ランサムウェアに有効な対策とそうでない対策を解説いたします。
ランサムウェアとは?
ランサムウェアとは、
マルウェアや脆弱性を突いたPCの乗っ取りなどにより、
ネットワーク内のデータを暗号化し、
その復号の為に身代金を要求するタイプのサイバー攻撃です。
1989年に作成されたのが最初だと言われていますが、
国内では2014年頃より被害が増えはじめ、
Lockyやwannacryなどがニュースにも取り上げられました。
警視庁の発表によると2021年の国内ランサムウェア被害件数は146件ですが、
当社へのご相談件数が年間200件を超えていることからも、
その実数は遥かに多いと思われます。
当社にご相談頂く件数だけでそうですから、
泣き寝入りしている件数も含めると母数は遥かに多くなると思われます。
近年ではトヨタの子会社が感染しトヨタの生産が数日ストップしたケースや、
病院の電子カルテが暗号化され治療履歴が失われたケースなど
国内でも生活に直結するような被害が増えております。
当社にご相談頂いた方の傾向としては、
大手企業のご相談もございますが、
比率的には社員数10名~100名ほどの中小企業の比率が一番高いです。
大手だけが狙われる他人事と思わず、
もしかすると自社も感染する可能性があるのかも?と
危機意識を持って頂くことが重要です。
ランサムウェアに感染するとどうなる?
ランサムウェアに感染するとおもにいくつの特徴的な症状が現れます。
【パソコン・サーバー機の場合】
・多くのファイルが開けなくなる
・拡張子がすべて書き換わる
・画面上に脅迫文が表示される
・各フォルダにReadmeなどのtxtファイルが生成される
・ネットワーク上の共有ファイルもすべて暗号化される
・USBメモリなど外部媒体を接続するとその媒体も暗号化される
・Hyper-Vなど仮想環境内も暗号化される
【NASなどネットワークストレージの場合】
・多くのファイルが開けなくなる
・拡張子がすべて書き換わる
・管理画面ログイン時に脅迫文が表示される
・各フォルダにReadmeなどのtxtファイルが生成される
・バックアップデータも暗号化される
といった特徴があります。
特に狙われるのはサーバー機やNASです。
サーバー機やNASには企業にとって生命線となるようなデータが保存されています。
また、日常業務で使用する基幹システムが運用されている場合では、
日常業務自体がストップしてしまいます。
先日発生したトヨタ系子会社のランサムウェア感染によるトヨタ生産停止などはこのパターンです。
社員数100名程度までは専任のIT担当者がいないケースも多く、
多岐にわたるセキュリティ対策を網羅できません。
バックアップや一般的なウイルス対策はおこなっていますが、
不正防止、漏えい対策、ディザスター対策、
更にランサムウェア対策にEmotet対策となると、
兼務で担当しているIT担当者では荷が重いのが実情です。
当社にご相談頂くケースでも
ランサムウェア対策は大丈夫なのか? と社長から突然質問され、
慌ててランサムウェアについて調べ出し、
当社にランサムウェアの対策ってどうすればいいですか?
そもそもランサムウェアってどんなものですか?
というようなご質問を頂戴します。
更に怖いのが、データを暗号化するだけでなく、
盗んだデータを時間経過とともにダークウェブ上に公開するタイプのランサムウェアが流行しています。
・データを取り戻したい
・データの漏えいを防ぎたい
という二重脅迫の形になるため、
企業にとって感染時のリスクは増大しています。
ランサムウェアの対策
ではランサムウェアの対策としてどういった方法が有効でしょうか?
対策方法としては以下のような方法が考えられます。
1)ウイルス駆除ソフト【有効度:大】
ウイルス駆除ソフトはすでに導入済みという企業が多いかと思います。
ただ、ちゃんと全PCに導入されているか、しっかりと更新されているか?までは管理できていないケースがあります。
ビジネス用のウイルス対策ソフトには、これらの管理機能をクラウドなどで提供しているソフトがあります。
そういった機能を使うことにより導入漏れや更新漏れを防ぐのが重要です。
ランサムウェア対策として必須の対策とお考えください。
2)機器管理の徹底【有効度:中】
社内には様々な機器が持ち込まれます。
スマホやUSBメモリ、個人所有のノートPCなど、
会社側が管理していない機器が持ち込まれることに対するリスク管理が必要です。
それらの機器が原因でマルウェアに感染、最終的にランサムウェアの感染に繋がったというケースもあります。
ただ、今のところUSBメモリやスマホからランサムウェアの感染に繋がったケースは少ないです。
ですのでランサムウェア対策としては【有効度:中】と致しました。
とはいえ、機器管理は社内の脆弱性把握に必須ですので、
セキュリティ全般への対策としては【最優先項目】とお考えください。
3)HDDへバックアップ【有効度:小】
Windowsサーバー機ですとタスクスケジューラーやArcserveをはじめとしたバックアップソフトを使い、
日々重要なデータをローカルのHDDへバックアップを取っているという企業は多いかと思います。
この方法は重要データを守る方法として広く用いられている方法ですが、
ランサムウェアの対策としては有効ではありません。
サーバー機は管理者権限を乗っ取られ、外部から操作されることによりデータを暗号化されるケースが多く、
その際にサーバーへ接続されているバックアップHDDなども同時に暗号化されてしまいます。
こちらもセキュリティ全般の対策としては非常に重要ですが、
ランサムウェアの対策とする場合には、
カートリッジ式にして毎日HDDを物理的に切り替えるなど
オフラインバックアップをおこなう必要があります。
4)NASへバックアップ【有効度:中】
こちらも【3)HDDへバックアップ】と同じです。
サーバー機の管理者権限を乗っ取られてしまうと、
NASにバックアップしたデータも暗号化されてしまいます。
バックアップのNAS側でも別途差分バックアップをとるなどの工夫が必要です。
また、NASのデータへのアクセス権限を渡さず、
NAS側からサーバーのデータをバックアップする手法にすれば、
サーバー機の管理者権限を乗っ取られたとしてもNAS内のバックアップデータは生き残ります。
ただ、最近のランサムウェアの場合、NASの管理者権限を奪う種類のものが出ています。
この場合、NASが乗っ取られたことにより、サーバー内のデータまで暗号化される恐れがありますので、
この場合はサーバー側のローカルHDDへ別のバックアップを取得する方法が有効です。
5)クラウドへバックアップ【有効度:大】
クラウドへデータをバックアップする場合、
サーバー機の管理者権限を奪われると、
やはり同じようにクラウド内のデータも暗号化されます。
しかしながらクラウドサービスの多くは、
一定期間なら任意のタイミングへデータを復元させる機能が提供されています。
これらの機能を使えば、たとえクラウドの共有データが暗号化されたとしても、
感染直前のデータに戻すことができるようになります。
ただ、クラウドに大容量のデータを保存することは、
コスト面や運用面での課題も多く、
よくよく検討して導入することが必要です。
6)UTM・ファイアウォールの導入【有効度:大】
社内ネットワーク出口に設置するUTMは
ランサムウェア対策として【有効度:大】です。
UTMはポートスキャンや不審な通信などをシャットアウトするため、
攻撃をかなりの確率でブロックします。
社内のランサムウェア対策を徹底したくても
社員の意識レベルは様々で一時的に引き締めたとしても年数の経過とともに緩みます。
こういった隙をついて侵入するのがランサムウェアですので、
その攻撃を入り口でシャットアウトするUTMの威力は絶大です。
ただ、これまでご相談をうけた企業の中にはUTMを導入済みだったという企業もあります。
ヒアリングの結果、導入したUTMやファイアウォールにはその機能や能力に違いがあり、
効果的なモデルとそうでないモデルがあります。
UTMは相応の費用がかかるものですので、
リースでのご契約が多いかと思います。
そうなると5年、6年は切り替えることができず、
導入する際はしっかりと検討して導入することが重要です。
ランサムウェアへの対策を売りにしたソリューションは多数ありますが、
総合的なランサムウェア対策の知見をもっているベンダーはほとんどありません。
当社ではこれまで頂戴したランサムウェアのご相談から培われた、
実際に効果のあった対策方法を
新たにサポートいたします企業様にフィードバックしております。
それでもランサムウェアに感染してしまったら?
いくら対策をおこなっても100%守り切れるとはいえないのがランサムウェアです。
できれば万が一感染した場合の対策も考えておくといざという時に誤った対応を取らずにすみます。
重要なのは
【感染範囲の把握】と【被害拡大の防止】です。
まずは社内全体において、
暗号化されているファイルは無いか?
脅迫文などはでていないか?
ウイルスに感染している端末は無いか?
などを調査し
感染が確認された端末はネットワークから遮断しましょう。
重要データで暗号化されていないデータがある場合は、
バックアップ後ネットワークから切り離します。
暗号化されたデータ範囲の調査が終了すれば、
業務への影響を確認します。
暗号化されてしまったデータの中にどうしても必要なデータがある場合、
一度当社へご相談ください。
データを復元できる方法があるかどうかについてお調べいたします。
データの復元をご希望の場合、
暗号化されたデータの移動やOSの初期化、
拡張子やファイル名の変更などはおこなわないでください。
出来る限り感染時の状態を維持して頂きますようお願いいたします。
データ復旧クイックマンは大手データ復旧会社から独立したエンジニアが所属するデータ復旧業者です。
国内や世界各国の復旧業者と情報交換・技術導入をおこなっており、
少数精鋭のエンジニアがお客様の大切なデータの復旧をおこなっています。
技術力はもちろん、お客様に安心してご依頼いただけるよう日々心掛けています。
トラブルによってデータ復旧が必要となった際にはぜひ一度ご相談いただければ幸いです。
クイックマン(S&Eシステムズ株式会社) フリーダイヤル:0120-775-200