●2015年末から増加し続けている「ランサムウェア」
前回の記事で紹介した「McAfee Labs脅威レポート: 2016年3月」でも取り上げた通り、「ランサムウェア」の被害が世界的に増加しています。
「ランサム(英語:ransom)」とは身代金という意味です。感染するとPC内に保存した写真や文書などのファイルを暗号化し、「元に戻してほしければ金銭を支払え」と、データと引き換えに金銭を要求してくるマルウェアのことを、ランサムウェアと呼んでいます。ランサムウェア自体は数年前から確認されていましたが、手軽に作成できる環境が整い、しかも容易に金銭を入手できることから、サイバー犯罪者にとって「お気に入り」の手段になりつつあるようです。
その波は日本にも及んでいます。インテル セキュリティのプロフェッショナルサービスで、シニアセキュリティコンサルタントとしてお客様からのさまざまな相談に応じている内田浩一は、「2015年末から日本国内でも増加の傾向が顕著になってきました。4月に入ってからは、1日に数件、多い日には数十件という頻度で検知報告が上がっています」と警鐘を鳴らします。
しかもその種類も多様化しています。日本国内で「vvvウイルス」と呼ばれた「TeslaCrypt」の他、「Locky」、さらにはファイルだけでなくHDDそのものを暗号化する「Petya」などさまざまな種類が生まれており「より巧妙に、より危険になっています」と内田は指摘します。
しかも「3月ごろまでは英語のメールで、海外のISPから直接送られることが多かったのですが、4月以降は不正中継を悪用し、日本国内のISP経由で、日本語で書かれたメールを送信してランサムウェアをばらまくケースが見られます。おそらく、スパム対策や海外からの不審メールをブロックする等の防御策をすり抜け、日本のユーザをターゲットにメールを開かせることを狙っているのだと思われます」(内田)。
●現場レベルだけでなく組織全体の意思決定も求められるランサムウェア対策
こうした状況に対し、インテル セキュリティをはじめ多くのセキュリティ企業が対策を呼び掛けています。
といっても、何も特別なことは必要ありません。これまでも「セキュリティ対策の基本」とされていた「OSやアプリケーションを最新バージョンに保つ」「セキュリティソフトを導入し、最新の状態にアップデートする」といった事柄を徹底することが大切です。また、ランサムウェアによる被害を防ぐには「重要なファイルは外部にバックアップを残しておく」ことも重要です。
業務、さらには人の生命に関わるような重要なデータが人質に取られた場合には、身代金を支払うことも選択肢の一つとして持っておくべきではないかという意見もあります。事実、感染してしまった端末を通して、ファイルサーバー内の業務に関わるデータが暗号化されてしまう被害も報告されています。
こうした際に、身代金を支払ってでも元の状態に戻すのか、それとも顧客やパートナー企業にお詫びする方を選ぶのか――その判断は、リスクを勘案しながら企業経営層が下すしかありません。迅速に、また適切に判断を下せるように、普段からIT部門と経営層が連携できる体制を整えておくことも重要でしょう。
ちなみに、仮に身代金を支払ってデータが復元されたとしても、「そのデータは、いったんは攻撃者の手のうちに入ってしまったものであり、改ざんが加えられていないかどうかは誰にも分かりません。そうしたファイルをそのまま使っていいのかどうかにも考慮を払うべきでしょう」と、内田は指摘しています。
●対策は基本の徹底、キーワードに振り回される必要はない
ここまでのお話を踏まえて、プロフェッショナルサービスの知見を踏まえたランサムウェア対策をあらためてまとめてみましょう。
まず個々のユーザーとしては、先ほどご紹介した基本的な対策を徹底すること、これに尽きます。
加えて企業・組織全体としては、さらにいくつか講じておくべき事柄があります。まず、組織としてどの情報やファイルが人質に取られてしまうと痛いのか、リスクアセスメントを行うことです。それができて初めて、重要度に応じ、バックアップをはじめとする保護策を効果的に実施できます。
また、万一の自体に備えてCSIRTやSOCといった組織を整備し、情報共有のプロセスを整えておくことも重要です。ランサムウェア感染の第一報が入ったら、社内に告知し、同様の被害が他にも生じていないか速やかに確認します。身代金を支払うのか否かといった難しい判断を経営層が下す際に、必要な情報を提供することもできるでしょう。さらに、不審なファイルのダウンロードや外部通信を監視する仕組みを整えておけば、速やかに異常に気付き、被害の少ない段階で対策に着手できます。
こうして説明してみると、「ランサムウェア対策」といっても特別なことが必要なわけではなく、根本的には、過去に話題となった標的型攻撃対策や不正送金マルウェア対策と同じところに行き着きくことがお分かりいただけるかと思います。こうした、現場から経営層まで組織全体にまたがる包括的な取り組みの必要性は、経済産業省が示した「サイバーセキュリティ経営ガイドライン」でも示されている通りです。
●ポスト・ランサムウェアに備えるためにもPDCAによる継続的な改善を
サイバーセキュリティに関しては、現時点で技術的に最善の策を講じていても、この先ずっと大丈夫とは限らないのも事実です。攻撃者は、ある対策が講じられるとまた別の手法を考え出し、何とかして利益をものにしようと考えます。
内田は、「脅威の変化のスピードは非常に早くなっています。バックアップという対策が当たり前になり、誰も身代金を支払わなくなれば、敵は次の手を考えてくるでしょう。バックアップ データ自体を削除しようと試みたり、あるいは情報を外部に持ち出して『公開するぞ』と脅してくる可能性も考えられます」と、ポスト・ランサムウェアの脅威を予想しています。
しかし、サイバーセキュリティ経営ガイドラインにもある通り、セキュリティ対策を企業経営に関わる問題と捉え、現場と経営層が協力し、PDCAを通じた継続的な改善プロセスを作り上げることで、キーワードに振り回されることののない対策を実現できるのではないでしょうか。
【関連情報】
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)