更新日:2024年5月24日
ランサムウェア感染を防ぐ対策
ランサムウェアによる被害は、大手企業のものが目立っていますが、企業とその取引先のインターネットによるつながりの弱点を狙った「サプライチェーン攻撃」を考慮すると、企業の規模を問わずあらゆる対策が求められます。
被害に遭う前に、できる限りの対策を講じておきましょう。
ランサムウェアによる被害に遭わない、または、被害を最小限に抑える対策
サイバーセキュリティ対策の基本ルールの定着
ランサムウェアに限らず、必要なサイバーセキュリティ対策の基本は、様々なセキュリティ関連組織から発せられていますが、この基本が確実にできなければ、高性能なセキュリティシステムを導入しても被害に遭う確率が高まります。
業務としてインターネット等を利用している以上
- ウイルス対策ソフトやセキュリティソフトを導入する
- OSやアプリケーション、セキュリティソフト等のアップデートは必ず行う
- 被害に遭っているかもしれないと思ったときの相談先、報告先を周知しておく
など確実に対応できる基本ルールを準備しておきましょう。
メールを悪用した犯罪の手口とその対策に関する注意喚起と啓発
ランサムウェアを含むサイバー犯罪の手法は高度化・巧妙化しており、ユーザーの心理的な弱点を狙う手法も頻繁に用いられるようになっています。
従業者に対して
- 取引先からのメールであっても、違和感がある場合は、添付されているファイルは開封しない
- 興味を引く内容で、アクセスを誘導するURL付きメールを受信した場合、安易にそのURLをクリックしない
- WordやExcel等のofficeソフトで、簡易なプログラムを組める機能「Macro(マクロ)」が含まれているファイルが添付されたメールを受信した際、そのファイルを開いた時点で表示される「コンテンツの有効化」ボタンは、安易にクリックしない
など、普段から「人」のセキュリティに対する意識を高めましょう。
機密データなどのバックアップ
データのバックアップに関しては、ランサムウェア対策として、通常のサイバー犯罪対策よりもさらに注意する必要があります。
ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることもあるため、バックアップデータはネットワークから外した状態で保存しましょう。
また、「二重恐喝」による被害に遭い、機密データを犯罪者に盗まれ、お金を払わなければ盗んだデータを全世界に公開すると脅される場合も想定する必要があります。
盗まれたデータを犯罪者に使われにくくするために、バックアップデータに限らず、普段使用している機密データについても暗号化した状態で保存することも検討してください。
脆弱性の修正
企業で使用するシステムやソフトウェア、そしてWebサイトを使い始めた時点では、不備の無い状態で使えていても、後になってプログラムの不備などの脆弱性が発見されることがあります。
この脆弱性が発見されると、製品を開発した事業者から、脆弱性を補完するための修正プログラム「パッチ」が公開されます。
利用者としては、製品に関する脆弱性情報が発表された場合、その修正プログラム「パッチ」をインストールしなければ被害のリスクが高まります。
脆弱性に関する情報は、製品開発事業者の製品情報ページやJVN(JVN iPedia、MyJVN)のサイトで公開されますので、利用者は定期的に情報を確認し、脆弱性情報の発表とともに「パッチ」の公開を認知した場合は、できる限り早く「パッチ」を適用して、不備のない状態を保つようにしましょう。
パスワードポリシーの徹底
パスワードを複雑なものに設定しましょう
企業で使用する端末等に、数字の順列やアルファベットの順列によるパスワードを使用することは、犯罪者に推測されやすいパスワードとなるため、ネットワーク内に侵入されランサムウェアなどのマルウェアを仕込まれる確率が高まります。
特に、日常使われている「password」「Administrator」等は、犯罪者に推測されやすいので、使わないようにしましょう。
古いWi-FiルータやVPNなどの機器では、購入時に初期設定のままパスワードの変更を求めないものも数多くありますが、変更が可能であれば、新たなパスワードに設定し直しましょう。
また、機器の不具合や使いにくくなったなどの違和感があったときは、マルウェア感染を疑い、念のためパスワードの変更をしましょう。
パスワードの設定は、使用している機器やシステムによって仕様(パスワードに使える文字の種類や文字数)が異なりますが、システムで設定されている最大文字数で使用可能な文字を使い、利用者だけが覚えられる複雑な文字列をパスワードとして設定しましょう。
パスワードは、システム・機器ごとに違うものを設定しましょう
1つのパスワードを使い回していると、何らかの原因で、パスワードが犯罪者に知られてしまった場合、そのパスワードを使っている他の端末も不正アクセスされてしまいますので、パスワードは機器ごとに違うものを設定しましょう。
多要素認証を導入しましょう
パスワードだけに頼ることなく、利用可能であれば、システム等にログインする手段に生体認証やワンタイムパスワードなど、パスワード入力と別の要素を取り入れた多要素認証を採用し、犯罪者の侵入を防ぐ対策を取り入れましょう。
Windows10の機能には、サインイン時にパスワードの入力を数回連続で間違えた場合に、アカウントに制限をかける「ロックアウト」機能があります。
この「ロックアウト」機能を活用することによって、犯罪者がシステム内への不正侵入をするために、パスワードロックを解除できるまであらゆる文字列を入力する「ブルートフォース攻撃(総当たり攻撃)」を回避でき、不正アクセスの被害に遭う確率を下げられます。
企業で使用するメインのシステムや機器においては、犯罪者の不正侵入を困難にする「ロックアウト」機能を備えたシステムや機器の導入も検討しましょう。
その他のセキュリティ対策
サイバーセキュリティの基本的対策、設定や「人」に対するセキュリティ意識の醸成だけでは限界があります。
防ぎきれない部分を補うためのセキュリティ対策製品として
- 不審なメールを受信しないためのメールフィルタリング
- 外部からの通信を振り分けるファイアウォール、不審な通信が侵入してきたことを知らせ、また、その侵入を遮断する侵入検知システムや侵入防止システム
- 上記セキュリティシステムを統合したUTM(Unified Threat Management、統合脅威管理)
- 端末内に侵入したマルウェアなどが不審な行動をしているかどうかを検知するEDR(Endpoint Detection and Response、端末内における検出と警告)
- 端末やネットワーク内で、不審な挙動の履歴を確認できるログの取得
など、様々なものがあります。
セキュリティ製品の導入を検討するにあたり、自社業務に必要な対策を社内で検討・判断し、積極的な対策に取り組みましょう。
ランサムウェアに感染したら
被害者が犯罪者に金銭を支払った場合、さらなる被害を招く恐れがあります。
仮に、支払ったとしても、暗号化等によって使えなくなったデータが完全な状態に戻るとは限りません。
ランサムウェアに感染してしまった場合は
- 感染した端末の電源を切らない
感染した端末内に復号に必要な情報が残っていることがあるため、端末の電源は切らないようにしましょう。 - 感染した端末をネットワークから隔離する
ランサムウェアは、ネットワーク上に接続されている他の端末にも感染を広げることから、有線LANであればLANケーブルを抜き、無線LANであれば端末を機内モードに設定するか、Wi-Fiルータの電源を落として、ネットワークから隔離しましょう。 - セキュリティ担当者に報告する
ランサムウェアは、他の端末に感染を広げるため、組織全体で状況を把握することが必要です。
場合によっては、支店や提携会社などにも速やかに報告することが感染拡大を防止することになります。 - 都道府県警察のサイバー犯罪相談窓口に連絡・通報する
犯罪の情報分析の結果から得られた被害企業における対策に必要な情報の助言を得るため、また、事件捜査や国内の他組織に対する同種被害拡大の防止に向けた情報を提供するため、自社を管轄する警察のサイバー犯罪相談窓口に連絡・通報しましょう。 - その他
セキュリティ担当者が事態を把握する中で、ランサムウェアの種類が判別できたら、「No More Ransom」サイトで、暗号化されたデータが復号可能か否かを確認する - 業種によっては、所管省庁へ報告するほか、取引のあるセキュリティ企業やサイバーセキュリティ対策機関である独立行政法人情報処理推進機構(通称:IPA)やJPCERT/CCに連絡し、事後対応の指示を受け行動する
などを適宜実施し、早期復帰に向けた事後対応にあたりましょう。
警察庁 都道府県警察本部サイバー犯罪相談窓口一覧(外部サイト)
JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」(外部サイト)
独立行政法人情報処理推進機構(IPA)「ランサムウェア対策特設ページ」(外部サイト)
情報発信元
警視庁 サイバーセキュリティ対策本部 対策担当
電話:03-3581-4321(警視庁代表)