マルウェア｢ランサムウェア｣の脅威と対策（対策編）

ランサムウェアによる被害は、大手企業のものが目立っていますが、企業とその取引先のインターネットによるつながりの弱点を狙った｢サプライチェーン攻撃｣を考慮すると、企業の規模を問わずあらゆる対策が求められます。

被害に遭う前に、できる限りの対策を講じておきましょう。

ランサムウェアに限らず、必要なサイバーセキュリティ対策の基本は、様々なセキュリティ関連組織から発せられていますが、この基本が確実にできなければ、高性能なセキュリティシステムを導入しても被害に遭う確率が高まります。

業務としてインターネット等を利用している以上

• ウイルス対策ソフトやセキュリティソフトを導入する
• OSやアプリケーション、セキュリティソフト等のアップデートは必ず行う
• 被害に遭っているかもしれないと思ったときの相談先､報告先を周知しておく

など確実に対応できる基本ルールを準備しておきましょう。

ランサムウェアを含むサイバー犯罪の手法は高度化・巧妙化しており、ユーザーの心理的な弱点を狙う手法も頻繁に用いられるようになっています。

従業者に対して

• 取引先からのメールであっても、違和感がある場合は、添付されているファイルは開封しない
• 興味を引く内容で、アクセスを誘導するURL付きメールを受信した場合、安易にそのURLをクリックしない
• WordやExcel等のofficeソフトで、簡易なプログラムを組める機能｢Macro(マクロ)｣が含まれているファイルが添付されたメールを受信した際、そのファイルを開いた時点で表示される｢コンテンツの有効化｣ボタンは、安易にクリックしない

など、普段から｢人｣のセキュリティに対する意識を高めましょう。

データのバックアップに関しては、ランサムウェア対策として、通常のサイバー犯罪対策よりもさらに注意する必要があります。

ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることもあるため、バックアップデータはネットワークから外した状態で保存しましょう。

また、｢二重恐喝｣による被害に遭い、機密データを犯罪者に盗まれ、お金を払わなければ盗んだデータを全世界に公開すると脅される場合も想定する必要があります。
盗まれたデータを犯罪者に使われにくくするために、バックアップデータに限らず、普段使用している機密データについても暗号化した状態で保存することも検討してください。

企業で使用する端末等に、数字の順列やアルファベットの順列によるパスワードを使用することは、犯罪者に推測されやすいパスワードとなるため、ネットワーク内に侵入されランサムウェアなどのマルウェアを仕込まれる確率が高まります。

特に、日常使われている｢password｣｢Administrator｣等は、犯罪者に推測されやすいので、使わないようにしましょう。

古いWi-FiルータやVPNなどの機器では、購入時に初期設定のままパスワードの変更を求めないものも数多くありますが、変更が可能であれば、新たなパスワードに設定し直しましょう。

また、機器の不具合や使いにくくなったなどの違和感があったときは、マルウェア感染を疑い、念のためパスワードの変更をしましょう。

パスワードの設定は、使用している機器やシステムによって仕様（パスワードに使える文字の種類や文字数）が異なりますが、システムで設定されている最大文字数で使用可能な文字を使い、利用者だけが覚えられる複雑な文字列をパスワードとして設定しましょう。

1つのパスワードを使い回していると、何らかの原因で、パスワードが犯罪者に知られてしまった場合、そのパスワードを使っている他の端末も不正アクセスされてしまいますので、パスワードは機器ごとに違うものを設定しましょう。

パスワードだけに頼ることなく、利用可能であれば、システム等にログインする手段に生体認証やワンタイムパスワードなど、パスワード入力と別の要素を取り入れた多要素認証を採用し、犯罪者の侵入を防ぐ対策を取り入れましょう。

Windows10の機能には、サインイン時にパスワードの入力を数回連続で間違えた場合に、アカウントに制限をかける｢ロックアウト｣機能があります。

この｢ロックアウト｣機能を活用することによって、犯罪者がシステム内への不正侵入をするために、パスワードロックを解除できるまであらゆる文字列を入力する｢ブルートフォース攻撃（総当たり攻撃）｣を回避でき、不正アクセスの被害に遭う確率を下げられます。

企業で使用するメインのシステムや機器においては、犯罪者の不正侵入を困難にする｢ロックアウト｣機能を備えたシステムや機器の導入も検討しましょう。

サイバーセキュリティの基本的対策、設定や｢人｣に対するセキュリティ意識の醸成だけでは限界があります。

防ぎきれない部分を補うためのセキュリティ対策製品として

• 不審なメールを受信しないためのメールフィルタリング
• 外部からの通信を振り分けるファイアウォール､不審な通信が侵入してきたことを知らせ、また、その侵入を遮断する侵入検知システムや侵入防止システム
• 上記セキュリティシステムを統合したUTM(Unified Threat Management、統合脅威管理)
• 端末内に侵入したマルウェアなどが不審な行動をしているかどうかを検知するEDR(Endpoint Detection and Response、端末内における検出と警告)
• 端末やネットワーク内で、不審な挙動の履歴を確認できるログの取得

など、様々なものがあります。
セキュリティ製品の導入を検討するにあたり、自社業務に必要な対策を社内で検討・判断し、積極的な対策に取り組みましょう。

被害者が犯罪者に金銭を支払った場合、さらなる被害を招く恐れがあります。

仮に、支払ったとしても、暗号化等によって使えなくなったデータが完全な状態に戻るとは限りません。

ランサムウェアに感染してしまった場合は

• 感染した端末の電源を切らない
  感染した端末内に復号に必要な情報が残っていることがあるため､端末の電源は切らないようにしましょう。
• 感染した端末をネットワークから隔離する
  ランサムウェアは、ネットワーク上に接続されている他の端末にも感染を広げることから、有線LANであればLANケーブルを抜き、無線LANであれば端末を機内モードに設定するか、Wi-Fiルータの電源を落として、ネットワークから隔離しましょう。
• セキュリティ担当者に報告する
  ランサムウェアは、他の端末に感染を広げるため、組織全体で状況を把握することが必要です。
  場合によっては、支店や提携会社などにも速やかに報告することが感染拡大を防止することになります。
• 都道府県警察のサイバー犯罪相談窓口に連絡・通報する
  犯罪の情報分析の結果から得られた被害企業における対策に必要な情報の助言を得るため、また、事件捜査や国内の他組織に対する同種被害拡大の防止に向けた情報を提供するため、自社を管轄する警察のサイバー犯罪相談窓口に連絡・通報しましょう。
• その他
  セキュリティ担当者が事態を把握する中で、ランサムウェアの種類が判別できたら、｢No More Ransom｣サイトで、暗号化されたデータが復号可能か否かを確認する
• 業種によっては、所管省庁へ報告するほか、取引のあるセキュリティ企業やサイバーセキュリティ対策機関である独立行政法人情報処理推進機構（通称：IPA）やJPCERT/CCに連絡し、事後対応の指示を受け行動する

などを適宜実施し、早期復帰に向けた事後対応にあたりましょう。