企業のランサムウェア対策のポイント

インターネットの発達とともに、サイバー攻撃の手法も巧妙化、多様化が進んでいます。さまざまなサイバー攻撃の中でも、近年特に企業が注意すべきものが「ランサムウェア」です。ランサムウェアに感染することで、被害額が高額となるケースも少なくありません。ランサムウェアがどのようなものかを知り、事前にしっかりとした対策を取ることが重要です。

この記事では、ランサムウェアの概要から主な手口と感染経路、対策方法や攻撃された際の対応策について解説します。

1. ランサムウェアとは
2. ランサムウェアの主な手口と感染経路
3. 効果的なランサムウェア対策の実施方法
4. ランサムウェア攻撃発生時の対応策

ランサムウェアとは

ランサムウェアとは、感染したコンピューター内のデータを暗号化して人質とし、復号のために身代金を要求するマルウェアの一種です。さらに、近年では暗号化するだけでなく、データを盗み取った上で「身代金を支払わなければ機密データを公開する（漏えいさせる）」と、二重恐喝する「ダブルエクストーション」という手口も確認されています。

情報処理推進機構（IPA）が公開する「情報セキュリティ10大脅威2023」においても、組織部門の1位に「ランサムウェアによる被害」が挙げられるほど、注意が必要なサイバー攻撃の一つです。ランサムウェアに感染すると、業務は停止してしまい、取引先や顧客などからの社会的信用も失墜する可能性があります。

また、日本ネットワークセキュリティ協会（JNSA）の調査によれば、ランサムウェアに感染した企業の平均被害額は約2,386万円と報告されています。特筆すべきは、いずれの企業も身代金は支払っていないという点です。暗号化されたデータの復旧やそのための人件費などで、これほどの被害額が発生しているということを覚えておきましょう。

ランサムウェアの主な手口と感染経路

ランサムウェアの主な手口や感染経路の例としては、メールの添付ファイルからの感染や、Webサイトに仕込まれたファイルからの感染が挙げられます。メール感染の場合、一昔前まではスパムメールのように不特定多数の人物に向けて攻撃メールが送付されていましたが、近年では特定の企業や人物を狙い撃ちにする「標的型攻撃メール」が主流です。取引先や顧客、上司などを騙り、本物のメールのように思わせて添付ファイルを実行させようとしてきます。

また、攻撃者が用意したWebサイトにアクセスしてしまった場合、そこからランサムウェアをダウンロードさせようとすることも考えられるでしょう。アクセスするWebサイトは、一見、普通のWebサイトのように見えるかもしれませんが、ランサムウェアをはじめとするマルウェアが紛れ込んでいるケースも珍しくありません。

効果的なランサムウェア対策の実施方法

ランサムウェアへの事前対策としては、次の3つの方法が有効です。

１）セキュリティソフトウェアの活用

セキュリティソフトウェアはウイルスだけでなく、ランサムウェアを含むさまざまなマルウェアを検出できます。誤ってランサムウェアをダウンロードしてしまっても、実行前にセキュリティソフトウェアによって感染を防ぐことが可能です。

２）定期的なバックアップの重要性

ランサムウェアはデータを暗号化して利用できないようにするため、日頃からバックアップを取得しておくことが重要です。バックアップを取得しておけば、仮にデータが暗号化されてしまったとしても感染前の状態に戻せます。

３）従業員教育と意識向上

どれだけシステム的に対策をしていても、最終的に添付ファイルをダウンロードしたり、実行したりするのは人（従業員）です。ランサムウェアへの対策をはじめ、社内のセキュリティルールなども事前に教育し、従業員一人ひとりのセキュリティ意識を向上させることは、ランサムウェア対策として有効です。

日立ソリューションズ・クリエイトでは、個人と組織の両面からインシデント対応能力向上を強力に支援する「サイバーセキュリティトレーニング」を提供しています。従業員のセキュリティトレーニングだけでなく、セキュリティ人材の育成までを当社のホワイトハットハッカーによる実践的なカリキュラムで実現します。

→サイバーセキュリティトレーニング

ランサムウェア攻撃発生時の対応策

もしも、ランサムウェアに感染してしまった際にはどのように対応すればよいのでしょうか。ここでは、攻撃発生時の初動対応について簡単に解説します。

初期対応・感染拡大の防止

ランサムウェア感染の疑いがある場合、はじめに行うべきは対象となるコンピューターをネットワークから切り離すことです。ネットワークに繋いだままでは、パソコンやサーバーなどの他のコンピューターに感染が広がる恐れがあります。有線LANで接続している場合は物理的に切断し、無線接続の場合はWi-Fiをオフにすることでネットワークから切り離しましょう。

データ復旧とシステムの回復

ランサムウェアによる被害状況を確認した後、データの復旧作業を行います。日頃からバックアップを取得しておけば、データの復旧作業は難しくないはずです。しかし、システムに関連するデータ復旧の際には、データの整合性に注意しなければなりません。また、バックアップまでランサムウェアの感染が広がっているとデータ復旧も難しくなります。そのため、バックアップデータの保管についても異なるネットワーク内に保存するなど、保管方法も検討しておきましょう。

法的対応と通報

より詳細な影響範囲や感染経路、感染原因の分析を行います。自社で契約している専門機関がある場合はそちらへ相談し、そうでない場合はJPCER/CC（コンピュータセキュリティの情報を収集し、インシデント対応の支援やコンピュータセキュリティ関連情報の発信などを行う一般社団法人）などに相談しましょう。また、被害を潜在化させないようにするために、警察へ通報することも重要です。JPCERT/CCインシデント対応相談は以下のリンクのWebフォームから、警察への通報は以下のリンクの都道府県別相談窓口から実施します。

→JPCERT/CCインシデント対応相談
→サイバー犯罪相談窓口一覧（警察庁）

ランサムウェアはメールの添付ファイルやWebサイトなどからの感染が主な手口ですが、年々巧妙化・多様化が進んでいるため、最新の情報を入手して事前に対応しなければなりません。

システム的な対策はもちろんのこと、従業員一人ひとりのセキュリティ意識の向上も重要です。ランサムウェアは企業の存続を脅かす可能性があるため、しっかりと対策しましょう。