ランサムウェアに感染したら?感染経路と企業の対応・対策をご紹介(vol.19)
働き方改革として在宅勤務やテレワークを導入・運用されている企業は多いと思われます。在宅やテレワークを利用することにより、社内で業務をするケースよりもサイバー攻撃の被害を受けるリスクも高まります。サイバー攻撃の中でもマルウェアの一つであるランサムウェアの被害がここ数年多くなっています。(IPAが発表している「情報セキュリティ10大脅威 2023」では昨年に続き今年も「ランサムウェアによる被害」が1位となっています。)もしランサムウェアに感染したら、そのとき企業はどのような対応や対策を取ればいいのでしょう?本記事では、ランサムウェアの概要やランサムウェアの感染経路および対策方法について解説していきます。
ランサムウェアとは?
ランサムウェアとは、感染したコンピュータがログインできなかったり、内部のファイルを暗号化したりして、復旧することと引き換えに「身代金」を要求するマルウェアのことです。なお、ランサムウェア(Ransomware)という言葉は身代金(Ransom)とソフトウェア(Software)を組み合わせた造語になります。
ランサムウェアに感染すると以下のような被害が起こります。
システム上の被害
感染するとコンピュータの操作が不能になったり、コンピュータ本体のファイルだけではなくクラウド上で管理されているファイルも暗号化されたりします。感染してしまうとランサムウェアを駆除しても暗号化されたファイルはもとに戻らない(暗号化されたままになる)ケースが多いです。
業務上や金銭的な被害
感染するとシステムがダウンし業務停止が発生します。そのため利益損失を引き起こし、さらに復元するために要求された身代金を支払うと金銭的被害も起こります。ただし、身代金を支払うことでコンピュータのファイルが復元できるか否かはランサムウェアの種類によります。
情報漏えいの被害
機密データや個人情報などの流出による社会的信用が失墜します。会社によっては倒産、医療機関であれば人命に関わる可能性もあります。手段についても近年はコンピュータの暗号化やロックだけではなく、企業が持つ情報を搾取して公開するという二重被害が増えてきています。
ランサムウェアの感染経路
ランサムウェアの感染経路には、メール、デバイスの脆弱性の悪用、Webサイトやアプリ、外部記憶媒体(USBメモリーなど)を介した感染などがあります。
メールの添付ファイル、リンクからの感染
送付されてくるメールの添付ファイルやリンクによる感染です。添付ファイルやリンクにランサムウェアを仕込んでおき、誘導してファイルを開かせたり、リンクをクリックさせたりして感染させます。受け取り側に起動させるための色々な細工をしたメールが送付されてきます。例えば、取引先の企業に成りすました偽装メールや件名に「歓迎会の案内」とか「宅配便の不在連絡」などのようなものになります。
VPN機器からの感染
社外から社内ネットワークに安全にアクセスするためのVPNは、VPNサーバーをインターネット上に公開する必要があります。攻撃者はそのVPNサーバーの脆弱性をついてリモートからネットワークに不正にアクセスします。侵入されるとアクセス権を奪取され、ランサムウェアをネットワーク内に送り込み感染させます。
Webサイトからの感染
Webサイトの閲覧で感染することがあります。たとえば、偽装サイトに誘導されて、ランサムウェアをダウンロードし感染するケースです。またWebブラウザーの脆弱性を悪用し、悪意あるサイトに誘導することで閲覧するだけでランサムウェアに感染するケースもあります。
ソフトウェア、ファイルのダウンロードからの感染
ソフトウェアやファイルをダウンロードするために接続したWebサイト経由で感染することがあります。通常正規のサイトでは感染することはありませんが、偽装したフィッシングサイト、聞き覚えがないソフトウェア配布サイトや海外の販売サイトです。正規のソフトウェアをダウンロードしているはずがランサムウェアをダウンロードさせられることがあります。
外部記録媒体(USBメモリなど)からの感染
USBメモリーや外付けのハードディスクなどの外部記録媒体を介してランサムウェアに感染するケースもあります。外部記録媒体の中にランサムウェアが仕込まれ、パソコンに接続してタイミングでファイルを起動させランサムウェアに感染することがあります。
ランサムウェア被害を防ぐための対策
ランサムウェアの被害を防ぐための対応について紹介します。
セキュリティソフトの導入
端末レベルのウイルス対策ソフト、セキュリティソフトの導入は最低限の必須対策となります。送受信されたメール、Webアクセス、コンピュータ内のファイルなどに潜む、ランサムウェアなどのマルウェアを検知・駆除できます。
OSやソフトウェア、ファームウェア等の最新化
ランサムウェアにはOSやソフトウェアの脆弱性を突いてくるタイプが多くあります。そのため修正パッチは、必ず迅速に適用する必要があります。またマルウェアに対しても有効な回避手段の一つとなります。
多要素認証の導入
パスワード以外に生体認証や物理トークンを用いた多要素認証を利用することで、認証が突破されにくくなります。認証を突破され不正アクセスで感染するケースがあるため、認証を強化することが重要になってきます。
定期的なバックアップ
ランサムウェアに感染しても、バックアップがされていれば復元は可能です。ただし、バックアップ先までランサムウェアの影響化が及ばないように、社内システムと隔離できるストレージサービスやクラウドサービスが有効となります。
信頼できないメール開封やWebサイトを開かない
メールの添付ファイルはランサムウェアでよく使われる手法です。必ず開封前に差出人やアドレスの確認が必要です。またWebサイトへ誘導して、マルウェアの感染源となるファイルをダウンロードさせようとするケースも多いです。業務と関係のないサイトの閲覧やサイトからのファイルダウンロードには十分に気を付けることが大切です。
「発症させない」セキュリティソフト、AppGuardという対策
検知型のセキュリティソフトでは、新しいマルウェアが発見されてから対応するまでのタイムラグがあります。よって、すべてのマルウェアを検知することが難しく、すり抜けることもあります。また同様にOSの脆弱性が発見され、修正パッチの作成、適用にも時間がかかりその間に感染する恐れもあります。
そこで従来の「検知」型セキュリティの設計とは発想がまったく異なるセキュリティソフトが必要になります。「AppGuard」は、端末、サーバー上で動作するあらゆるものを信用しないことからから防御を始めます。その上で必要となるものだけを安全かつ必要最低限の動作に制限した状態でのみ動作させます。
通常では起動が許可されるアプリケーションを信頼されることになりますが、AppGuardは起動した後も信用せずに制御・監視を継続します。つまり、「やって良いこと・悪いこと」を明確に規定した上で「やって良いこと」のみを許可していく考え方です。実行主体が何であったとしてもシステムを害する行為を一切認めなくするため、守るべき対象を侵害することが理論上不可能となります。
まとめ
「ランサムウェアに感染したら?感染経路と企業の対応・対策をご紹介」と題して、ご紹介してまいりました。このように日々進化するランサムウェアを防ぐためには、本記事で記載した対策を十分に実施したうえで、今後もランサムウェアの被害にあわないように、最新の情報を入手し継続的に対応が必要となります。
弊社ではゼロトラストの考えを取り入れたAppGuardの紹介資料「ランサムウェア対策ソリューション AppGuard基本ガイドバック」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。