システムやデータを暗号化し身代金を要求する「ランサムウェア」は、今年も例年に比べ増加傾向にあり、引き続き高いレベルで警戒が必要な脅威です。ランサムウェアへの感染は、身代金の支払い、莫大な復旧コスト、事業継続不可といった事態を招く可能性があるため、経営者は重大な事業リスクの一つとして認識し、適切な対策を取る必要があります。
そこで本記事では、ランサムウェア攻撃が秘めるリスクや被害事例、企業ができる対策について詳しく解説していきます。
ランサムウェアとは?
一般的に、ランサムウェアに感染すると業務に必要不可欠なシステム、データベース、ファイル等が「暗号化」および窃取されて使用不能になり、犯人グループから「暗号化解除」と引き換えに金銭の支払いなどを要求されます。
暗号の性質上、暗号化を解除できるのは犯人だけであるため、ランサムウェア被害に遭った場合、企業が取れる選択肢は2つに絞られます。
- 暗号化解除を諦め、0からシステム等を再構築する
- 金銭を支払って、暗号化を解除してもらう
もちろん推奨されるべきは1. の選択肢ですが、2. を選択する企業も少なくありません。なぜなら、代替システム・データベース等を0から再構築するとなると膨大なコストが発生しますし、一定期間、業務の継続が不可能となるからです。また「盗んだ機密情報を公開するぞ」と脅された場合、企業にとっては「金銭を支払った方が損失が少ない」ケースも往々にして存在します。
ランサムウェア感染で企業が失うもの
ランサムウェアに感染した企業が確実に被る損害の一つが「経済的損失」です。犯人グループに金銭を支払う場合はそれが、支払わない場合はシステム等の再構築に係るコストが、そのまま企業にとっての損失となります。
また、個人情報や機密データを多く取り扱う企業の場合、情報漏洩の有無に関わらず、ランサムウェアに感染したという事実だけでも、社会的な信用の失墜を招きます。
日本国内においても、調査・復旧に数億円以上のコストを要したものや、システム等の復旧に2か月以上要した事例が報告されています。このように、ランサムウェアは企業にとって決して軽視することのできないリスクの1つといえるでしょう。
ランサムウェアの被害事例
警察庁の発表によれば、2021年中に報告された国内におけるランサムウェアの被害件数は146件にのぼり、そのうち34%が大企業、54%が中小企業、12%がその他団体等でした。業種別だと製造業が38%と最も多いものの、卸売り・小売り業、サービス業、建設業、医療など、被害は、企業規模・業種に関わらず広範に及んでいることが分かります。
国内を中心に、代表的な被害事例を見ていきましょう。
病院へのランサムウェア攻撃
2021年10月、徳島県 半田病院の院内システムがランサムウェアに感染したことが話題となりました。感染したランサムウェアは、バックアップを含めた全ての電子カルテ(約8万5000人分)と、同病院で使用されている会計システム等の暗号化に成功しています。
同病院は犯人グループに対する金銭の支払いを拒み、約2億円を投じて新たなシステムを構築しました。結果的に約2か月後には通常診療を再開できたものの、その間、同病院は一部新規患者の受け入れを停止していた他、一部の手術を中止したり、病院関係者は手作業でカルテを作り直すなど甚大な被害を受けました。
なお、半田病院以外にも、2021年中にランサムウェア被害に遭った国内病院が少なくとも5つ報告されています。
トヨタ自動車へのランサムウェア攻撃
2022年2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を3月1日に停止することを突如発表し、その原因が「トヨタの取引先企業がランサムウェアに感染したこと」だったために大きな話題となりました。
結果的に全国の工場の稼働が停止したのは3月1日だけで、翌2日からは稼働を再開したものの、少なくとも計1万3千台以上の自動車生産に影響がでたと推測されています。
このケースでは、金銭を支払うことなく、たった1日で業務を再開できていますが、これは、トヨタ自動車とその関連企業が平素から非常時を想定した対策・シュミレーションをしっかり行っていたことの証左でもあります。
トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは
巨大インフラ企業へのランサムウェア攻撃
世界に目を向ければ、昨年最も注目された事件の一つが「米コロニアル・パイプライン社」へのランサムウェア攻撃事件です。
※コロニアルパイプライン:アメリカ最大の石油パイプラインを提供する企業。
コロニアル・パイプライン社は、ランサムウェアの被害を受けたことで約1週間にわたり操業を停止しました。その結果、ガソリン不足を懸念した市民の「買いだめ」が発生し、各地でガソリンの売り切れ、価格の高騰が起きるなど、その影響は一般社会にまで波及しました。
最終的に同社は、犯人グループに対し440万ドル(4億8000万円相当)を暗号資産ビットコインで支払うことでシステムを復旧させています。
猛威をふるう「Emotet」とランサムウェア
現在日本において過去にないレベルで「Emotet」の感染報告があがっています。Emotetは数年前から活発化しているマルウェアで、感染後すぐにメールアカウントが乗っ取られ、登録されている連絡先にウィルスメールが大量に送信されるという特徴があります。その性質上、ウィルスメールをつい開封してダウンロードしてしまうユーザーが後を絶たず、問題となっています。
Emotet自体はランサムウェアではありませんが、Emotetを踏み台としてランサムウェアに感染する事例も複数報告されており、警戒が必要です。
また、Emotet以外にも、フィッシングメール、Webサイト、アプリインストール、VPN機器、ファイルダウンロードなど、想定しうるランサムウェアの感染経路は多数存在します。最近では、アンチウイルスソフトを当たり前のように通過するマルウェアも横行しているため、感染経路を把握し、平素から警戒を怠らないことがとても重要です。
ランサムウェア対策として企業にできること
あらゆるセキュリティの脅威に対し共通していることは「基本の対策をしっかり行うこと」です。特別な知識の無い人でも、基本に従うだけで、ほとんどの脅威を跳ねのけることができます。
例えば、ランサムウェアの対策としては「データベースの暗号化」が有効です。ランサムウェア攻撃は企業のデータを狙って行われるため、企業は「如何にデータを守るか?」を考える必要があります。もしも、あなたが社内のセキュリティを担っているのなら、機密データのみを暗号化でき、厳密な権限管理とアクセスコントロールを実現する暗号化ソリューションの導入を検討すべきです。
また、基本的なWebセキュリティ対策として「WAF」の導入を推奨します。Webの世界では次から次へ脆弱性が生まれ、常に対策をし続けたとしてもセキュリティが破られるリスクがゼロになることはありません。それならば、「攻撃を未然に防ぐ」だけでなく「被害を最小限に抑える」ための対策も重要です。その両方の役割を担うのがWAFであり、現代のWebサイト・アプリのセキュリティには欠かせないソリューションと言えます。
感染を想定した対策を
トヨタの事例がそうだったように、「感染を想定した対策」の有無が緊急時の対応の成否を左右します。もしランサムウェアに感染したら、、、という視点で考えた時、最低限行うべき対策を以下に記します。
- バックアップの取得
- バックアップとネットワークの常時離断※
- アクセス権限の分散
- 共有サーバの管理強化
- 代替システム/ネットワークの構築(の準備)
- CSIRTの設置
※平素からバックアップはネットワークと離断し、バックアップ取得時のみ接続する
まとめ
今回はランサムウェア攻撃の実態と対策方法について解説しました。「サイバー攻撃」と聞くと大企業が狙われるもの、と思いがちですが、警察庁の資料にある通りランサムウェアの被害を受けた企業の大半は「中小企業」ですので、決して他人事ではありません。
「何から始めればいいか分からない...」という場合、まずは中小企業向けのセキュリティガイドラインを参照したり、当ブログで紹介しているセキュリティトピックを確実に押さえるなどの情報収集から始めると良いでしょう。
【2022年版】企業セキュリティの4大脅威と、担当者が取るべき対策まとめ
また、社内にセキュリティの専門家がいない場合は、”専門家いらず”のセキュリティソリューションの導入を検討してみてください。ペンタセキュリティの製品ラインナップは、以下よりご確認いただけます。
