ransomware

ランサムウェア対策の重要性と具体的な対策方法とは?対処法も紹介

データやシステムを人質にとって身代金を要求するランサムウェアは、現代の企業にとって最も警戒すべきサイバー攻撃のひとつです。では、ランサムウェアへの感染を防ぐにはどのような対策を講じればいいのでしょうか。また、万一ランサムウェアに感染してしまったら、どのように対処すればいいのでしょうか。本記事では、ランサムウェア対策の予防対策や感染時の対処方法について解説します。

 

ランサムウェア対策の重要性

ランサムウェアとは、感染したパソコンやサーバーを使用不能にし、その復旧と引き換えに金銭を要求する不正プログラムです。ランサムウェアには主に以下の3種類があります。

  • 暗号化型:データを暗号化して使用不能にするタイプ
  • 画面ロック型:デバイスの画面をロックして使用不能にするタイプ
  • 漏えい型:盗んだデータを流出させると脅迫するタイプ

現代のビジネスにおいて、ITの活用は欠かせません。システムやデータにアクセスできなくなれば、業務が停滞し、多大な経済的損失や社会的信用の失墜を招く恐れがあります。したがって、ランサムウェアの予防・復旧対策を講じておくことは、企業にとって非常に重要です。

ランサムウェアの基本的な情報や被害事例については、以下のリンク先をご参照ください。

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

企業を狙ったランサムウェア攻撃から学ぶ、企業に必要なセキュリティ対策

 

ランサムウェア対策の具体的な方法

ランサムウェアへの感染を予防したり、万一の被害を軽減したりするためには以下の対策が有効です。

 

・安易にリンクのクリック・ファイルダウンロードを行わない

まずは信頼できないサイトを訪問したり、不用意にリンクのクリックやファイルダウンロードを行ったりしないことが重要です。信頼できないサイトとは一般に、セキュリティ証明がないサイトや、URLが「https~」で始まらないサイトなどが挙げられます。

こうしたサイトを訪問したり、リンクのクリックやファイルのダウンロードをしたりすると、そこからランサムウェアに感染してしまう恐れがあります。こうしたリスクを軽減するには、URLフィルタリングなどの活用が有効です。

 

・メールフィルタリングを活用し、不審なメールや添付ファイルを開かない

多くのメールサービスには、スパムメールやフィッシングメールを自動で検出し、受信トレイに届かないようにするフィルタリング機能が備わっています。こうした機能を使えば、危険なメールの多くを防ぐことが可能です。

とはいえ、危険なメールがフィルタリングをすり抜けてしまうリスクもゼロではありません。送信者に心当たりのない場合や文面に不自然な点がある場合などは、メールや添付ファイル、リンクなどを開かないようにしましょう。

詳しくはこちらをご覧ください。

なりすましメールとは? ランサムウェア被害を受けないための対策方法について解説

 

・ソフトウェアとOSをアップデートして最新の状態に保つ

ソフトウェアやOSの脆弱性を狙った攻撃を防ぐために、それらを常に最新の状態に保つことが重要です。セキュリティパッチやアップデートには、既知の脆弱性を修正するための重要な修正が含まれています。

定期的にソフトウェアやOSの更新を確認し、最新のバージョンを適用することで、ランサムウェアによる攻撃リスクを大幅に低減できます。アップデートを忘れずに実施するためには、自動更新機能を有効にしておくことがおすすめです。

 

・パスワードを複雑なものにし、多要素認証を導入する

システムの乗っ取りを防ぐため、複雑なパスワードを設定しましょう。基本的には、ランダム性が高く、大文字・小文字・数字などを組み合わせた長いパスワードほど破られにくくなります。逆に、「123456」などの単純なパスワードや、辞書に載っている単語は避けましょう。

また、多要素認証(MFA)の導入も有効です。多要素認証とは、パスワードに加えて生体認証やワンタイムパスワードなど、複数の情報を組み合わせた認証方法を指します。現在、主要なクラウドサービスは多要素認証に対応していることが多いので、確認して設定しましょう。あるいは、IAMやIDaaSなどの認証セキュリティツールを導入するのもひとつの手です。

 

・セキュリティ対策ソフトとファイアウォールを導入する

ランサムウェアを検知・駆除するためには、セキュリティ対策ソフトの導入が欠かせません。これらのソフトは、既知のマルウェアを検出し、感染を防ぐ防御機能を備えています。防御力を高めるには、NGAV(次世代アンチウイルス)やEDR(エンドポイント検出・応答)など、最新のセキュリティ対策も併用するのがおすすめです。

ファイアウォールもまた、重要なセキュリティ対策です。ファイアウォールは、ネットワークトラフィックを監視し、許可されていないアクセスをブロックします。社内ネットワークをファイアウォールの内側に置くことで、不正アクセスから守ることが可能です。

 

・ネットワークを監視し、不正アクセスはすぐに遮断する

ネットワークを自動監視するツールの導入もおすすめです。これによって、リアルタイムに不審なトラフィックを検出し、不正アクセスを即座に遮断できるようになります。

こうしたツールの一例として、WAFが挙げられます。WAFはWebアプリケーションの脆弱性を狙う攻撃からの保護に特化したツールで、Webリソースへの攻撃を自動検知し、ブロックすることが可能です。

 

・バックアップを取る

万一、ランサムウェアに感染した場合に備えて、データを定期的にバックアップしておくことも重要です。バックアップする際のポイントとしては、物理的な外付けドライブやクラウドストレージなど、自社のシステムやネットワークから切り離されたところにバックアップすることです。

ネットワークがつながっている場所にバックアップすると、バックアップデータにまでランサムウェアが感染する恐れがあるので注意しましょう。

 

ランサムウェア感染時の対処法と復旧手順

万一ランサムウェアに感染した場合は、慌てて身代金を払うのは避け、以下のように落ち着いて対処することが重要です。

・ネットワークからの感染端末の隔離
まずは他の端末に感染を広げないように、感染端末を確認し、ネットワークから切り離します。

・セキュリティソフトでスキャン
セキュリティソフトで、端末をスキャンして脅威を特定し、問題のあるファイルの削除または隔離を行います。

・暗号化したデータを復号
暗号型のランサムウェアの場合、データを復旧するためにランサムウェア用の復号ツールを使います。

・バックアップからの復旧
ランサムウェアに感染していないバックアップがあれば、それを基に感染以前の状態にデータの復元を行えます。定期的にバックアップを取っておくことで、被害を抑えることが可能です。

攻撃を仕掛けてきた側の脅迫に応じても、データを元通りにできる保証はありません。また、相手が渡してきた復号ツールに別の罠が仕掛けられている恐れもあります。被害に遭った場合、警察に通報しましょう。

 

まとめ

ランサムウェアの被害を防ぐには、「不審なリンクは開かない」といった日頃の注意から、「定期的なバックアップを取る」、「セキュリティツールを導入する」といった技術的なアプローチまで、多様な対策が求められます。また、ランサムウェアの攻撃を防ぐには、不審なトラフィックを自動で遮断する仕組みの構築が有効ですが、これにはWAFの導入が有効です。特に「Cloudbric WAF+」は、ランサムウェアを含めた多種多様なサイバー攻撃から企業のWeb資産を強力に保護できます。ランサムウェア対策の一環として、ぜひ導入をご検討ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

2022年上半期のサイバー攻撃動向

2022年上半期のサイバー攻撃の動向~企業に求められるセキュリティ対策を解説~

2022年上半期のサイバー攻撃の動向

2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。

 

2022年上半期のサイバー攻撃について

2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。

 

2022年上半期の代表的なサイバー攻撃「ランサムウェア」の概要と被害実態について

前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。

 

2022年上半期:企業や自治体を襲ったサイバー攻撃

〇自治体を襲ったサイバー攻撃:

広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。

 

〇自動車関連企業を狙ったサプライチェーンに対するサイバー攻撃:

3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。

 

〇大手菓子メーカー、サイバー攻撃で164万人以上の個人情報流出の疑い:

3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。

 

〇衣料品チェーン大手を襲ったサイバー攻撃:

全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。

このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。

 

企業でのサイバー攻撃対策の在り方

企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。

 

頻発しているサイバー攻撃、企業はどうすればいい?

サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。

 

病院へのサイバー攻撃、危険性、対策

病院へのサイバー攻撃、その危険性と対策について

病院へのサイバー攻撃、ランサムウェアによる被害

近年、大企業や公的機関を標的としたサイバー攻撃の被害が多数報告されています。多くの人々に影響を与える危険性が高い攻撃ですが、中でも、人命に直接関わる機関である病院を標的としたサイバー攻撃への対策が重要視されています。IT化の進んだ現在、病院でも数多くのIT機器やシステムが利用されており、それらに障害が発生すると業務に甚大な影響が想定されます。人命に関わる事故が起こる可能性も否定できません。そうした事情を受け、この記事では病院へのサイバー攻撃の事例や原因、対策について解説していきます。

 

病院を狙ったサイバー攻撃の実例

病院を狙ったサイバー攻撃には、どのようなものがあったのでしょうか。代表的な事例として、2021年11月頃に発生した事件があります。徳島県つるぎ町立半田病院がサイバー攻撃の被害に遭った事件です。患者の住所や診察履歴等が記録されていた電子カルテが使用できなくなり、業務に大きな支障が生じました。電子カルテが使えなくなったことで、診察にかかる手間が大幅に増えただけでなく、過去の通院歴や処方箋等も分からないため、患者への聞き取りや薬局等から得られる情報から診察を行っていたようです。半田病院によると、2021年10月31日未明、電子カルテに不具合が発生し、英語で「あなたのデータは盗まれ、暗号化された。」といったメッセージが印刷された書類が大量に印刷された、とのことです。それに伴い、電子カルテの一切が閲覧不可能になってしまったようです。システムの復旧に関しては、2022年1月4日より、電子カルテを管理するサーバーの復旧に伴い、通常の診療が再開されたと発表があります。実に2ヶ月もの間、診察業務に支障をきたしていたことにあります。この一連の被害は「ランサムウェア」の感染によるものとされています。

 

ランサムウェアとは?病院のシステムへの被害とは

まず、「ランサムウェア」について解説していきます。大企業などで被害が多数報告されており、特に企業のセキュリティ担当者の方は、きちんと概要を理解して対策を講じる必要があります。

ランサムウェアとは

「ランサムウェア」とは、簡単に言えば「データやシステムを使用不可能な状態にし、その復元と引き換えに身代金を要求する」マルウェア、およびそれを利用したサイバー攻撃です。「Ransom(身代金)」と「Software(ソフトウェア)」とを組み合わせた言葉です。例えば、ある企業が顧客の情報を一括して管理するシステムを利用していたとします。顧客情報の中には、各自の個人情報や取引履歴等、業務に必要な情報が多数含まれています。その重要なシステムが「ランサムウェア」に感染してしまうと、顧客情報が暗号化されてしまい、企業はそのシステムを使うことができません。そこで、攻撃者はランサムウェアにより、「このデータを元に戻してほしければ、身代金を支払え」と要求し、企業がそれに応じてしまった場合、攻撃者は不当に金銭を得ることとなります。

主な感染の経路としては、スパムメールや改ざんされたWebサイトなどから、不正なサイトへの誘導されてしまうことが指摘されています。想定される被害としては、システムの情報の暗号化や、PCそのものをロックしてしまう、といったものが挙げられます。また、暗号化と同時にデータを盗み出し、「身代金の支払いに応じなければ、データを公開する」といった二重の仕方で脅迫する例もあります。個人情報等、外部への公開が望ましくない情報を扱っている場合、特に注意が必要となります。

 

病院がランサムウェアに感染するとどうなる?

それでは、病院のシステムがランサムウェアに感染した場合、どのような被害が想定されるのでしょうか。現代の病院では、数多くのIT機器やシステムを利用しています。それら全てが医療に関わるものであるため、ランサムウェアへの感染によりシステムやデータが利用不可能な状態になってしまうと、人命に危険が及ぶことも十分に想定されます。実際に、ドイツのデュッセルドルフ大学病院がランサムウェアの被害に遭ったことで救急患者の受け入れができず、治療が遅れた結果、命を落としたという事例が報道されています。

病院のシステムが利用不可能になることで、人命に危険がおよぶ可能性がある、ということ。これが、病院がランサムウェアに感染した場合に想定される大きな被害です。

 

なぜ病院が被害にあうのか

それでは、なぜ病院がランサムウェアの被害に遭うのでしょうか。主な理由としては、業務や扱う情報の重要性の高さと、セキュリティ対策の不十分さという二点が挙げられます。病院がランサムウェアの攻撃対象として狙われやすい理由の一つとして、想定される被害が人命に関わり、社会全体に甚大な影響を及ぼす可能性がある、ということが指摘されています。診察記録等の重要な情報を扱っているため被害が深刻化しやすく、感染した際に身代金の支払いに応じやすいのではないか、という理由から攻撃者に狙われている可能性があります。昨今の新型コロナウイルスの感染拡大を受け、治療法やワクチンなど、データそのものの価値も高まっているとの見方もあります。

また、病院が被害に遭いやすい理由として、病院のセキュリティ対策が不十分になりがちである、という事情もあります。IT企業をはじめとする大企業のセキュリティ対策に比べると、病院は経営状態のひっ迫等の事情により、十分な予算をセキュリティ対策に割り当てることができていません。セキュリティをはじめとするIT関係の技術者・スタッフの確保も不十分な場合が多く、重大なセキュリティホールに気づかずに業務を遂行している可能性があります。このような事情により、病院がサイバー攻撃の標的となりやすいのではないか、と指摘されています。

 

取るべき対策

一般的なランサムウェア対策として、三つの対策が想定されます。一つはセキュリティ対策です。そもそもランサムウェアに感染しないように、感染経路であるスパムメールや不審なWebサイト等へのアクセスを避けるよう注意喚起を行い、インシデントが起こった際の対応手順などのセキュリティ教育をきちんと実施することで、被害の最小化が期待できます。もう一つがデータのバックアップです。十分な対策を講じても、感染の可能性が完全にゼロになるとは言い切れません。データのバックアップをとっておけば、万一ランサムウェアに感染し、データが暗号化されてしまった場合でも、対応が可能となります。最後の一つが、セキュリティ対策ソフト、プラットフォーム等の導入です。マルウェアの検知と駆除や、未知のウイルスに対する振る舞い検知など、セキュリティ対策製品の導入は必須の対策となります。病院の場合は「セキュリティ対策が不足しがち」ということもあり、IT関係のスタッフの補充など、根本的な対策が必要となります。基本的な対策としてWAFの導入をお勧めします。攻撃を防ぐだけでなく被害を最小限にするための対策も必要でしょう。その役割を担うのがWAFであり、Webサイトセキュリティに欠かせない対策です。

病院のランサムウェア被害の急増を受け、厚生労働省は医療機関の情報セキュリティに関する改定指針に、ランサムウェア対策を明記し、バックアップデータの扱い等についての内容を盛り込みました。また、一定以上の規模の病院では、情報セキュリティの責任者を設置する必要性も指摘されています。国のガイドラインやセキュリティベンダーの指示にしたがい、十分な対策を施す必要があります。

 

まとめ

病院がランサムウェアをはじめとするサイバー攻撃の被害に遭った場合、人命に関わる甚大な社会的影響が懸念されます。病院関係者だけでなく、社会全体で情報を共有し、対策に努めていく必要があるでしょう。近年、大企業等で多くの被害が報告されているランサムウェア。セキュリティ教育やセキュリティ製品の導入、バックアップといった十分な対策を講じましょう。

Toyota ransom picture

企業を狙ったランサムウェア攻撃から学ぶ、企業に必要なセキュリティ対策

Toyota ransom picture2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を、3月1日に停止することを発表しました。同時にその原因が「トヨタ自動車の取引先企業がランサムウェアに感染したため」だということも明らかになり、大きな話題となりました。その他に、3月14日にはトヨタ自動車系の部品メーカー、デンソーのドイツの現地法人がサイバー攻撃を受けたこともありました。この事件もランサムウェアによるサイバー攻撃でした。取引先企業がランサムウェアの感染により、業務に必要なシステムが使用不可になったため、工場を停止することになりました。工場停止は3月1日だけで、翌3月2日からは全ての工場の稼働が再開しましたが、たった1日の稼働停止でも計1万3千台以上の車両生産に遅れがでるなど、決して小さくない余波が広がっています。

ここではトヨタ自動車関連企業へのサイバー攻撃事件の説明および本事件から学びとれる「企業セキュリティに必要なランサムウェア対策」について解説していきます。

 

トヨタ自動車を狙ったサイバー攻撃の経緯

サイバー攻撃を受けたのはトヨタ自動車の主要取引先(一次取引先)である「小島プレス工業」という企業です。同社は愛知県豊田市を拠点とし、主に車の内外装の樹脂部品を製造しています。2月26日夜、小島プレス工業は社内サーバーの障害を検知したため、安全確認のためにネットワークを遮断しました。しばらくして再起動するとコンピュータ画面に英文で「このリンクにアクセスしないと機密情報を公開する」といった趣旨の脅迫文が表示されたといいます。同社はすぐに専門家に相談し、被害の拡大を防ぐためにすべてのネットワークを遮断。これにより、業務継続に必要不可欠な「部品の受発注システム」が使用不能となってしまいました。

本件は「ウィルスに感染させ、脅し、金銭を要求する」という手口から見て、ランサムウェアによるサイバー攻撃と判断して間違いないと思います。

なぜ全ての工場の稼働を停止したのか?

一言で言えば、小島プレス工業がトヨタ自動車の一次取引先だからです。一次取引先である同社は、自動車製造に欠かせない多種多様な製品を”直接”トヨタ自動車に納品する役割を担っています。しかし、感染したランサムウェアに対処するためにネットワークを遮断したことで、トヨタ自動車やその他の二次取引先とも部品取引が困難となりました。これにより完成車メーカーであるトヨタ自動車は、自動車の製造に必要な多くの部品を調達できなくなり、やむなく全ての工場の稼働停止を決断しました。

サイバー攻撃による被害の影響

工場の稼働停止はたった1日で済みましたが、それでも計1万3千台以上の生産に影響が出たと推測されています。また、障害が起こったシステムの完全復旧には1~2週間ほどかかる見込みで、それまでは暫定的に構築したシステム/ネットワークを利用して業務を継続するということです。前述の「脅迫文」について、小島プレス工業は「脅迫文」に従わずに即時ネットワークを遮断したため、リンク先のページ内容や要求金額なども把握しておらず、身代金も支払っていないことが関係者への取材で明らかになっています。なお、脅迫文には「このリンクにアクセスしないと機密情報を公開する」と書かれていたそうですが、今現在、データ流出等の被害は確認出来ていません。

 

デンソーのドイツ現地法人を狙ったサイバー攻撃

デンソーはトヨタ系部品会社で最大手企業です。北アメリカをはじめ、南アメリカ、欧州、アジア地域やアフリカにも海外拠点があります。今回、サイバー攻撃を受けたのはドイツにある現地法人でした。デンソーによりますと、3月10日、現地の従業員が社内のシステムへの不正アクセスを確認し、身代金を要求するサイバー攻撃「ランサムウェア」であることが明らかになりました。デンソーを攻撃した集団は「Pandora」と名乗るサイバー犯罪グループであり、デンソーを攻撃して盗み取った発注書や図面などおよそ15万7000件の機密情報を公開するとの犯行声明を出しました。

サイバー攻撃を受けたデンソーのドイツ現地法人は自動車部品の販売や開発の拠点であるため、今現在、ランサムウェア感染による自動車部品生産や調達への影響はないと確認されています。

 

ランサムウェアとは?危険性と被害事例

ランサムウェアの最大の特徴は、一度感染すると、業務に不可欠なシステムや機密データが暗号化(ロック)および窃取されて使用不能となることと、それを復号化(ロック解除)する対価として金銭の支払い等の条件を提示されることです。暗号化の性質上、一度ロックされたシステム・データはそれを仕掛けた攻撃者にしか解除出来ないため、被害者が取れる選択肢は「条件を呑み金銭を支払う」か「金銭を支払わず代案を練る」の2択しかなく、早急な解決を望む多くの企業は金銭を支払ってしまいます。

多くの場合、金銭を支払う事でロックは解除されるのですが必ずしもその保証はなく、盗まれた機密データがどのように扱われるかを把握することすらできない場合が多いです。また、金銭を支払ったにもかかわらず、さらなる条件を提示されるリスクもあります。

 

ランサムウェア被害に遭わないために必要な対策

ランサムウェアの被害に遭わないために、もっとも重要なのは「感染させないこと」です。基本的なセキュリティ対策から、漏れなく進めていきましょう。例えば、システムをこまめにアップデートし最新の状態を保つこと、想定しうる感染経路(※)を確認し社内の周知/対策を徹底するなど、社内全体のセキュリティ意識を高めることが感染予防につながります。また、セキュリティ意識を高めるだけではなく、機密情報の暗号化や重要なデータにアクセスできる人を制限するなど、サイバー攻撃に対する徹底した準備をしておけば、情報流出を阻止することができます。

※ランサムウェアの感染経路・・・メールの添付ファイル、怪しいウェブサイト、ネットワークの脆弱性、不正ログインなど。

 

感染を想定した準備も必須

最悪の事態を想定することは、セキュリティ対策をする上でとても重要です。感染を防ぐ対策だけでなく、「もしも感染したら」という視点で「被害を最小限に抑える対策」も積極的に進めていきましょう。例えば、企業にとって最悪な事態の1つは「重要情報やシステムにアクセスできず、事業継続が困難になること」です。よって、企業は最低限、下記項目の対策準備を進めるべきです。

・バックアップの取得

・バックアップとネットワークの常時離断

・アクセス権限分散

・共有サーバの分離

・代替システム/ネットワークの構築(の準備)

最悪を想定した準備が企業にどれだけの恩恵をもたらすかは、今回の小島プレス工業の被害実態を見れば明らかです。

 

まとめ

2022年になってから国内でランサムウェアを利用したサイバー攻撃が増加しています。ランサムウェアに一度感染すると業務に不可欠なシステムや機密データが暗号化(ロック)および窃取されて使用不能になります。それを復号化(ロック解除)するのは、それを仕掛けた攻撃者にしか解除出来ないです。自社で復旧するとしたら、膨大な資金や時間が必要です。最悪の場合、復旧できないかもしれません。したがって、感染経路を把握した上で適切なセキュリティ対策を立てておく必要があります。そして、前述のように「もしも感染したら」という観点で被害を最小限に抑える対策も必要でしょう。弊社が提案する対策を参考に安全なセキュリティ対策を講じて頂ければ幸いです。

ランサムウェアの状況とその対策サムネイル220114

2021年日本におけるランサムウェアの状況とその対策について

日本におけるランサムウェア状況とその対策

2020年1月から全世界を脅かしたコロナウイルスは我々の生活パターンを大きく変えてしまいました。コロナウイルスの影響で始まった新しい生活様式は「ニューノーマル」と呼ばれています。その生活様式はソーシャルディスタンスを保つことを中心にしています。この変化は日常生活だけではなく、働き方に関しても大きな影響を及ぼしています。会社に出勤する形ではなく、自宅やネットワークが繋がっている場所で仕事をする、いわゆるテレワークの時代が始まりました。

 

コロナウイルスがもたらした新しい働き方

テレワークはソーシャルディスタンスを保ちながら、企業運営ができる働き方なので、多くの企業が導入していますが、それにはある問題が伴います。それは企業の情報保護が難しくなることです。ネット上で多くの仕事が行われ、重要な情報が保存されるため、ハッカーに狙われやすいです。このような攻撃から情報を守るために、企業はセキュリティ対策に力を入れていますが、巧妙化している攻撃を完全に防ぐことは難しいです。数多くある攻撃の中で、最近急増しているのがランサムウェアによる攻撃です。

 

ランサムウェアとは

ランサムウェアはマルウェアの一種で、利用者のシステムへのアクセスを制御し、データを暗号化する不正プログラムです。暗号化されたデータを解除するためには身代金(Ransom、ランサム)を支払うように要求されるのが一般的です。従来のランサムウェアは不特定多数の利用者を狙っていましたが、最近には特定の個人や企業を標的にしていることも多くあります。ここでは、急増しているランサムウェアによる被害を調べ、その対策について解説いたします。

 

日本におけるランサムウェアの発生状況

警察庁が発表した資料によると、2021年(上半期)にランサムウェアによる被害報告が61件に達しました。この件数は2020年下半期と比べたら、約3倍が増加した数値です。

引用:「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」より作成

また、最近の事例ではデータの暗号化するだけではなく「データを窃取したあとに企業に対し、身代金を支払わなければ、窃取したデータを公開する」などのようなお金を要求する二重恐喝(ダブルエクストーション)による被害も見られます。ランサムウェアによる被害の中で、金銭の要求手口が確認された被害が35件であり、このうち二重恐喝は27件でした。この状況を見ると、これからのランサムウェアは従来の攻撃手口であった利用者のアクセスを制御する形だけではなく、直接金銭を要求するランサムウェア攻撃も多発する可能性が高くなると思われます。

 

ランサムウェアの感染経路

個人や企業を問わずに被害を与えているランサムウェアはどのような経路で感染されているのか調べてみましょう。警察庁の発表によると、多くの割合を占めていた経路はVPN機器からの侵入でした。次いで、リモートデスクトップからの侵入もあり、テレワーク時に使われるサービスを利用して侵入したのが約80%を占めていることがわかりました。では、日本で実際に発生したランサムウェアによる被害の実例を確認してみましょう。

 

日本で発生したランサムウェア「Cring」による被害

「Cring」は2020年12月頃全世界で活動した新しいランサムウェアであり、データの暗号化と窃取したデータを暴露するタイプである二重恐喝(ダブルエクストーション)型です。攻撃者はVPNの脆弱性を利用してITシステムへ不正侵入し、アクセスを制御し、ランサムウェアを感染させて、重要なデータを利用不可にします。このランサムウェアは2021年上半期から日本で多く発生しました。被害事例としては、管理するファイルサーバと業務サーバがシステム停止状態になるなど、企業運営に直接的に影響を及ぼす程度の被害もありました。

このように攻撃者はコロナで急変している働き方の脆弱なところを狙って攻撃を仕掛けてきます。この状況の中で、個人や企業は安全なテレワークの環境の構築とデータを守るためにはどのようなセキュリティ対策が必要なのでしょうか。

 

ランサムウェアを防御するセキュリティ対策とは

まず、簡単にできることは電子メールの警戒があります。未だにもランサムウェアは不特定多数に関心を引くような内容でメールを送って添付ファイルを開かせ、感染させる手口が多いです。対応としては送信先を確認してから添付ファイルを開くことやリンク先にアクセスしないように注意する必要があります。

次に、定期的にデータをバックアップしておき、感染に備えることも必要でしょう。しかし、バックアップデータも暗号化された事例もありますので、バックアップデータはネットワークから切り離して保管した方が望ましいです。

最後に、ネットワークの脆弱性を狙って攻撃し、感染させる手口もありますので、それに対する対策も必要です。多くの企業さんが安全なテレワーク環境を作るために、ZTNAを導入しています。ZTNA(ゼロトラストネットワークアクセス)はアクセスできる範囲や権限をきめ細かく設定したり、多要素認証を追加することでユーザの検証を行い安全性を確保します。

 

Cloudbric RASのご紹介

「Cloudbric RAS」についてご説明します。Cloudbric RAS(クラウドブリック・ラス)は、Cloudbric Security Platformにて選択できるZTNA(Zero Trust Network Access)ソリューションです。ユーザ観点の認証セキュリティを付加し「End To Endのゼロトラストセキュリティ環境」を提案します。安全なテレワーク環境を構築するための企業の課題を解決するSaaS型テレワーク・サービスであり、Direct ConnectやVPNを構築せずセキュアに企業システムへアクセスをサポートし、管理性・利便性とセキュリティが両立できるサービスを提供しています。

Cloudbric RASサービスの料金やサービス内容について詳細を知りたい方は、こちらをご覧ください。

 

まとめ

2021年日本におけるランサムウェア被害とその対策について説明しました。今後はより巧妙化したランサムウェアが特定の企業を標的にして攻撃することもあるでしょう。そのような攻撃からデータを安全に守るためには、適切なセキュリティ対策が必要になります。弊社が提案する対策を参考に安全なテレワーク環境を構築して頂ければ幸いです。

 

参考サイト
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf
https://www.ipa.go.jp/files/000093083.pdf
https://www.npa.go.jp/cyber/ransom/index.html

ランサムDDoS

ランサムDDoS攻撃の脅威とは?最適な対応策について解説!

インターネットを活用したビジネスには、常にサイバー犯罪者から攻撃を受けるリスクが伴います。そして近年、サイバー犯罪者の手口として増加傾向がみられるランサム(身代金)型の犯罪。「ランサムDDoS攻撃」もそのようなランサム型の1つで、DDoS攻撃による脅迫は世界中で拡大しています。そのため、サイバー犯罪者からの攻撃の備えとして、ランサムDDoS攻撃の手口や対策方法は知っておかなければなりません。

本記事では、ランサムDDoS攻撃の脅威に関する内容や対策方法について解説しています。

 

ランサムDDoS攻撃の脅威とは?2つのポイントで知る!

そもそもDDoS攻撃やランサムDDoS攻撃(ランサム型のDDoS攻撃)とは、どういったサイバー攻撃なのでしょうか。ここでは、攻撃の特徴や手口について解説したいと思います。

DDoS攻撃の特徴

DDoS攻撃の「DDoS:Distributed Denial of Service」は、和訳すると「分散型サービス妨害」という意味です。そして、サイバー犯罪者による攻撃の1つに、Webサイトやサーバーに対し過剰にデータ送信したりアクセスしたりする手法が存在します。

なかでも、特定のネットワークやWebサービスを意図的に利用できないようにする手法のサイバー攻撃のことを「DoS攻撃(Denial of Service attack/サービス拒否攻撃)」と呼びます。そんなDoS攻撃の特徴は、サイバー犯罪者が1台のコンピューターから行ってくる攻撃。しかし、複数台のコンピューターを使用して同時にWebサイトやサーバーにDoS攻撃をしてくる手法も存在し、これをDDoS攻撃と呼びます。

DDoS攻撃の脅威

DDoS攻撃では、複数台のコンピューターから一斉にアクセスやデータ送信をしてくるため、送られてくるデータの情報量は膨大。そのため、Webサイトやサーバーに多大な負荷をかけられてしまい、ネットワーク遅延の発生やWebサイトにアクセスができないといったトラブルが発生してしまいます。

また、サイバー犯罪者が他人のコンピューターを乗っ取って攻撃に利用した手法もDDoS攻撃に由来。ちなみに、このサイバー犯罪者に乗っ取られて攻撃に悪用されたコンビューターのことを「踏み台」と呼びます。

しかし、実際には無関係の「踏み台」が攻撃に使われることから、DDoS攻撃はDoS攻撃と比べて、サイバー犯罪者の割り出しが難しいといわれています。

ランサムDDoS攻撃の手口

ランサムDDoS攻撃の「ランサム(Ransom)」は、和訳すると「身代金」で、つまり、ランサムDDoS攻撃とは、攻撃対象者のコンピューターやWebサイト・サーバーを人質に取り、サイバー犯罪者が身代金を要求する攻撃のことです。ランサム型攻撃でサイバー攻撃者が要求してくる身代金は、リアルマネー(現金)ではなく、仮想通貨での取引が多いことも特徴の1つです。

ランサム型攻撃といえばネットワークなどを通じて感染を広げるマルウェア(悪意を持ったソフトウェア)である「ランサムウェア」をご存じの方もいることでしょう。以前は、コンピューターに感染させ、保存されているファイルの暗号化や機密情報の公開などで脅し、身代金を要求する「ランサムウェア攻撃」が一般的な手口でした。しかし近年は、DDoS攻撃やDoS攻撃によるランサム型攻撃が増加しています。

その手口としては、サイバー犯罪者がDDoS攻撃で特定のネットワークやWebサービスを意図的に利用できないようにした後、攻撃対象者に身代金を要求することが一般的です。そして、その支払いに応じないと、攻撃を継続すると脅すことです。

 

ランサムDDoS攻撃の事例

2017年からその存在が警戒されているランサムDDoS攻撃ですが、それ以前にもDDoS攻撃の事例がいくつか存在しています。例えば、2012年11月にイスラエル政府関連のWebサイトやイスラエルの銀行など、約600のサイトがダウンするトラブルが発生した事例があります。これは、イスラエル軍によるパレスチナ自治区であるガザ地区への空爆に対する抗議のために、国際的ハッカー集団「アノニマス」が行ったDDoS攻撃だということが判明しています。

 また、日本でも企業がDDoS攻撃を受ける件数が増えており、2018年には株式会社スクウェア・エニックスの人気オンラインゲームが、DDoS攻撃によってゲーム通信が切断されたり、ログインができなかったりする被害を受けています。 

 

ランサムDDoS攻撃から守る3つの対策方法を紹介!

実際にランサムDDoS攻撃を受けた際の対応やランサムDDoS攻撃からWebサイトやサーバーを守るための対策には、どのような方法があるのでしょうか。ランサムDDoS攻撃から守る3つの対策方法には、下記の3つが挙げられます。

  • 身代金を払わないこと
  • WAFの導入
  • Cloudbric ADDoSの導入

対策① 身代金を払わないこと

ランサムDDoS攻撃だけでなく、すべてのランサム型攻撃で身代金を要求されても絶対に支払ってはいけません。そもそも、支払っても攻撃が止まる保証はありません。支払っても攻撃が継続され、さらに金額を上げて身代金が要求される可能性があります。

また、運よく攻撃が止まっても、身代金を支払った企業という情報が犯罪者間で共有され、別のサイバー犯罪者から攻撃されるかもしれません。支払った身代金がサイバー犯罪者の利益となり、それを使って別の企業などへのランサムDDoS攻撃に繋がってしまう可能性もあります。

そのため、身代金の支払いに応じることは前提として覚えておきましょう。

対策② WAFの導入

ランサムDDoS攻撃の対策として有効な手法が、「WAF」の導入です。WAFとは「Web Application Firewall」の略で、簡単に説明すると外部ネットワークからの不正アクセスを防ぎ、Webアプリケーションの脆弱性を悪用した攻撃からアプリケーションを守る保護するセキュリティ対策です。WAFの中でもハードウェア型WAF、ソフトウェア型WAF、クラウド型WAFがありますが、近年となっては、DNS情報変更だけで簡単導入できるクラウド型WAFが主流となっています。

WAFを導入することで、下記の対策ができます。

  • 脆弱性を悪用した攻撃からWebアプリケーションを防御
  • 複数のWebアプリケーションへの攻撃をまとめて防御
  • 脆弱性を悪用した攻撃の検出

WAFを導入しておけば、サイバー犯罪者がDDoS攻撃のためにアクセスを繰り返してきた場合に、それを不正アクセスだと検知して遮断してくれます。

Cloudbric WAF+を導入すると、ネットワークレベルのL3/L4 DDoS攻撃とアプリケーションレベルのL7 DDoSに対応できます。大規模DDoS攻撃への備えとしてはCloudbric ADDoSがお薦めです。全世界50以上のエッジロケーションを活用して、65テラバイト(Tbps)規模の攻撃まで防御できます。これからDDoS対策を導入しようとする企業は、WAFなどを検討してみてください。

 

最後に

今回は、ランサムDDoS攻撃の特徴や仕組み、その対策方法について解説してきました。年々多様化しているサイバー攻撃。すべてのサイバー攻撃への対策をするのは難しいといわれていますが、ランサムDDoS攻撃のようなサイバー攻撃への対策はやっておくべきです。

特に、ランサムDDoS攻撃の対策として特におすすめの方法は、今回紹介した「Cloudbric ADDoS」の導入です。「Cloudbric ADDoS」なら、リーズナブルな料金で高度のWebセキュリティ対策を利用できることができます。

 

「Cloudbric ADDoS」の料金、サポート内容を詳しく知りたいという方は、こちらをご覧ください。

Cloudbric ADDoS