ランサムウェアによる被害が報道される事が多くなってきていますが、被害後に発表される対策・対応の情報には辿り着けない企業・団体が多いのか、同じ経路で感染する例が相次いでいるように見えます。その原因の一つは「他人事」という事があるのでしょう。情報セキュリティ対策を中小企業に提案すると必ずと言って良いほど言われるのは「ウチは中小企業だから被害に遭わない」です。しかしながら、攻撃者は業種や規模の大小を問わず攻撃を仕掛けてきます。「ウチは中小企業だから被害に遭わない」は全く通用しないのです。
ここに、警察庁が出したランサムウェアによる被害に関する資料があります。
警察庁発表 令和4年9月15日 広報資料より
これによると、被害を受けた企業・団体のうちで中小企業に該当するのが約半数となっています。テレビや新聞と言ったマスコミで報道されないだけで、実際には中小企業も多数被害に遭ってますし、実際にはもっと多い可能性もあります。
さて、中小企業におけるランサムウェア対策ですが、一番重要なポイントとして「重要情報は必ずオフラインバックアップを取る」という事が挙げられます。「オフライン」というのが重要なポイントで、オンラインになっているとバックアップも暗号化されてしまうために復元が非常に難しくなってしまうのです。一般的にバックアップ用のドライブはバックアップ時にマウント(接続)された状態になっています。この時にランサムウェアに感染しているとバックアップが暗号化されてしまうため、少なくとも何世代かパックアップを取るようにし、バックアップを取るときに必要のない前の世代のバックアップはマウント(接続)されないようにしておく事が大切です。
バックアップに関しては、定期的に(何ヶ月かに一回とか)復元テストをする事も重要です。バックアップあるあるなんですが、いざ復元しようとすると復元出来ないというケースが発生しがちです。そうなるとバックアップそのものの存在意義を失ってしまいますので、意味のあるバックアップにするためには「復元可能な状態である事を確認する」ことが重要になります。
次に、ネットワークに繋がる全てのシステムのソフトウェアを最新にしておく必要があります。攻撃者はシステムの脆弱性を突いて侵入しますので、その侵入経路を断つという意味でネットワーク機器も含めた全てのソフトウェアを最新にする事は非常に重要です。
警察庁発表 令和4年9月15日 広報資料より
先に紹介したのと同じく警察庁が出した資料によると、感染経路として一番多いのが「VPN機器からの侵入」です。これはVPN機器のソフトウェアの脆弱性を突いて侵入経路として使われているものです、
また、次に多いのが「リモートデスクトップからの侵入」になります。これはコロナ禍において緊急対応的に外部からリモートデスクトップで社内のパソコンに接続できるようにしているために、そこを攻撃者に突かれて侵入されるというものです。基本的にリモートデスクトップは社外に対して公開すべきものではありませんので、このような運用を停止し別の方法を考える事が重要になります。
先のグラフを見ると、「全てのソフトウェアを最新にする」と「不適切なリモートデスクトップの運用を止める」だけで、ランサムウェア攻撃のリスクを大幅に低減できる事が分かります。
最後に、導入しているウイルス対策を考え直すという事が挙げられます。
多くの企業ではWindowsに標準で付いている「Microsoft Defender(旧Windows Defender)」で対応していたり、あるいは市販のウイルス対策ソフトを入れていると思いますが、その殆どは「従来型ウイルス対策ソフト」であり、ランサムウェアに対しては無力であったりします。また、ランサムウェアの侵入経路の一つとしてEmotetに代表されるマルウェアがあったりしますが、一部のウイルス対策ソフトではEmotetを検出できなかったという事例もあります。その場合、現在でもEmotetに感染している(但し、活動は停止している)というパソコンやサーバーがあったりする可能性があります。そうすると、簡単にランサムウェアに感染してしまうわけです。
そこで、重要なのは従来型ウイルス対策ソフトに追加する形で次世代型ウイルス対策ソフト(NGAV)を導入し、ランサムウェアも検知できるようにしておくという事になります。この場合、従来型ウイルス対策ソフトは市販のものを導入する必要はなく、Microsoft Defenderでカバーし、そこで浮いた費用に若干上乗せして次世代型ウイルス対策ソフトの導入をするという対応で十分です。また、次世代型ウイルス対策ソフトの中には単体で幅広くカバーできるものもありますので、そういうもの、かつ、Windows以外にも対応できるものを導入する事をお勧めします。実はランサムウェアの多くはターゲットがWindowsですが、僅かではあるもののLinuxをターゲットにしたものも出てきているので、幅広いOSに対応する次世代型ウイルス対策ソフトを導入した方が一元管理できて管理コストの低減にもなります。
まとめますと、「意味あるバックアップを取りオフラインで保管する」+「あらゆるソフトウェアは最新にする」+「次世代型ウイルス対策ソフトを導入する」というのがランサムウェア対策として重要になります。
尚、宣伝になってしまいますが、ランサムウェア対策として有効に機能する次世代型ウイルス対策ソフトは弊社でも取り扱っております。また、意味あるバックアップをクラウドに取れるシステムの検証を現在進めている所です。検証結果によっては弊社で取り扱う事も検討しております。