無料会員登録
組織のセキュリティ脅威1位に。ランサムウェア被害の実態
――流行しているランサムウェアの脅威と、昨今の被害について教えてください。
【嘉藤】ランサムウェアの脅威としては、データの暗号化による業務停止と情報の窃取・暴露による悪用被害・責任追及が挙げられます。暗号化だけでなく情報の暴露や多重の恐喝など、年々攻撃が激化していることでその脅威性を増し、IPA(独立行政法人 情報処理推進機構)による調査でも、組織のセキュリティ脅威ランキングで昨年の5位から1位へと跳ね上がりました。弊社に寄せられるランサムウェア感染のご相談は著しく増加しています。
たとえば2020年11月には大手ゲーム会社がランサムウェアの攻撃被害に遭い、約1万5000人の個人情報が流出しましたし、2021年8月には大手食品会社がサイバー攻撃に伴うシステム障害などで決算報告が不能となりました。このような大手企業が続々と攻撃を受ける中、ニュースとまではならない水面下で中小企業のランサムウェア被害も急増しています。ハッカーからすれば、強固なセキュリティの大企業を狙うのはそれだけ労力を要することなので、ファイアウォールやウイルスソフト・UTM程度しか導入していない中小企業は狙いやすい標的となっています。
ランサムウェア攻撃を受けた場合の被害の復旧にかかる費用は、1件あたり平均で2億350万円に達するとも言われています。中小企業にとって容易に支払えるとは言い難い金額です。また、被害として身代金要求のイメージが強いランサムウェアですが、意外にも身代金の支払いが被害総額に占める割合は20%程度に過ぎず、システム停止による業務停止や復旧にかかる人件費、情報漏洩による信頼の失墜・取引停止など、目に見えづらい被害がもたらしたものなのです。
デジタルデータソリューション株式会社
フォレンジクス事業部 事業部長
エンジニア、マーケティング責任者を経て現職に就任。ランサムウェアのインシデントレスポンスをはじめとして、フォレンジックを展開するうえでの司令塔を務め、多角的な問題解決を提案。
攻撃手法は多様化。侵入を防ぐのではなく、早期の検知と事後対応が重要に
――ランサムウェアの攻撃手法は多様化していますが、感染を防ぐ対策では防ぎきれないのでしょうか。
【嘉藤】一般的によく知られているウイルスソフトなどのセキュリティ対策は、マルウェア(悪意のあるプログラムの総称、ランサムウェアも含まれる)のリストを内包しており、その情報と一致する悪質なプログラムを検知・駆除するものです。しかし、1日あたり120万種以上のマルウェアが新たに生成されていると言われています。そのため、ネットワークの入口でマルウェアの侵入をブロックしようとしても、防ぎきれないものがどうしても発生してしまいます。
また、直近のランサムウェアは企業のセキュリティをくぐり抜けるために、侵入時は無害なファイルを装って入口のセキュリティを突破し、侵入したネットワーク内部でアップデートを重ねて、情報の窃取やデータの暗号化を行う悪質なプログラムへと変化していくようなものもあります。
こういった状況下で、感染を全て防ぐといった考え方ではなく、感染した場合にいかに早期に検知ができるか・被害が発生した際の事後対応がスムーズにできるかが重要になっています。そこで、弊社ではマルウェアに感染した場合にマルウェアが実行する外部との不正通信を自動で検知して遮断する自社開発のセキュリティ製品(DDHBOX)も提供しています。
ランサムウェアに感染してしまった場合は、感染端末の隔離・各種使用パスワードの変更・停止したシステムの復旧などの初動対応を行ったのち、被害範囲や感染経路の特定をするためにフォレンジックの技術を用いて調査を実施します。被害を最小限に抑えるために、直ぐに被害実態の調査をしてセキュリティの穴を塞ぐ必要があるとともに、被害報告を適切に行うためにもフォレンジック調査が有効なわけです。
先に述べたように、業務停止や情報漏洩、社会的信用の失墜による被害が想像以上に甚大であるだけに、感染時には正確な原因特定と事後対応をどれだけ行えているかが肝心です。
経済産業省も、サイバーセキュリティ経営ガイドラインにおいて、サイバー攻撃を特定し、防御するといった事前対策だけでは攻撃を防ぐことは困難なため、インシデント発生後の初動対応や被害状況の把握、復旧に向けた対応を速やかに行えるよう各企業の体制整備が必要であると提言をしています。
24時間365日受付、迅速な現場支援
――貴社のランサムウェア感染調査では、具体的にどのような対応が可能なのでしょうか。
【嘉藤】弊社では、ランサムウェアをはじめとするサイバー攻撃を受けた際に、組織内の端末を保全・解析し、「いつ、どのような経路で、どの機器が、どんなデータを送受信して感染したのか」などを調査する「デジタルフォレンジック」が可能です。ランサムウェアのような外部からの攻撃はもとより、データの改ざんや持ち出しといった社内における不正の調査にも対応しており、警察等の捜査機関でもこの技術は活用されています。
とはいえ、フォレンジックは世間で馴染み深いサービスではありません。そのため、弊社ではお問合せいただいたお客様の状況をヒアリングし、被害状況に合った対応プランを提案させていただいております。「どうしたらいいかわからない」というお客様がほとんどのため、初動対応から調査後の報告支援まで総合的に対応します。
弊社で特に重視しているのは「スピード」です。被害を最小限に抑えるためには、被害検知からの対応スピードが要です。24時間365日ご相談を受け付け、電話での依頼があればすぐに被害状況のヒアリングや現地への駆けつけを行います。専門のフォレンジックエンジニアと数多くの被害対応を行っているコンサルタントが被害解決に向けたハンドリング支援をさせていただきます。
マルウェア感染調査を機に、社内不正リスクを明らかに
――貴社がフォレンジクスを実施した案件の中でも、特徴的だったケースをご紹介いただけますか。
【岸】初期対応から最終報告まで担当するセールスグループの私からご紹介します。外部からのサイバー攻撃による被害調査を機に、予想していなかった実態が発覚したケースもあります。ある金融企業の社用PCがマルウェアに感染し、弊社にフォレンジックの依頼が寄せられました。
マルウェア感染が疑われる社用PC3台と、業務で使用していたUSB1個のスキャンを実施したところ、「マルウェアに感染した可能性が高いものの、それに伴う情報漏洩の可能性は低い」との判定に。
しかし、この調査で、ある従業員が私用のUSBを社用のPCに接続している履歴も検出。フォレンジック調査により、新たな実態を明らかにし、「社内不正による情報持ち出し」の可能性を示唆しました。
フォレンジックでは、直接的に見えていない事実や証拠を明らかにすることが可能です。情報セキュリティリスクはランサムウェアのようなサイバー攻撃だけでなく、社員の情報持ち出しのような内部犯行も少なくありません。
弊社では、退職者調査や横領といった社内不正の調査にも対応しています。ほぼ全ての企業が取引先や顧客の情報を扱っている以上、企業責任・持続的な経営のためにフォレンジックを行う意義は高まっているでしょう。
デジタルデータソリューション株式会社
フォレンジクス事業部セールスグループ
サイバー攻撃への対応を中心に、1200件以上の案件に携わる。その経験を活かし、日々刻々と変化する攻撃手法や社内不正の「事後対応」に関して最善の解決提案を行う。
ランサムウェア攻撃から身を守るために
――企業や経営者がランサムウェア攻撃の対策として心得ておくべきことはありますか。
【嘉藤】ここまで話したとおり、昨今のランサムウェア攻撃はただデータを暗号化するだけでなく、情報の窃取や暴露・度重なる恐喝などの多重攻撃をするように、その脅威は増大し続けています。身代金による金銭的なリスクのみならず、情報窃取・暴露による企業活動においての信用・信頼面に関わる攻撃や緊急対応のための機会損失など、目に見えない被害のほうが計り知れないものです。
国や世界全体の方針としても侵入・感染を防ぐのではなく、感染を前提としたゼロトラストセキュリティの重要性が説かれていますが、なかなか被害に遭っていない人たちがその重要性を理解し、対策を実行しているとは言い難いのが実態です。実際の被害現場に赴いている身としては、この生々しい実態をこうした記事を通して伝えることで、ランサムウェアに感染してしまった場合でも、迅速かつ冷静な対処ができる企業が1社でも増えればよいと思っています。
「備えあれば憂いなし」です。弊社も引き続きランサムウェア感染被害に向き合っていきながら、「インシデント発生時に企業はどのように対応すればよいか」のコンサルティング、インシデントをいち早く検知・対応できるようなセキュリティツールの復旧など、困っている人を助けるための最新技術を活用したサービス展開を進めていく所存です。
ランサムウェア攻撃をはじめとしたサイバー攻撃やデジタル機器を悪用した不正行為などでお困りの際は、弊社までお気軽にお問合せください。
