日本でも増えつつある「ランサムウェア」から、会社を守るには？

攻撃者はビジネス化した組織

   ランサムウェアの攻撃者は、高い技術スキルを持ったハッカーやクラッカーといった人物像を思い浮かべるかもしれないが、必ずしもそうではないようだ。

   技術スキルが乏しい者でも攻撃者グループに参加できる「RaaS」（ラース、Ransomware as a Service）というサービスがあり、攻撃に必要なツール一式を提供し、身代金の一部をロイヤルティーとして受け取るグループがいるのだ。その内部情報から、マニュアルがロシア語などで使われるキリル文字で書かれていたため、ロシア語圏の者が主要メンバーと考えられるという。

   組織がランサムウェアの被害に遭ったら、どう対応したらいいのだろうか。

   まず、これが「非常事態」であることを理解し、通常とは異なる対応をしなければならない。こうした非常時の対応をITセキュリティーの用語で「インシデント対応」と呼ぶ。そのひな形を以下のように示している。

・犯人への身代金は支払わずにシステムを再構築し復旧を行う
・システム復旧を最優先するシステムは〇〇システム
・システムが復旧するまでの間は、長時間停電を想定したBCP（事業継続計画）対策を応用し、システムを利用しない手作業による業務で対応する
・手作業による業務継続は△△部門の範囲とし、他の部門の者は△△部門の応援に当たる

   対応方針を決めるポイントとして、身代金を支払うのか支払わないのか、復旧を優先する業務範囲はどこか、手作業による業務継続は可能かといったことを挙げている。

   これと平行して、攻撃者がどのように侵入してランサムウェアを仕込んだのかを調べる原因調査や、再発防止策を検討する。可能であれば、普段から「かかりつけ医」のように相談できるコンサルタントと契約しておくことを勧めている。

   日本ネットワークセキュリティー協会が提供している「サイバーインシデント緊急対応企業」29社の一覧を掲げている。相談と見積作成は無償のところが多い。

ランサムウェア、攻撃の手口とは？

   ランサムウェア攻撃の手法についても、詳しく説明している。
そして、応急処置をしながら攻撃を食い止める初動対応をまとめている。データの保全、ネットワーク通信の制限、アカウントの保護など、技術的かつ専門的な記述になるので、実際に本書を読んでいただきたい。
攻撃者はどうやって感染させてしまうのか。6つのパターンを示している。

・メールから感染
・リモートデスクトップ（RDP）からの感染
・改ざんされたウェブサイトからの感染
・ネットワーク機器などからの感染
・別のウイルスから感染
・社員買収など組織内部からの感染

   今後予想されるランサムウェアの影響について、2031年には世界規模で2650億ドル（約37兆1千億円）という予想を紹介している。

   被害を抑えるため、ネットワーク構成やアカウント管理状況を把握、ペネトレーション（侵入）テストを行い、弱点を知ることも重要だ。

   また、攻撃を受けてファイルが暗号化されてしまったとき、バックアップから復旧が可能であれば、身代金を払う必要がないので、バックアップの有効性を強調している。

   対応手腕が企業の信頼に直結するため、IT部門だけではなく、経営層がランサムウェアについて知り、対応方針を明確にしておくことが大切なようだ。（渡辺淳悦）

「ランサムウェアから会社を守る」
株式会社ラックほか著
日経BP
2640円（税込）