お問い合わせ
ランサムウェアの被害を受けた際、どのように被害を把握し、対応すべきかを明確に理解している企業は少ないのが実情です。
近年のランサムウェアは、ファイルの暗号化だけでなく、情報を盗み出し暴露をちらつかせて身代金を要求する「二重脅迫」が主流ですが、一部では、DDoS攻撃や感染情報の公開などを加えた「三重・四重脅迫」も登場し、手口はより悪質化しています。
そこでこの記事では、ランサムウェア被害に遭遇した場合、被害の実態を具体的に調査する方法について説明します。被害を受けた際には、どのような手順で調査を進めればよいのか、この記事を参考にして、きちんとポイントを押さえておきましょう。
\24時間365日無料相談/
目次
ランサムウェアに感染するとどうなるのか?
ランサムウェアに感染した場合、想定される被害としては次のとおりです。
【キャプチャ付き】ファイルが暗号化される
ランサムウェアに感染すると、ファイルが暗号化されて拡張子が変更されることが多く、一部のケースでは攻撃者の連絡先がファイル名に付加される場合もあります。
BlackDreamランサムウェアによって暗号化されてしまったファイル画像出典:PCrisk
Worryランサムウェアによって暗号化されてしまったファイル画像出典:PCrisk
【キャプチャ付き】身代金を要求される
近年のランサムウェアは、一定期間内に身代金を振り込まないと、データを暴露する二重脅迫型(暗号化+暴露)が中心ですが、一部では感染事実の公表やDDoS攻撃を行うといった脅迫を加える「多層型脅迫」を行うものもあります。
ランサムノートというもので身代金の要求をされます。実際のランサムノートは下記の画像のようなものです。
Cactusランサムウェアのランサムノート画像出典:BleepingComputer
Makopランサムウェアのランサムノート身代金を支払うことは、サイバー犯罪グループの資金源につながるだけでなく、身代金を支払ったという情報が広まることで、他のランサムウェアや不正アクセスの標的になる可能性もあります。
また、個人情報の流出や暗号化の復号キーと引き換えに身代金が要求される傾向がありますが、身代金を支払っても個人情報が流出したり、データが復号されない場合もあります。
したがって、身代金の支払い要求には絶対に応じず、まずは専門家に相談してネットワーク上の脆弱性やインシデントの範囲を正確に調査しましょう。これによって今後、セキュリティリスクを最小限に抑えることができます。
\法人様はWEB打ち合わせまで最短30分!/
【キャプチャ付き】身に覚えのない壁紙に変更
ランサムウェアに感染させた犯行グループや、ランサムウェアの種類によってデスクトップの壁紙を勝手に変更しメッセージを残すことがあります。
Makopランサムウェアに感染した場合に変更される壁紙画像出典:PCrisk
システムがダウンする
ランサムウェアによって、ファイル等が暗号化されると、社内のシステムが使えなくなる場合があります。その結果企業の業務が停止し、顧客へのサービス提供や従業員の業務に支障が出ることがあります。
影響を最小限に抑えるためにも、インシデント発生原因を速やかに究明するとともに、システムの修復を行い、今後の防止措置を検討する必要があります。
侵入口(バックドア)が設置される・他のマルウェアに感染する
バックドアとは、攻撃者がシステムに侵入するために設置された勝手口のことです。バックドアを通じて他のマルウェアに感染させたり、不正な操作を行います。
近年のランサムウェアは、侵入後すぐにファイルを暗号化するのではなく、一定期間システム内に潜伏し、ネットワーク内の端末を調査したり、管理者権限の奪取を試みたりする場合があります。潜伏期間中に攻撃者は内部情報を収集し、ある時一斉に暗号化を実行するので、感染が表面化した時点で、すでに被害が広範囲にわたることもあります。
ランサムウェア感染後、バックドアを調査せずに復旧すると残されたバックドアを通じて感染のリスクが高まります。
ランサムウェアに感染した時の対処法は?初動対応から再発防止策まで解説
ランサムウェア駆除の完全ガイド|被害を最小限に抑えるために今すぐ取るべき行動とは
個人情報が漏えいする(企業は「通報と報告」が義務化)
ランサムウェアに感染すると、個人情報などの機密情報が漏えいする可能性があります。
仮に情報漏えいが発生した可能性がある場合、企業は「個人情報保護法」にもとづき、「速報」による事態の報告と、「確報」と呼ばれる詳細な調査の報告を個人情報保護委員会に行うことが義務付けられています。
その過程で被害者や個人情報保護委員会に迅速な通知、ならびにインシデント調査を講じる必要があります。これは被害拡大を防ぐためだけでなく、企業の透明性、説明責任を確保するためにも必要なことです。
企業が法令を遵守せず、個人情報保護委員会の命令に違反した場合には、最大1億円の罰金が科される可能性があります(改正個人情報保護法 第84条の2)。その他にも企業として信頼が失墜したり訴訟に発展する場合もあります。
したがって、ランサムウェア感染時、企業は適切な通報・報告プロセスを確立し、適切な対応と透明な情報提供を行うことが求められます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門のエンジニアが多数在籍し、インシデント被害を調査し、対策を提案してきました。24時間365日体制で相談や見積もりを無料で受け付けておりますので、ランサムウェア感染が疑われる場合、まずはお気軽にご相談ください。
\入力から送信まで3分で簡単に完了/
ランサムウェア感染が企業に及ぼす影響とは?
ランサムウェアは企業に多大な影響を与えます。以下は企業に及ぼす影響です。
対応負担と金銭的な損害
ランサムウェア感染の対応負担と金銭的な損害は、次のようなものがあります。
- データ復旧にかかわる費用
- 業務停止による損失
- 信用失墜による損失
- セキュリティ対策の強化費用
ランサムウェア感染による全体の被害額は企業の規模や業種によって異なりますが、一般的に数百万円から数億円の損害を被ると言われています。
顧客や取引先などの社会的信用の失墜
ランサムウェア感染は、プライバシー侵害など個人情報悪用のリスクをもたらし、顧客や取引先との信頼関係を崩壊させてしまう恐れがあります。またランサムウェア感染によりサービスが停止されると、顧客や取引先の満足度を低下させ、信用を傷つける要因となります。
組織全体が業務停止・機能不全に陥る
ランサムウェア感染が企業に及ぼす最も深刻な影響の一つは、組織全体の業務停止や、機能不全です。ネットワーク内の全ファイルが暗号化されると、重要なデータやシステムへのアクセスが制限され、企業は業務を停止せざるを得なくなります。
たとえば、製造業の場合、生産ラインが停止し、顧客への納品が遅れることがあります。また、金融機関の場合、システムが停止することで、ATMやオンラインバンキングなどのサービスが利用できなくなる可能性があります。
またランサムウェアに感染した企業は、感染したシステムをバックアップから元どおり復旧するだけでなく、「デジタル・フォレンジック」で感染源を特定し、行政機関への報告通知ならびに、漏えいデータの特定などで被害全容の把握に努めなければなりません。
法的な問題と規制違反
ランサムウェア攻撃によって漏えいしたデータが個人情報などの規制に違反する場合、企業は大きなリスクを負うことになります。たとえば、企業が法的な責任を負う場合、多額の罰金を支払う可能性があります。
したがって、企業はデータ漏えいが発生した場合には、速やかに対応策を講じることが不可欠です。これには、被害を最小限に抑え、再発防止策を立てることが含まれます。
データ漏えいによる被害
2022年4月、改正個人情報保護法が施行されました。これにより被害を受けた企業は、漏えいデータの調査、情報管理の改善、さらには行政への報告、被害者への補償が必要です。
この際、「フォレンジック調査」は被害を把握するのに役立ちます。フォレンジック調査では初期侵入経路、感染経路、暗号化手法の特定が可能で、被害の状況を具体的かつ正確に把握することができます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査し、対策を提案してきました。
ランサムウェアの問題に直面した場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\サイバーセキュリティの専門家へ無料相談できる/
知っておくべきランサムウェアの主な感染経路
ランサムウェアの主な感染経路は、以下のとおりです。
ランサムウェアは、企業や個人にとって大きな脅威ですが、これらの経路のセキュリティを見直すことで、ランサムウェアに感染するリスクを軽減することができます。
不審なメールの添付ファイルやURL
ランサムウェアは、フィッシング詐欺やビジネスメール詐欺の手法を用いる場合があります。
たとえば攻撃者は、相手がうっかり開きそうな件名のメール(偽の請求書、配送通知、求職応募書類など)に不正なファイルやURLを添付する手口を用いることがあります。
これに引っ掛かり、ユーザーが添付ファイルを開いたり、あるいはリンクをクリックしたりすると、マルウェアが実行されてしまい、ただちにシステムが感染してしまいます。
脆弱なリモートデスクトップ/VPN
リモートデスクトッププロトコル(RDP)は、遠隔の端末に接続する技術であり、VPN(仮想プライベートネットワーク)は、プライベートネットワークに接続する技術です。
RDPをVPN接続後に使用することで、安全なリモート作業環境を実現できますが、いくつか脆弱性が存在し、認証情報が漏えいすると、ランサムウェア感染する可能性があります。
たとえば下記のような場合、攻撃者にとって有利な状態を作り出す可能性があります。
- 脆弱なパスワードを使用している
- 最新のパッチやセキュリティ修正が適用されていない
- デフォルトの設定をそのままにしている
- 不要なポートが開いている
ソフトウェア/OSの脆弱性
ランサムウェア攻撃の中でも特に危険なのが、ソフトウェアやOSに存在する脆弱性(ぜいを突かれるケースです。
攻撃者は脆弱性情報が公開された直後から自動化されたスキャンツールでネット上を巡回して、パッチ未適用のシステムを狙います。
特に、以下のようなケースはランサムウェア感染の標的になりやすいので注意しましょう。
- VPN機器やファイアウォール、NASなどで脆弱性が放置されている
- WindowsのRCE(リモートコード実行)脆弱性などが未対策のまま放置されている
- 脆弱性のPoC(攻撃コード)が公開されているのに、パッチ適用が遅れている
脆弱性を狙った攻撃は、気づいた時には既に侵入されていることが多いため、常に最新のセキュリティパッチを適用しましょう。
https://digitaldata-forensics.com/column/cyber_security/4439/
Webサイト(ドライブバイダウンロード)
攻撃者は、Webサイトに悪意ある広告やコードを仕込み、ユーザーがクリックしたり実行したりすることで、マルウェアを感染させます。この攻撃手口は、ドライブバイダウンロードと呼ばれます。
具体的には、以下の点に注意するとよいでしょう。
- WebサイトのURLをよく確認する
- URLが https:// から始まるサイトを確認する
- 怪しい広告やコードをクリックしない
- 最新のセキュリティソフトを導入する
感染した端末に接続されたUSBメモリや外付けHDD
ランサムウェアに感染した端末に接続されたUSBメモリや外付けHDDを介して他の端末やネットワークにランサムウェアを広げることがあります。不明なメディアを接続する前にセキュリティスキャンを行うなど、予防策を取ることが大切です。
\サイバーセキュリティの専門家へ無料相談できる/
ランサムウェア感染時に絶対にやってはいけないこと
ランサムウェア感染時・感染の疑いがある状態に絶対にやってはいけないことを紹介します。
感染端末の再起動
再起動により暗号化プロセスが再実行される可能性があるほか、一部のランサムウェアはメモリ上に情報を保持しており、シャットダウンによって証拠が消えるリスクもあるため、再起動は避けるべきです。
感染後の端末でバックアップを取る
感染後にバックアップを取ると、暗号化済みのデータやランサムウェア本体までバックアップに含まれてしまい、復旧時に再感染を招く可能性があります。
脅迫文に従って身代金を払う
身代金を支払っても、暗号化されたデータが確実に復号されるという保証はありません。過去に身代金を支払った企業のうちデータが戻ってきたのは半数程度で、身代金を支払った企業の8割が再び攻撃を受けたというデータもあります。
また、身代金を支払うこと自体が反社会勢力の増長につながる恐れもあるため、相手の要求を鵜呑みにせず、身代金を支払うことは避けましょう。要求された際には対処しようとせずにランサムウェアの調査可能な専門業者に相談しましょう。
ランサムウェア感染時に身代金を支払うリスクについて詳しくはこちら>
ランサムウェア感染時の初動対応6ステップ
ランサムウェア感染時、重要な対応は感染の拡大を防ぎ、システムを復旧することです。
2021年5月に発生した「ダークサイド」と呼ばれるランサムウェア攻撃では、米国の石油パイプラインを運営する企業が被害に遭い、緊急停止を余儀なくされましたが、この事件では早期に対応したことで感染拡大を抑制し、復旧作業がスムーズに進んだとされます。
しかし、感染被害が広がると復旧作業が困難になり、企業の業務に大きな影響を与えるため、早期の対応が求められます。
ランサムウェアに感染した場合の初動対応は次のとおりです。
①感染端末をネットワークから遮断・隔離
ランサムウェアは一つの端末だけでなく、同一ネットワーク上にあるバックアップファイルも暗号化します。最悪の場合、すべての端末が感染し、企業が稼働停止に追い込まれることもあります。
ランサムウェアに感染時、被害を最小限に押さえるためにも、感染端末はオフラインにするのが先決です。下記の方法で接続を解除しましょう。
有線接続(LANケーブル)の場合
有線接続の場合は、感染端末のネットワークケーブルを抜いて隔離しましょう。
無線接続(Wifi)の場合
無線接続の場合はアクセスポイントを無効にするか、感染端末の接続を切断します。これにより、感染の拡大を制御し、他のシステムへの影響を最小限に抑えることができます。
②感染端末の保全
電子端末のネットワークを切断し、自力でデータやログの収集をしない場合は、電源は落とさずスリープモードにし、端末を保全することをおすすめします。
警察庁の調査によると、ランサムウェアに感染した企業や団体の約7割が、暗号化や削除などの要因でログの一部ないし全部が使えなくなっていることが判明しています。
出典:令和5年におけるサイバー空間をめぐる脅威の情勢等について
そこでランサムウェアの調査にはより高度な専門技術が必要になります。特に端末のメモリなどは電源を落とすと保存していたデータが消えてしまうため、保全作業が極めて重要となります。
フォレンジック専門家であれば、専門性の高い調査を行い、被害状況や感染経路を迅速に把握できることがあります。相談先によっては個人情報保護委員会や警察などにも提出できるレポートも作成できることもありますので、以下よりお問合せ下さい。
\相談から最短30分でWeb打ち合わせを開催/
③利用サービスのパスワード変更
感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワードが流出すると、第三者に悪用される可能性があります。
メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染デバイスで変更したセキュリティ情報が第三者に盗まれ、悪用されることも考えられます。
④ランサムウェアの種類を特定する
ランサムウェアに感染した場合、感染したファイルの拡張子やランサムノート(身代金要求メッセージ)を検索し、特定のランサムウェアファミリーに関連付けられた特徴やパターンを見つけることで、ランサムウェアの種類を特定することができます。
また、特定のランサムウェアには、「復号ツール」と呼ばれる暗号解除型ソフトウェアが公開されていることもあり、種類を特定することで、適切な復号ツールを選ぶことができる可能性があります。
また、この特定作業を通じて、攻撃手法や暗号化方式、悪用された脆弱性などを、ある程度は理解できる場合もあります。
ただし、ランサムウェアの解析や種類の特定が難しい場合、サイバーセキュリティの専門家に助けを求めることも一つの方法です。専門家に依頼することで、感染したファイルやコードを詳細に解析し、正確なランサムウェアの種類を判定するのに役立ちます。
⑤インシデントの通報・システム担当者への共有
ランサムウェアの感染が分かれば、すぐに組織のセキュリティ担当者に連絡しましょう。
ランサムウェアの感染が疑わしい場合、以下の情報を提供すると良いでしょう。
- 感染時刻と端末:感染が発覚した時刻、当該端末を報告します。
- 症状とファイル拡張子:ファイルの暗号化や身代金要求メッセージなど、症状を伝え、どのファイルが影響を受けたかを伝えます。
- 感染原因:不審なメールやリンク、ウェブサイトの情報を共有し、原因を詳しく説明します。
- 全体の状況:他の端末やネットワークへの感染の可能性をはじめ、感染時のセキュリティ状況(VPN/RDPなどのソフトウェアの更新履歴)に関する情報を提供します。
また、ランサムウェアの被害を受けた企業は、改正個人情報保護法にのっとり、被害の状況を正確に把握したうえで、行政へ報告をおこなう「義務」があります。感染を発見したら、速やかにシステム担当者に通報し、協力を得ましょう。
警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報
ランサムウェア感染などのサイバー犯罪に遭った場合、最寄りの警察署か都道府県警が管轄する「サイバー犯罪相談窓口」に相談・通報すると、法的なアドバイスや警察の捜査につなげられる場合があります。
ただし、警察に捜査してもらうためには被害届の提出や、通信ログ、アクセスログ、システム構成図、被害端末の情報などの証拠が必要となる場合があります。
これらは被害企業側で用意する必要があるため、被害者への対応で手一杯の場合はフォレンジック専門家に相談することをおすすめします。
⑥サイバーセキュリティの専門家へ連絡/対応の策定
ランサムウェア感染時、的確な対応策の立案が欠かせません。しかし、対応は多岐にわたり、そのうえ専門知識と高度な技術が必要なため、自社だけで行うのは困難です。
そのため、組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.9万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
2022年(令和4年)4月に施行された「改正個人情報保護法」では、不正な目的をもって行われた漏えい事案が発生した可能性がある場合、報告と通知が法人に義務付けられました。
ランサムウェアによる個人情報漏えいは、組織にとって大きなリスクです。情報が外部に流出した場合、適切な措置を講じ、漏えいした情報の種類・経路・件数などを正確に調査する必要があります。仮に命令に違反した場合、最大1億円以下、報告義務違反には最大50万円以下の罰金が科せられます。
個人情報の漏えい等があったらどうするか
個人データの漏えい等が発生した場合、特に、個人の権利利益を害するおそれがあるときは、委員会への報告と本人への通知が必要です。
個人の権利利益を害する恐れのある情報・事態としては下記が該当します。
- 要配慮個人情報(人種、信条、社会的身分、病歴など)が含まれる
- 財産的被害が生じるおそれがある
- 不正の目的をもって行われた漏えい等
- 1,000人を超える漏えい等が発生した
特に①から③に該当する内容が発生した場合、1件以上の個人データの漏えい等またはその恐れがある場合であっても、個人情報保護委員会、および本人への報告が義務となります。
個人情報保護委員会への報告
速やか(概ね3~5日以内)に個人情報保護委員会への報告を行いましょう。
伝えるべき内容は次のとおりです。
- 漏えいが発生したこと
- 個人データの内容
- その他必要な情報
本人への通知
漏えいが発生したことを速やかに本人に通知することも重要です。通知に含まれるべき情報は以下の通りです。
- 漏えいが発生した旨の通知
- 個人データの内容についての説明
- その他必要な情報の提供
これらの手順を踏んだうえで、個人情報保護に関する法律に基づいた適切な対応ができ、個人の権利利益をしっかりと守ることができます。
出典:個人情報保護委員会
ランサムウェア感染の調査には法的知識や専門技術が必要
しかしながら、報告だけでは不十分です。インシデントの詳細な把握が説明責任を果たす上で重要です。ここでフォレンジック調査が重要となってきます。
そもそもランサムウェアは、高度な技術を使って攻撃が行われることが多く、データの復号やシステムを復旧するにあたって専門的な知識が必要となります。
そのためランサムウェアの調査をする場合、適切な対応をするために法的知識や専門技術を持つ専門家に相談しましょう。
感染被害時は「フォレンジック調査」が有効
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まります。それだけでなく、取引先や行政等へ報告が必要な場合は、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性もあります。
また対応が遅れると被害が大きくなりやすいため、インシデント時は早急に対応を決めて実行することで、被害を最小限に抑えることができます。
この場合、ランサムウェアの対応実績が豊富なフォレンジック調査の専門業者へ相談しましょう。フォレンジック調査とは、コンピュータやネットワークに残されたデータを調査・解析し、インシデントの原因や影響範囲、不正な挙動を明らかにする手法です。
またフォレンジック調査によって得られた報告資料は、法的手続きにおいて、客観的かつ中立的な立場で作成されることから、漏えい状況の把握、再発防止策の策定に役立つだけでなく、法執行機関や個人情報保護委員会に提出できる資料としても活用することができます。
フォレンジック調査の概要や必要性・メリット・活用事例はこちら
ランサムウェア感染時は、ファスト・フォレンジックが有効
特に、ランサムウェア感染時は、ファスト・フォレンジックを行うことで、被害を最小限に抑えることができます。これは、従来のフォレンジック調査よりも、調査範囲を絞り込み、即時性を優先してログやシステム状態を取得・解析する手法で、感染端末の隔離、初期アクセス経路の特定、攻撃タイムラインの構築を短時間で行うことに主眼を置くものです。
これにより、必要なデータを迅速に収集・解析できるので、早急な原因究明を行い、被害拡大を防ぐことができます。
ファスト・フォレンジックの詳細は下記の記事でも詳しく解説しています。
ランサムウェアによる被害調査を行う場合、DDFに相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
ランサムウェアの感染を防ぐ事後対策10選
ランサムウェアに感染した場合、被害を最小限にとどめるため、次のような再発防止の取り組みを行い、リスクを回避できる環境を整えておきましょう。下記の対策を組み合わせることで、組織はセキュリティレベルを向上させることができます。
インシデント対応計画の策定
あらかじめ組織のインシデント対応計画を策定し、ランサムウェア感染時の手順や役割分担を明確にします。また状況に応じて適切な改善を行うことで、インシデント時に効果的な対応が可能となります。
セキュリティチーム(CSIRT)の創設
あらかじめ、インシデント対応のためのチーム、つまりComputer Security Incident Response Team(CSIRT)を組織内に設立しましょう。
CSIRTはセキュリティに特化した専門家から成るチームであり、インシデントに対する高度な知識とスキルを持っています。そのため、ランサムウェア感染などの状況に適切に対処する能力があります。
仮にランサムウェア感染などのインシデントが発生した場合でも、CSIRTが設置されていれば迅速に対応でき、被害を最小限に抑えることができます。
ユーザー権限の厳密化
必要な権限のみを持つユーザーアカウントを設定し、不必要な特権を持つアカウントを制限します。これにより、攻撃者がシステム内での動きを制約され、ランサムウェアの被害範囲を狭めることが可能です。
パスワードを複雑にする
よく使われるシンプルなパスワードだと、無数の文字列を組み合わせた「総当たり攻撃」などで簡単に不正ログインされてしまいます(また、パスワードを使い回すと、同じ施設内にある別端末のネットワークにも簡単に不正アクセスされてしまいます)。
パスワードは独自の要素を追加し、使いまわさないようにしましょう。
OSやセキュリティソフトを導入・更新する
ファイアウォールや侵入検知システムをネットワークに導入することで、異常なアクティビティや不正なネットワークトラフィックをブロック、検知します。これにより、不正アクセスを早期に検知し、対処することができます。
ただし、ランサムウェアは日々新しいものが作られるため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。
パッチ適用の実施
ベンダーから提供されるパッチやセキュリティアップデートは、既知の脆弱性やセキュリティホールを修正するために重要です。これにより、攻撃者が既知の脆弱性を悪用してシステムに侵入するリスクを低減できます。
セキュリティ教育を従業員に行う
今後同じことを繰り返さないように、従業員に対するセキュリティ教育を徹底し、マルウェア感染の再発防止策の検討・実施、そしてセキュリティポリシーの策定に必要な措置を速やかに講じましょう。
安易にリンクをクリックしない・添付ファイルを開かない
大半のランサムウェアは、スパムメールに添付された不正ファイルの開封により引き起こされます。また、電子メールの件名や本文は、業務目的での開封を誘導するものも多く、たとえ取引先からのメールでも、不自然に添付されたリンクやファイルには注意が必要です。
定期的なバックアップの実施
バックアップはランサムウェアによるデータの暗号化に備え、感染前の状態にデータを復元する重要な手段です。なお、バックアップはオフラインに保存されることが望ましいです。
VPN機器等の脆弱性対策
VPN(仮想プライベートネットワーク)機器や、他のネットワーク機器の脆弱性対策を実施しましょう。これには、ベンダーからのセキュリティパッチの適用、デフォルトのパスワードの変更、セキュリティ設定の強化などが含まれます。
脆弱性が悪用されたネットワーク機器は攻撃者によるアクセスや侵入の経路となる可能性があるため、適切な対策が必要です。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
