中小企業も対策必須!ランサムウェアはすべての企業に牙を剥く、狙われる理由とは?

 2020.08.06  EDR実践ポータル

「WannaCry(ワナクライ)」。直訳すると“泣きたいよ”。

2017年に世界中で大きな被害を出したサイバー攻撃で、セキュリティ関係者だけでなく、一般の企業人にも、“ランサムウェア”の名と怖さを植えつけることになりました。“サイバー犯罪史”を編纂すれば、衝撃度で間違いなくトップ5には刻まれるでしょう。

“最大瞬間風速”を記録した2017年以降も、ランサムウェアは勢力を保ち、攻撃対象も中小の事業者まで拡散。企業社会の最大級のデジタルリスクであり続けています。今回はランサムウェアの実像と、対処方法について考えてみましょう。

ピークは過ぎても鎮静化せず

ランサムウェアは、サーバやPCなどに保存したデータを暗号化し、復号化のためのキーと引き換えに身代金(Ransom)を要求するマルウェアです。こうした手口自体は昔からありましたが、2017年前後に「WannaCry」が一気に拡散。ピークは過ぎたとは言え、新種や亜種の登場も相次ぎ、数年を経た今も鎮静化する兆しはありません。

勢力を保ち続ける理由として、まず攻撃側の体制整備が挙げられます。

マルウェアなどがやり取りされている闇サイトの“ダークWeb”では、いろいろなランサムウェアが簡単に入手でき、アンチウイルスソフトをすり抜けるための“改変ツール”も出回っています。専門知識に欠ける犯罪者でも、この分野へ容易に参入できるようになったのです。

 

もう一つは、攻撃対象の拡大。ぼう大なデータと豊富な資金を持つ大企業だけでなく、ほぼすべての企業に対して、ランサムウェアは即効性があるからです。以後は、この点をもう少し掘り下げてみましょう。

ransomware-for-sme-1ランサムウェアは組織向けの3位、個人向けで9位にランク

出典:「情報セキュリティ10大脅威 2019」 IPA(情報処理推進機構)

中小企業の68%が“うちは無関係”

“われわれが攻撃を受ける理由はない”

“お金になるような情報はない”

米国の情報サービス企業が中小企業の経営層を対象に、2017年に実施した調査では68%が“ハッキングされる心配はない”と応えています※1。その一方、2019年に別の調査機関から発表された報告では、中小企業の88%が“攻撃の標的になる可能性がある”、そのうち46%は“可能性は非常に高い”と捉えていました※2

※1:https://www.paychex.com/newsroom/news-releases/study-despite-increasing-threats-a-majority-of-small-business-owners-dont

※2:https://www.prnewswire.com/news-releases/new-survey-shows-majority-of-small-businesses-believe-they-are-a-likely-target-for-cybercrimes-more-than-a-quarter-have-experienced-data-breach-in-last-year-300944168.html

 

実施機関が異なる調査を単純に比較はできませんが、頻発するサイバー犯罪の影響もあって、危機意識が高まってきていることは確かでしょう。ほぼ同時期にセキュリティ企業が発表したデータ侵害に関するレポートでは、侵害を受けた企業の43%が中小企業で、“脅威に対するセキュリティ対策は十分”と応えた事業者は30%に止まるという実態も報告されています※3

※3:https://enterprise.verizon.com/resources/executivebriefs/2019-dbir-executive-brief.pdf

こうした調査結果から総じて言えることは、中小企業にとって情報セキュリティに対する危機意識と安全対策の不足は、深刻な経営課題であるという点です。もちろん、日本企業も例外ではありません。

日本損害保険協会が2020年1月に発表した「中小企業の経営者のサイバーリスク意識調査 2019」からは、より深刻な実態も見えてきます。“現在、サイバー攻撃に対して対策を行なっているか”の問いに対し、“していない”と応えた企業は24.0%。“サイバー攻撃の対象となる可能性はどの程度と考えるか”の設問では、“高い”と“やや高い”を合わせても、わずか6.2%に止まっていました。

ransomware-for-sme-2

自社がサイバー攻撃の対象となる可能性を問う設問への回答

出典:「中小企業の経営者のサイバーリスク意識調査 2019」 日本損害保険協会

 

中小企業が標的になる理由は?

ランサムウェアの標的が中小企業にも拡がった理由は、単刀直入に言って、お金になるからです。大企業が持つ技術情報や顧客情報は、闇市場でそれなりの価格が付くとしても、売れる情報を見極めるには一定の素養も必要で、大企業の固いガードを破ることは容易ではありません。

その点、ランサムウェアはデータを暗号化するだけですから、情報の質まで問われることはありません。攻撃者から見ると、企業や業界に関する知識は不要で、搾取した情報を闇市場で転売する手間も生じません。ランサムウェアは、“コストパフォーマンス”が高いツールなのです。もちろん、標的にする企業の知名度や規模は無関係です。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

リソース不足と運用方法も“隙穴”に

中小企業がランサムウェアの標的になりやすい理由として、経営層の危機意識の低さに加えて、リソース不足があります。大企業に比べると、安全対策にかける人員、コスト、時間が不足する点は否めません。近年のサイバー犯罪の多くを占める標的型攻撃やサプライチェーン攻撃にしても、最初からガードが固い大企業は狙わずに、隙を突きやすい中小を標的にする傾向にあることは、留意しておくべきでしょう。

もう一つは、システム構成と運用方法です。大企業は業務用PCを支給して私物の利用を禁ずるケースが多いのですが、中小企業はルールが確立されていないところも少なくありません。私物のデバイスで作成した業務文書をファイルサーバに保存、外出先では業務と無関係のサイトを利用、同じ端末に業務と私用のメールが混在、といったシーンも稀ではないはずです。

業務上の機密情報が企業のファイルサーバだけではなく、私物のノートPCやスマートフォン、コンシューマー向けのクラウド上のストレージなど、安全性が担保されない場所に分散しているケースも散見します。もちろん利用するネットワークも安全が確保されたものばかりではないでしょう。このような一貫性を欠いた運用体制では、ランサムウェアに感染するリスクが上がることは想像に難くないでしょう。

 

ソーシャルメディアが突破口?

ランサムウェアの侵入経路は、当初はメールの添付ファイルが多かったのですが、Webサイトを介した感染も増えました。OSやアプリケーションの脆弱性を突くもので、脆弱性を修正していない状態で悪意あるサイトにアクセスすると、ランサムウェアをインストールされてしまいます。社内LANなどネットワークの内部で自己増殖し、感染を広げる「ワーム」の機能も備える攻撃は、特に警戒しなければなりません(「WannaCry」もこのタイプ)。

攻撃の入り口として軽視できないのがSNSです。Linkedlnのようなビジネス特化型はもちろん、Facebookでも実名登録して勤務先まで公開している人も少なくありません。大企業の多くは、SNSの使い方に関して一定の規約を設けて注意を促していますが、中小企業では管理しきれていないところもあるかと思います。

メールアカウントを乗っ取って攻撃するスピアフィッシング(特定企業・特定人物を狙うフィッシング)は、ランサムウェアを送り込む手段としてもよく使われています。LinkedlnやFacebook上での知人からのメッセージはあまり疑われないため、添付ファイルやリンクをついクリックしてしまうのです。

基本の実践とエンドポイントの保護を

ランサムウェア対策には、大きく二つの階層があると考えてください。1段目のステップは運用面で、マルウェア対策の基本の実践。攻撃の大多数はここでブロックできるはずです。

  • OS、アプリケーションは常に最新の状態に保つ
  • メールの添付ファイル、リンクは不用意にクリックしない
  • 少しでも不審な動作があれば、直ちにセキュリティ部門に打診
  • 継続的な情報セキュリティ教育の実践
--------------------------------------------------------
  • エンドポイントセキュリティ(保護)の強化

2段目の層はシステム面。エンドポイントセキュリティ(保護)の強化です。エンドポイント保護は、エンドポイント(サーバやPCなどネットワークの構成機器・端末)の単位で攻撃の兆候や脅威の解析を行い、侵入と被害を最小限に抑えるためのソリューション。

マルウェアから防御する「EPP」と、万一の侵入を検知し不正な動作の阻止や回復を担う「EDR」を軸に、企業情報システムのガードを固めるものです。人員やコストに制約がある中小企業にも向く対策として効力が実証され、ここ数年で急速に普及してきました。

  • EPP:エンドポイント保護プラットフォーム
  • EDR:エンドポイントでの検知・対応

 

ランサムウェアに特化した対策としては、バックアップアップも重要です。攻撃者もバックアップの存在は想定していますから、必ず狙ってきます。実務で稼動しているクライアントPCからは分離したネットワーク、あるいは物理的に切り離したディスクなどのメディアを使う方法が有効です。またバックアップの適切なメンテナンスと、万一の停止時もバックアップファイルを使って、早期に環境を復旧できるように定期的な訓練も実施してください。

 

最善の対策は予防と検知

米国のセキュリティ企業の調べによると、中小企業が要求される身代金の平均は約4,300米ドルとさほど大きな額ではないのですが、攻撃によるダウンタイムによって生ずる損失は、その10倍以上とされています※4。攻撃によって業務が停止するだけでなく信用も失墜し、事業継続のチャンスが失われた例も少なくありません。

※4: https://www.knowbe4.com/ransomware

“身代金は払うべきではない”。一般論ではその通りですが、ダウンタイムの損失を考慮し、経営者は苦渋の選択をしなければなりません。ただ、どのような決断を下すにしても、45~55%は身代金を払ってもデータは取り戻せない、という実態は認識しておくべきでしょう。

ransomware-for-sme-3

出典:クラウドストライク株式会社「ランサムウェアとその防御方法について

最善のランサムウェア対策は、やはり以下の2点に集約できます。

  • マルウェアへの基本対策を着実に実践
  • エンドポイント保護の強化による予防と早期検知・回復

ランサムウェアによる被害は時々ニュースになりますが、表に出るのは氷山の一角です。多くの場合、データを暗号化されても困るのは自社だけですから、対外的な業務に大きな支障が出ないとすれば、告知をためらっても不思議ではありません。特に中小企業はその傾向が強いと思われます。

日本企業の99%は中小企業です。憂慮すべきことに、ランサムウェアを扱う攻撃者にとって、“美味しい市場”になった中小企業。中小企業はなぜ狙われるのか? 一般論ではなく自社の話として、この機会に自社の危険度と安全対策の再確認をお勧めします。

中堅・中小企業におけるランサムウェアの現実

RECENT POST「EDR」の最新記事


中小企業も対策必須!ランサムウェアはすべての企業に牙を剥く、狙われる理由とは?
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング