ランサムウェア
近ごろ「ランサムウェア」という言葉をあちこちで目にします。新聞、雑誌、情報セキュリティレポートなどにたびたび登場し、これは尋常ではないと感じるほどです。2016年はランサムウェアの年だと思われていましたが、2017年に比べると大したことはありませんでした。比較的静かだった2018年と2019年を挟み、2020年、ランサムウェアは再び世間を騒がせています。
Kaspersky Dailyにはランサムウェアに関する記事が多数ありますが、ほとんどすべての記事で、一般的な3つのヒントを紹介しています。
- 優れた保護手段を使用すること。
- 不審なサイトから不審なファイルをダウンロードしないこと。不審な人物から届いたメールに添付されているファイルを開かないこと。自社の従業員に対し、こういった注意事項を周知すること。
- 定期的にデータをバックアップすること。
時々、こんな意見を聞くことがあります。「保護手段の導入と従業員の意識付けは、良いことなのだろうと思う。でも、データをすべて定期的にバックアップしておけば済むのに、どうしてわざわざ保護を強化したり社内トレーニングしたりする必要があるのか?いつもバックアップを取っているのだから、万が一ランサムウェアに感染したときは全部バックアップから復元すればいいだけの話。何がそんなに問題なのか?」
実はこんな問題があるのです。
バックアップは復元可能でなければならない
バックアップはもちろん必要です。しかし、実際にバックアップから自社のインフラを復旧しようとしてみたことがありますか?思うほど簡単なことではないかもしれません。社内のコンピューターやインフラが多様であるほど、復旧作業は難しくなります。経験豊富なITのプロは、すべてを完全に復旧できなかったことや、期待どおりに復元できなかったことがあるはずです。復旧のプロセスが期待するスピードで進むことは、まずありません。時には、バックアップがまったく使い物にならないこともあります。
バックアップで痛い目に遭ったことのある人は皆、バックアップの完全性を定期的に確認し、ステージング環境でサーバーを復活させる演習を行い、いざというときそれほど時間をかけずに復元できるように備える必要があることを知っています。バックアップからの復元を実際に行ったことがないのであれば、ぜひ試していただきたいと思います。いざというときに、バックアップが役に立たない可能性があるからです。
また別の問題もあります。バックアップサーバーがネットワーク境界内にある場合のリスクです。ランサムウェアは、感染したネットワークの内部にあるコンピューターを次々と暗号化するので、ネットワーク内にあるサーバーにバックアップされているファイルも被害を受ける可能性が大いにあります。
結論:ネットワークをセグメント化し、賢くバックアップを作成し、復旧テストを行うことで、迅速なロールバックの可能性を最大化しましょう。
復旧=ダウンタイム、そしてダウンタイムは高くつく
多種多様なデバイスやインフラを持つ大企業では、復旧作業に時間がかかります。バックアップが完璧に機能し、関係者が懸命に努力したとしても、かなりの時間がかかることは免れません。
復旧作業は、数日どころか数週間にわたる可能性があります。その間は業務を稼働できないので、このようなダウンタイムによる損失を、要求された身代金よりも少額に見積もる人もいるでしょう(当社は身代金を支払わないことを強く推奨しています)。何にせよ、ランサムウェア攻撃を受けた後のダウンタイムは避けられません。データを復号してシステムやサービスをすぐに全部元に戻すのは不可能です。仮にサイバー犯罪者が親切にも復号ツールを提供してくれたとしても無理です。現実的には、サイバー犯罪者はそんなに親切ではありませんし、彼らから提供された復号ツールが期待どおり機能する保証もありません。
結論:ランサムウェア関連のダウンタイムを回避するには、ランサムウェアに感染しないことです(そのためには、保護手段の導入と従業員の意識付けが重要です!)
最新のランサムウェアは暗号化型よりもたちが悪い
かつてのランサムウェア攻撃は、主にエンドユーザーを標的にしており、ファイルの復号と引き換えに約300ドル相当の仮想通貨を要求していました。しかし現在では、もっと高額の身代金を支払う能力がある(そして支払う可能性の高い)企業を攻撃対象とするようになっています。中には、医療の最前線にいる組織をためらいなく攻撃するサイバー犯罪者もあります。今年は、病院に対する攻撃が多数確認されました。最近では、新型コロナウイルス感染症ワクチンのサプライチェーン内の企業が攻撃を受けました(英語記事)。
今時のランサムウェアの挙動は、データの暗号化にとどまりません。企業ネットワーク内に潜んで見つけられる限りのデータを吸い上げ、これを脅迫に使用します。暗号化して身代金を要求する場合もあれば、このデータを公開すると脅してお金を要求する場合、暗号化した上で「身代金を払わなければデータを公開する」と脅す場合もあります。致命的ではなかったとしても、企業の評判に傷がつくことになりかねません。仮に顧客の個人情報が漏洩した場合には、GDPRに抵触する可能性があります。
攻撃者が企業秘密や顧客の個人情報を公開する判断を下した場合、バックアップがあってもどうにもなりません。さらに、バックアップをクラウドのような場所に保存してある場合、内部関係者は比較的簡単にアクセス可能なため、内部関係者が攻撃者に提供するような事態も考えられます。
結論:バックアップは必要です。ただし、ランサムウェアからビジネスを保護するには、バックアップだけでは十分ではありません。
ランサムウェアに対するセキュリティの三本柱
ランサムウェアに対する特効薬はない以上、私たちのアドバイスも以前と変わりません。バックアップは絶対に必要ですが、こまめに正しくバックアップを取り、復旧作業のリハーサルも行ってください。「こまめに正しく」の意味する中には、バックアップの頻度や保存先など、バックアップの詳細を把握することも含まれます。業務をすばやく再開する方法を、関係者全員が正確に知っていなければなりません。
保護も必須です。発生した問題に対応するだけではなく、攻撃者がネットワーク内に足場を築くのを防ぐ、積極的な保護が求められます。そして、従業員に対してサイバーセキュリティの基本に関するトレーニングを行い、定期的に知識を確認することも欠かせません。
詰まるところ、セキュリティとは「バックアップ」「保護」「意識」の三本柱、これに尽きます。一つとして欠けることなく実施することが重要であり、そうなっていて初めて、ランサムウェアに対抗するための最適なセキュリティ戦略を採用していると自信をもって言えるようになるのです。
ヒント