ランサムウェア対策を感染前後に分けて徹底解説！強化すべきポイントも紹介

ランサムウェアの対策強化が求められる背景

先輩「まずは、ランサムウェアの対策強化が求められる背景について2つの視点から説明しよう。」

サイバー攻撃の高度化

ランサムウェアの対策強化が求められる背景の一つ目は、サイバー攻撃の高度化だ。

サイバー攻撃の手口は年々高度化してきており、ランサムウェアの種類や攻撃手法は進化し続けているんだ。メールの添付ファイル、メール本文の URL、アプリのボタン、Web サイト、偽装 SMS、ダウンロードされたファイルやアプリケーションなど、あらゆるところからランサムウェアは侵入しようとしている。

また、企業のサプライチェーンネットワークを介した手口や、巧妙化する標的型攻撃が使用されるなど、ランサムウェアの侵入を完全に防ぐことはなかなか難しい。ウイルス対策ソフトウェアも既知の攻撃には対応できるが、次々と新しく登場する攻撃には対応できない場合も多く、感染の早期検知も困難な状況にあるのが現状なんだ。

リモートワークによるエンドポイントの分散化

ランサムウェアの対策強化が求められる背景の二つ目は、リモートワークやハイブリッドワークの浸透によるエンドポイントの分散化だ。

働き方が多様化している中で、テレワークやハイブリッドワークにより、これまでオフィス内にあった PC をはじめととした端末が外部に持ち出され、クラウドサービスや VPN などを利用してビジネスを進めるという、「エンドポイントの分散」が起きることになった。そうした分散したエンドポイントをセキュリティ上の弱点として狙うサイバー攻撃が増えているんだ。

これまで通りのセキュリティ対策では、企業ネットワーク内であるオフィスでの端末使用と比べて、外部に持ち出された端末は、どうしてもセキュリティが甘くなるし、端末のサポートも弱くなりがちだ。従業員が「ランサムウェアが含まれた不正なソフトウェアを業務端末にダウンロードした」ことによる被害も実際に起きている。リモートワークをはじめとした新しい働き方に、組織のセキュリティ対策もしっかりと対応していかなければならないんだ。

ランサムウェア感染前の4つの対策

新人「サイバー攻撃の高度化と、働き方の変革による分散したエンドポイントへの対応と聞くと、通常のウイルス対策とそこまで大きな違いはなさそうですね。」

先輩「そうだな、感染前に実施する対策としては、ランサムウェア独自のモノというのは無いんだが、より気を付ける必要があるという観点から説明していこう。」

従業員の意識改革

ランサムウェア感染前対策の一つ目は、従業員の意識改革だ。オフィスへ出社するだけでなく、リモートワークでは、自宅やサテライトオフィス、コワーキングスペースなど、さまざまな場所で働くことができるようになり、 従業員は外部ネットワークから、会社のネットワークへアクセスすることが常態化してきているため、これまで以上に従業員のセキュリティへの意識を高めていく必要がある。

例えば、不用意にソフトウェアをダウンロードしないこと、ID/パスワード管理をおろそかにしないこと、同じパスワードを複数のシステム間で使いまわさないなど、セキュリティ対策としては一般的な事になるが、業務で使用するエンドポイントとなる端末が分散している環境では、従業員一人一人が気を引き締めることがことさらに大切となる。

サイバー攻撃が高度に進化しているといっても、やはり感染源として一番多いのは不信な添付ファイルやファイルダウンロードだ。従業員には、自分たちが業務で使用する端末が、企業ネットワークと外部との接点であることを認識してもらい、基本的なセキュリティルールを改めて順守してもらうことが、ランサムウェアの侵入を防ぐためには極めて重要なんだ。

バックアップ・リストア

ランサムウェア感染前の対策の二つ目は、バックアップとリストアの準備だ。

万が一ランサムウェアの攻撃を受けてしまった場合も、定期的なバックアップがあれば、攻撃を受ける前の環境をすぐにリストアで戻すことができる。しかし、基幹システムや業務データだけでなく、個人使用の PC でも、バックアップデータは大きな容量を必要とすることが多いため、データやシステムに合わせた適切な世代管理が重要になる。

バックアップの世代数が少ないと、感染に気づいた時に直近のバックアップデータが残っていない、などという可能性もあるから、世代管理・バックアップ取得期間（日次・週次など）を、システム稼働状況に合わせて設計することが重要だ。

さらに、バックアップデータ自体がランサムウェアの攻撃を受けて暗号化されないように、バックアップデータの保存場所についても、セキュリティ対策とセットで考える必要があるんだ。

端末の挙動監視

ランサムウェア感染前の対策の三つ目は、端末の挙動監視だ。

従業員の PC やサーバなどの資産管理をシステムで実施していて、端末のシステムログを取っているところはあるかもしれないが、ランサムウェアに対応するのであれば、端末のシステムログだけでは不十分だ。

ランサムウェアに万が一侵入されても早期に検出し、迅速な対応を行う体制を整えるには、端末やユーザーの振る舞い（コンテキスト）を監視する EDR（Endpoint Detection and Response）ソリューションを導入する必要がある。 EDR なら通常は追いかける事が難しいさまざまなログを関連付けて追いかけることで、端末やユーザーの行動に変な動きがないかを常に監視し、ランサムウェアによる攻撃が開始されたらすぐに検知して、早期段階で感染発生場所と経路を特定することができる。

こうした端末の挙動は、業務における通常のワークフローと同じようなログになるので、人力での調査や発見は非常に困難だ。そのため、企業や組織に合わせた EDR を提供するセキュリティソリューションを選定し、導入する必要があるんだ。

ゼロトラストセキュリティの導入検討

ランサムウェア感染前の対策の四つ目は、ゼロトラストセキュリティの導入検討だ。

ゼロトラストセキュリティとは、社内システムへのアクセスをすべて信用せずに認証を必要とする、従来の「境界型セキュリティ」と異なる、セキュリティ対策の新しい考え方だ。

境界型セキュリティは、境界内部に入った後にセキュリティチェックが行われないため、一度侵入されると被害が拡大する恐れがある。ゼロトラストセキュリティであれば、万が一侵入された場合も、社内リソースにアクセスする際に、別の認証が必要となるので不正にアクセスされる範囲を制限することができる。

端末レベルの条件付きアクセスや、多要素認証をゼロトラストセキュリティと合わせて活用すれば、ID とパスワードだけでアクセスするのに比べて、さらにアクセス時の信頼性を高く保つことができる。組織のネットワーク内に細かくセキュリティを設定するゼロトラストセキュリティは、ランサムウェアの対策としても効果を発揮できるこれからのセキュリティ対策といえるだろう。

ランサムウェア感染後の6つの対策

新人「EDR やゼロトラストセキュリティの導入は、進化するサイバー攻撃に対するシステム的な防御を準備する感じですね。」

先輩「ランサムウェアによる攻撃を100%防ぐことは非常に難しいという現実があるからな。だからこそ感染のリスクを少しでも減らすために従業員へ啓蒙を行いながら、感染後の対応のための準備が必要になるわけだ。」

新人「そうなると感染後の対策は、また別になるんですか？」

先輩「それじゃあ次は、感染後の対策についてステップを踏んで説明しようか。」

端末の隔離

ランサムウェアへの感染を検知したら最初に行う事は、端末の隔離だ。

これはランサムウェアに限らずウイルスに感染した端末に対する基本的な対応でもある。感染した端末だけでなく、感染した可能性のある端末をネットワークから完全に切り離す必要がある。Wi-Fi の無効化や有線ケーブルを抜くといった物理的な対応と合わせて、ネットワーク側でも接続を拒否するように設定するなどの対応が必要だ。

ランサムウェアはネットワークを介して感染範囲を広げようとするため、被害を最小限に抑えるためにも、感染を検知したら、できるだけ早く感染範囲を特定して、感染の疑いがある端末やサーバ、システムを全て隔離しなければならない。この時に役立つのが端末の振る舞い（コンテキスト）を監視し、検知から隔離までを迅速に行う事ができる EDR ソリューションなんだ。事前に EDR を導入しておけば、被害が表面化する前に端末の隔離が可能になる。

こうして感染した端末の隔離作業を行いながら、企業や組織としては「ランサムウェアへの感染」が起きたことを、速報として公表するか否かを判断していくことになる。

感染範囲の確認

ランサムウェアへの感染を検知して隔離が終われば、次は感染範囲の確認だ。

ここでも、EDR が導入されていれば感染範囲の特定も検知や隔離と同時に行えるが、そうでなければ、膨大なシステムやメールのログやアラートをチェックして、感染の入口や経路の調査を行い、侵入した攻撃者が、ネットワークを介しての他の端末やシステムに感染を拡大させるラテラルムーブメントがどこまで行われているのか、情報漏えいの可能性がどの程度あるのかなど、場合によっては社内だけでなく、関連企業にまで調査範囲を広げる必要がある。

そして、調査と並行して全社的にスキャンを実行し、検知した以外にマルウェアへの感染が起きていないかなど、範囲の推定と影響を確認するんだ。

ウイルス対策の実行

隔離と感染範囲が特定できれば、ランサムウェアへの感染後の対策は、感染した端末そのものへの対応になる。

ランサムウェアや関連するマルウェアに感染した端末の調査と除染作業を実施していく。マルウェアによって作成されたファイルやアカウント、変更された設定などは、アンチウイルスのソフトウェアだけでは対応しきれない可能性もあるため、セキュリティ対策の専門家に依頼したり端末の初期化を行うなどして、侵入したマルウェアを排除していくことになる。

復号ツールの適用

ランサムウェア感染後の除染は、専用の復号ツールを使用することもできる。

既知のランサムウェアに対しては、IPA 情報処理推進機構が紹介するランサムウェア対策特設ページなどで、専用の復号ツールが公開されているものもある。こうしたツールを適用することで、より速くシステムの復旧へ繋げることができる。

ランサムウェア対策特設ページでは、復号ツールだけでなくランサムウェアを特定するためのフローもあるから、セキュリティやITの担当者は、常にこうした情報を確認しておき、いざという時は慌てることなくこうした情報を積極的に活用することが重要だ。

システム復旧

感染した端末の除染が終わると、ランサムウェア感染後の対策として、ようやくシステム復旧へ進むことになる。

感染前の対策としてクリーンなバックアップデータがあれば、万が一データが暗号化されていても感染前の状態に戻すことも比較的早くできる。 バックアップデータにランサムウェアに類するマルウェアが入っていないかを確認する必要があるのと、バックアップデータが古いと、消えてしまうデータが多くなるから、バックアップデータの世代管理は十分に注意して設定する必要がある。

ここまで終われば、消えてしまったデータへの対応や、完全復旧の公表タイミングなど、一連のインシデント対応の事後処理へと移ることができるようになるわけだ。

ランサムウェア対策を強化する6つのポイント

新人「こうして感染後のフローを確認すると、ランサムウェアは感染前の対策がかなり重要ということがわかりますね。なにより、侵入されることを前提にした対策をしておかないと、感染後の対応にかかる時間がかなり違う事になりそうですね。」

先輩「事前対策が重要なのは、緊急事態への備えでは当然の事ではあるんだが、全てに完璧に備えようとすると、コストも天井知らずになる。ランサムウェア対策も強化ポイントを絞ることで、手間やコストを抑えることができるから、最後にそうしたポイントを解説しようか。」

インシデント対応の確認

ランサムウェア対策の強化ポイント一つ目は、インシデント対応の確認だ。

ランサムウェアへの感染は社内だけでなく、取引先や展開しているサービスなどに多大な影響を与える可能性があるため、感染が発覚したら即対応しなければならない。そのためにも、ランサムウェアによるインシデント対応について、企業や組織としてどう対応するかを、普段からしっかりとシミュレートして、いざという時のフローを作成しておく必要がある。
感染を検知したら、どこまで情報を上げるのか、だれと情報を共有してどこに協力を要請するのかなど、実際の事態を考えながら、インシデント対応を確認する。

最近は、ホワイトハッカーを使用して疑似的なインシデントを実際に起こすことで、感染後対策としての隔離や調査、社内通知、復旧作業といった、インシデントが発生した時の対応フローをテストするなど、より実践的な訓練ができるサービスもあるから、可能ならそうしたサービスを試してみるのも、緊急時の対応スキルを身につけたり、社内へのセキュリティに対する啓蒙に役立つはずだ。

エンドポイントの管理

ランサムウェア対策を強化する二つ目のポイントは、エンドポイント管理の強化だ。

感染前の対策としても上げているが、ハイブリッドワークが導入されることで分散した端末（エンドポイント）について、振る舞い（コンテキスト）レベルで監視することが、ランサムウェアの早期検知と隔離には重要となる。EDR ソリューションを導入して振る舞いを監視するだけでなく、PC の資産管理ソリューションと連動させて、自動的にネットワークから隔離したり、管理者にアラートを出すなど、エンドポイントのセキュリティについては、資産管理や ID 管理と合わせて行えるようにすることが重要だ。

バックアップの管理

ランサムウェア対策を強化する三つ目のポイントは、バックアップの管理だ。

ランサムウェアによって暗号化される前のデータを、どれだけ最新の状態で残せるかがポイントとなる。 重要なシステムや事業に必要なデータは、定期的にバックアップされていることが殆どだとは思うが、セキュリティの観点も加えて、どれくらいの世代を残すか、そして多くのストレージ容量を必要とするバックアップデータをどこに保存するかを考える必要がある。
また、業務の内容や規模によっては、個々の端末に業務情報が保存されていることも多いから、そうした個別データのバックアップをどうするかも、ランサムウェアに対する強化のポイントになるんだ。

リモートアクセスによる通信経路

ランサムウェア対策を強化する四つ目のポイントは、リモートアクセスによる通信経路だ。

これは、先のエンドポイントの管理とも関わる部分になるが、リモートワーク時には当然組織のネットワークにはリモートでアクセスすることになる。例えば VPN でのアクセスだと組織のネットワークへ直通するために、ランサムウェアをはじめとした攻撃者からは狙い目となる。こうしたリモートアクセスによる通信経路のセキュリティを向上させたり、常に承認を必要とするゼロトラストセキュリティを導入することが、ランサムウェアへの対策強化の重要なポイントになるんだ。

サプライチェーン

ランサムウェア対策を強化する五つ目のポイントは、サプライチェーンだ。

近年では、セキュリティ対策が弱い海外や地方の小さなグループ会社や協力会社がランサムウェアの侵入口となって、最終的に本社の業務を停止させるなど、大きな影響を及ぼす事例が相次いでいる。そのため、自社だけでなく、協力会社やネットワークを共有するような取引先まで含めた、自社のサプライチェーン全体でランサムウェアに対しての対策を行うことも強化のポイントになる。

本社と同じレベルのセキュリティを設定するのは難しくても、どんなネットワークでやり取りがされているかの把握や注意喚起などの啓蒙活動を行うといった、セキュリティ対策を施すことでランサムウェアへの対策を強化することができるんだ。

従業員の意識改革

ランサムウェア対策を強化する最後のポイントは、従業員の意識改革だ。

ランサムウェアやサイバー攻撃の手口が高度化しているとはいえ、今でも一番多い感染源は、メールの添付ファイルや不用意なファイルダウンロードになる。従業員一人一人が「少しでも怪しいと感じたメールを絶対に開かないこと」「アプリケーションの添付ファイルを不用意にクリックしないこと」を徹底することができれば被害の多くを防ぐことができる。

従業員へのセキュリティルール遵守の徹底と、ランサムウェアをはじめとするセキュリティに対する基本的な知識の啓蒙を行うことは、セキュリティソリューションの導入などのコストを必要としないで多くの被害を防ぐことができる、もっともコストパフォーマンスの良いセキュリティ対策といえるんだ。

まとめ

新人「ランサムウェアの対策としてポイントを絞って強化するといっても、全部やるとするとかなり大がかりな事になりますね。特にインシデント対応については、システム管理やセキュリティ部門だけでなく、全社的な対応が必要ですよね。」

先輩「大がかりと言えばそうだが、インシデント対応は起きてからでは遅いわけだから、ランサムウェアが侵入を100%防ぐことが難しくなっている今、できるうちに対策をたてておかないとかえって大ごとになるからな。リモートワークの推進と合わせて、EDR ソリューションの導入なども積極的に進める必要があるわけだ。」

新人「100％防げないインシデントとなると、自然災害みたいですね。」

先輩「確かに、いつ来るか分からず防ぐのも難しいからな。コロナ禍によるパンデミックで DR 対応を見直した企業や組織も多いかもしれないから、ランサムウェアへの対策も DR の一環として組み込むとやりやすいかもしれないな。」

SB C&S では、次世代型とアンチウイルスソリューションと侵入後の検知や対策を行う EDR を実現する「VMware Carbon Black Cloud」をはじめ、一元化された ID や PW 、デバイス監視でゼロトラストセキュリティを実現する「VMware Workspace ONE」、クラウドベースでネットワーク監視を行う「VMware SASE」、そして、セキュリティ関連製品の連携により分散したエンドポイントや従業員をまとめて保護する「VMware Anywhere Workspace」など、猛威を振るうランサムウェアにも有効となる、さまざまなセキュリティソリューションを提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。