なぜ今、内部対策なのか

近年、大手企業においてランサムウェアによる被害が相次ぎ、大きく報道されました。主な被害として、数百から数万単位のファイルのロック・暗号化、ファイル単位での復旧困難、PC/Mac端末の機能制限、複数端末への感染拡大などが挙げられます。ランサムウェアは、感染した端末だけでなく、社内ネットワーク上の他の端末やサーバーにも被害を広げる可能性があります。そのため、入口対策だけでなく、社内ネットワーク内での拡散を抑える「内部対策」が重要です。

ランサムウェアによる被害例

• 数百、数千、数万という単位でファイルがロック・暗号化
• ファイル単位での復旧はほぼ不可能
• PC/Mac端末の機能が制限され使用できなくなる
• 複数の端末に感染が拡大

それぞれ詳しく見ていきましょう。

数百、数千、数万という単位でファイルがロック・暗号化

感染すると、脅迫画面に切り替わったり、エラーが表示されたりするほか、プリンターから脅迫文が連続して印刷される場合もあります。
その間に、わずか数秒でデバイス内のすべてのファイルを開けないように暗号化してしまいます。また、その瞬間にネットワーク上にある他のPC/Macやサーバーに対して、横展開して感染を急速に拡大させます。

ファイル単位での復旧はほぼ不可能

暗号化されたファイルは、すでに内容が書き換えられており、あらゆる手段を講じても復元は不可能となります。脅迫通りの金銭を支払ったところで、必ずしも暗号化が解除されるとは限りません。最終的には感染したPC/Macは初期化するしか手立てはなく、ファイルは別の場所に感染しないようにバックアップされていない限り、元に戻せません。

これにより、会社全体の業務継続に困難が生じます。理由としては、感染後の後処理に大変時間がかかったことにあります。

デバイス（PC/Mac）の機能が制限され使用できなくなる

ファイルを暗号化して開けなくするだけでなく、アプリケーションを使わせない、システムを破壊する、などの行為も行われます。また、遠隔操作で感染したPC/Macを操作し、メールデータやアドレス帳、パスワードなどを窃取するタイプのものも出現しています。

複数の端末に感染が拡大

悪意のある第三者の目的は、金銭を得ることです。1台のPC/Macを感染させて困らせるだけでなく、大きな被害を出すことでこそ脅迫行為が成立します。いかに感染したPC/Macから、被害を拡大させるかの技術に長けており、昨今の被害は瞬時にオフィス内のPC/Mac全体に感染させるような巧妙な手口が横行しています。

例えば、1台のPC/Macを復旧させるだけでも半日から2日以上かかる場合があります。さらに、復旧対象となるデータの確認などの後処理にも時間を要し、事業に大きなダウンタイムが発生します。利用しているPC/Macの台数によっては、復旧が数か月に及ぶケースもあります。BCP対策を実施していても、災害対策が中心で、マルウェア感染後の復旧や拡散防止までは十分に想定されていなかったケースも見られます。

影響する被害範囲

日本企業を狙ったランサムウェアによる被害は、2021年4月から急激に増えており、システム、業務、金銭的被害、そして情報流出による社会的信用の失墜にまで及んでいます。

システム上の被害

情報ネットワークのサーバーや端末が同時多発的な攻撃を受け、大量のファイルが暗号化され、被害を受けた端末やサーバーのシステム全てで起動そのものが不可能となる。 その場合、サーバーの早期復旧に有効な技術的手段が確認できず立ち往生となる。

業務上の被害

影響を受けた可能性のあるすべての端末やサーバーを停止する必要があり、ネットワークを遮断せざるを得ない。
そのため、通常業務に支障をきたし、期限のある経理処理や業務がおこなえず、安全な状態が確認できる仮復旧まででも、数週間にわたって事業継続が困難となる。

金銭的被害

暗号化されたデータを復旧させるため要求された「身代金」を支払ってしまうことによる金銭的な被害を被る。

情報漏洩

機密データが窃取され、インターネット上で公開されるなどの脅迫行為により情報流出、それに起因する社会的信用の失墜に繋がる。

身代金は払う／払わないの選択ができますが、最も問題となるのは事業を継続させるための端末やシステムが利用できず、事業再開までのダウンタイムが発生することです。
感染した企業の72%は、攻撃発生から2日以上データにアクセス不可という統計が出ています。また、5日以上アクセスできなかった企業は32%となり、もはや災害と言われる事態になります。

セキュリティ対策における「特定」「対応」「復旧」とは？

これからのランサムウェア対策は、「特定」「対応」「復旧」に目を向けたソリューションの組み合わせで対策することが重要となります。

セキュリティにおける「特定」「対応」「復旧」は、サイバー攻撃や情報漏えいなどのリスクに備え、被害を抑え、元の状態に戻すための活動を表す言葉です。それぞれの概要を解説します。

特定

何を守るべきか、どこにリスクがあるかを把握することです。問題が起きた際は以下のような原因を究明します。

• 重要なシステムやデータの洗い出し
• 個人情報、機密情報、顧客情報などを把握
• 発生しそうな脅威やリスクの評価
• 被害端末、影響範囲、侵入経路、不審な通信などの特定 など

対応

実際にセキュリティ事故や攻撃が起きたときに、被害を抑えるために行動することです。たとえば、次のような活動です。

• 不正アクセスを検知した後、対象端末をネットワークから切り離す
• 攻撃元や影響範囲を調査する
• 関係部署や経営層へ報告する
• 必要に応じて顧客・取引先・監督官庁へ連絡する
• マルウェアの除去や侵害されたアカウントの停止をおこなう

つまり、「問題が起きたときに、これ以上広がらないようにする段階」です。

復旧

被害を受けたシステムや業務を、通常の状態に戻すことです。たとえば、次のような活動です。

• バックアップからデータを復元する
• システムを再構築する
• 業務を再開する
• 再発防止策を実施する
• 事故対応の振り返りをおこない、手順を改善する

つまり、「止まった業務や壊れた環境を元に戻し、再発しにくくする段階」です。

まとめると、特定は「リスクを知る」、対応は「被害を止める」、復旧は「元に戻す」というイメージです。

「特定」「対応」「復旧」を担うソリューション

UTM（統合脅威管理）

主にカバーする領域：対応

UTMは、ネットワークの出入口で不審な通信や攻撃を検知・遮断する機器です。たとえば、次のような機能があります。

• ファイアウォール
• 不正侵入検知・防御（IDS/IPS）
• アンチウイルス
• Webフィルタリング
• 迷惑メール対策
• VPN
• アプリケーション制御

これらは、攻撃や不正通信が発生したときに、検知して止める・被害を広げないための機能です。そのため、分類としては 「対応」 に最も近いです。さらにログやレポートを見ることで、攻撃元や端末、アクセス元、接続先Webサイトなどの情報の把握もできます。これは、リスクや問題箇所を知る活動なので、「特定」 にも一部貢献します。

FortiGate

FortiGateシリーズは、SOHOに最適なUTM（統合脅威管理）アプライアンスです。ファイアウォール、IPSec-VPN、SSL-VPN、アンチウイルス(アンチスパイウェアを含む)、IPS、アンチスパム、Webコンテンツフィルタリング、P2Pファイル交換ソフトに代表される脅威となりうるアプリケーション防御など、複数のセキュリティ機能を1台の筐体に統合しています。

FortiGateの詳細を見るarrow_circle_right

セキュリティスイッチ

主にカバーする領域：特定・対応

セキュリティスイッチは、社内ネットワーク内での不正接続や感染拡大を防ぐソリューションです。

端末がネットワークに接続された際に、正規の端末かどうかを確認し、不審な端末や許可されていない機器の接続を制御します。また、マルウェア感染端末や異常な通信を検知した場合には、該当端末を自動的に隔離し、被害が社内LAN全体へ広がることを防ぎます。

さらに、接続端末の情報や通信状況、異常な振る舞いを可視化できるため、どの端末にリスクがあるか、どこで問題が発生しているかを把握する「特定」の領域にも貢献します。

TiFRONT

TiFrontシリーズは、ランサムウェア対策などのネットワーク拡散型のマルウェアに対して、被害の拡散を抑えるセキュリティスイッチです。これからは、「特定」「対応」「復旧」に目を向けたソリューションの組み合わせで対策することが重要となります。セキュリティHUB【TiFRONT】は、このうち「特定」「対応」をカバーします。

TiFRONTの詳細を見るarrow_circle_right

バックアップ

主にカバーする領域：復旧

復旧領域を担うソリューションは、セキュリティ事故や障害で停止・破損したシステムやデータを、業務可能な状態へ戻すためのものです。

代表例は、バックアップ／リストア、DR（災害復旧）、BCP支援、イメージバックアップ、クラウドバックアップ、ランサムウェア対策型バックアップなどです。重要なのは、単にデータを保存するだけでなく、必要な時点の状態へ確実に戻せること、復旧時間を短縮できること、バックアップ自体が改ざん・暗号化されにくいことです。

Too クラウドバックアップ

ランサムウェア対策を備えた次世代バックアップであるToo クラウドバックアップは自動的に国内1拠点・海外1拠点へバックアップを行います。初期設定後はユーザーが操作する必要はありません。社内でも外出中でも、有線でもWi-Fi経由でも、インターネット接続さえあれば、バックアップは継続的におこなわれます。簡単かつ安全にデータのバックアップをおこない、必要な時はいつでも安全にデータを復元することができる、そして大容量なのにリーズナブルなクラウドバックアップです。大切なデザイン資産を、ランサムウェアの被害・火災・地震その他の天災や、盗難・人為的事故からデータを保護します。

Too クラウドバックアップの詳細を見るarrow_circle_right

ネットワークのセキュリティ対策・課題解決をご提案します

Tooのネットワーク環境構築サービスでは、ヒアリングや簡易現地調査をもとに、お客様の環境や運用に合わせたネットワークの再構築・最適化をご提案します。無線LAN、VPN、冗長化、UTM、ルーター、HUB、LAN配線まで一体で見直し、安定性・業務効率・セキュリティの向上を支援します。機材手配から導入作業、アフターサポートまでワンストップで対応します。

ネットワーク環境改善構築サービス

ネットワークを見直して再構築・最適化。そこから業務効率の向上につながります。ネットワーク環境改善構築サービスのページです。無線LAN構築やVPN構築、障害対策としての冗長化LAN構築も承ります。

ネットワーク環境改善構築サービスの詳細を見るarrow_circle_right

---