メディア

企業はランサムウェアの攻撃に備えて何をすればいいか：情報セキュリティの深層（2/2 ページ）

» 2017年07月13日 12時30分公開

法人組織が実施すべきランサムウェア対策とは？

　新ファミリーが続々と出現し、さまざまな攻撃手法が使われているのがランサムウェアの現状です。では、継続するランサムウェアの脅威に対して法人組織はどのように対応すればよいのでしょうか。最後にランサムウェアの脅威に対し、法人組織が実施すべきランサムウェア対策のポイントを解説します。ポイントは大きく7つあります。

Web経由の侵入をブロック
メール経由の侵入をブロック
特徴的な動きを検知しブロック
早期発見による被害軽減
横感染による被害拡大を防止
モバイル端末のセキュリティ強化
バックアップデータからの復旧

図4：法人組織におけるランサムウェア対策ポイント

　では1つ1つ見ていきましょう。

対策ポイント1：Web経由の侵入をブロック

　利用しているOSやソフトウェアに、脆弱性を修正するパッチが公開されたら、迅速にそれを適用しましょう。さらにWebゲートウェイ製品を導入して脆弱性攻撃サイトからの攻撃をブロックすれば、ランサムウェアへの感染リスクを軽減できます。

対策ポイント2：メール経由の侵入をブロック

　セキュリティ教育などによって従業員のリテラシーを高め、不審なメールの添付ファイルに対する免疫を高めることも大切です。特に、アイコンで文書ファイルなどに見せかけた実行ファイルを拡張子などで見極める、WordやExcelのマクロ機能が設定されたファイルは開かない、といった対応が必要です。

　しかし、人間はミスを犯すもの。教育に加えてメールゲートウェイ製品を導入できれば、不審なファイルが添付されたスパムメールをブロックできます。従業員のメールボックスにそもそも脅威が届かないようにする、という対策が可能です。

対策ポイント3：特徴的な動きを検知しブロック

　ランサムウェアは、データを暗号化するために必要な暗号化鍵を、外部の不正なサーバ（C&Cサーバ）からダウンロードしたり、短時間で複数のデータを次々に暗号化したりと、普通のアプリケーションソフトにはない、独特の活動を行います。そのため、セキュリティ製品によってランサムウェアと外部のC&Cサーバとの通信をブロックして、暗号化鍵のダウンロードを阻止したり、不正な暗号化の動きを検知したりしてランサムウェアの活動を停止させる対策が効果的です。

対策ポイント4：早期発見による被害軽減

　法人組織の場合、PCなどが1台でもランサムウェアに感染すると、感染した端末内のデータだけでなく、共有ネットワーク上に保存されているデータも暗号化されることがあり、被害が深刻化します。ランサムウェアがネットワーク上のデータを暗号化する場合、データ量によっては数時間を要することがあるため、感染を検知し端末を特定することができれば、被害の拡大を食い止めることができます。万が一に備え、内部ネットワークを監視し、感染を早期に発見する対策も重要です。

対策ポイント5：横感染による被害拡大を防止

　WannaCryのように、OSやソフトウェアなどの脆弱性を狙ってワームのように感染を拡大させるランサムウェアに対しては、サーバ対策製品を導入し堅牢（けんろう）化することで、ランサムウェアの横感染による被害拡大を阻止することができます。今後も端末感染後に、法人組織内で横感染を仕掛けてくるランサムウェアが出現することは十分予想されるため、サーバのセキュリティ強化を検討する必要があります。

対策ポイント6：モバイル端末のセキュリティ強化

　ランサムウェアの標的は、PCからモバイル端末にも拡大しています。特にAndroid端末については、さまざまな不正アプリが確認されており、中でもランサムウェアは深刻な脅威になっています。法人組織でもモバイル端末のセキュリティを強化することをお勧めします。

対策ポイント7：バックアップデータからの復旧

　ランサムウェアに暗号化されたデータを復号することは困難であり、そうした場合に備えて、業務上特に重要なデータについては定期的にバックアップを取得しておくことも重要です。そのためにも、法人組織においては、自組織が保有するデータの洗い出しを行い、重要なデータへの対策を重点的に行う運用が現実的です。さらには、ランサムウェアにデータが暗号化された場合、バックアップデータから復旧する手順についてもあらかじめ確認しておくと良いでしょう。

　バックアップの際には、自身のファイルのコピーを3つ取り、それぞれ異なる場所に保存するのが理想的です。記録メディアなどに保存する際には、2つの異なる種類のものに保存すべきです（例えばHDDとUSBメモリーなど）。最後に、3つのコピーのうち、1つは他の2つとは異なる場所に保存します（例えば自宅とオフィスなど）。定期的なデータのバックアップには、この「3-2-1」ルールを実践することをお勧めします。

　なお、同じネットワーク内にバックアップがあると、復旧が容易に思えるかもしれませんが、バックアップファイルも暗号化されてしまうリスクがあります。

　今回はランサムウェアの最新の被害状況とその手口を解説するとともに、法人組織が実施すべき対策ポイントについてご紹介しました。2017年もランサムウェアが深刻な脅威であることは間違いありません。継続的に出現し続けるランサムウェアとそのさまざまな攻撃手法を踏まえ、法人組織ではあらためて自組織のセキュリティ対策の実施状況を見直すことが重要となります。

著者プロフィール

トレンドマイクロコアテク・スレットマーケティンググループ　山外一徳

大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクトなどのセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。

2017年は標的型ランサムウェアや振り込め詐欺に注意、トレンドマイクロが予想
同社は2016年が「サイバー脅迫元年」だったと指摘。昨年のサイバー犯罪動向と2017年の脅威予想を解説した。
法人向けウイルスバスターに新版、マルウェア検出機能をさらに多層化へ
トレンドマイクロが「ウイルスバスターコーポレートエディション XG」を発表し、機械学習技術を使って新種マルウェアの検知精度を高めるという。
ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。
世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
ランサムウェア「Petya」の新しい亜種による大規模攻撃が発生。ウクライナを中心に、重要インフラがダウンするなどの大きな被害が出ている。
トレンドマイクロ、ウイルスバスター最新版を発表　ランサムウェア対策を強化
今後1年間にウイルスバスターシリーズで1800万ユーザーを目指す。