何度でもよみがえる「ランサムウェア攻撃」、だから何度でも振り返ろう:半径300メートルのIT(2/2 ページ)
IPAがランサムウェアに関する注意喚起を発表しました。これを「またか」と思うのはちょっと危険です。有効な対策は日々変化しています。例えば「企業公式のSNSアカウントが企業と顧客を守る命綱になるかもしれない」としたら?
「データを公開されたくなければ身代金を払え」
標的型ランサムウェア攻撃でデータを暗号化されても、そのデータを諦めてバックアップから復旧すれば良い……と思ってはいけません。攻撃者は組織に侵入し、システムの内部まで把握しています。つまり、システム内の情報は「盗まれている」状態。攻撃者は「データを公開されたくなければ身代金を払え」と脅すのです。IPAは、これを「二重の脅迫」と呼んでいます。
この攻撃の、最もやっかいな点は「ランサムウェアの被害を公表する前に、リークサイトにその情報が公開されてしまうこと」かもしれません。もし企業がランサムウェアの被害を隠ぺいしようとしても、攻撃者は特定組織から情報を盗み出したことをアピールするでしょう。IPAはレポートの中で、
窃取したデータを一度に全て公開するのではなく、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もある。これは、データを窃取した事実や、データを公開することがブラフ(はったり)ではないことを示し、企業・組織に対して身代金の支払いへのプレッシャーを強く与えるための、悪質な手口である。
と述べています。特に企業の第1報が出る前にリークサイトに企業名が掲載されてしまう場合や、企業が情報流出を否定した後に攻撃者が一部の情報を公開したような場合、利用者に与える悪印象は計り知れません。
企業内に「インシデントの旗振り役」はいますか?
IPAのレポートでは、さまざまな標的型ランサムウェア攻撃の被害事例が掲載されています。企業内のセキュリティ担当はぜひしっかりと目を通し、ランサムウェア攻撃の知識をアップデートしておいてください。ランサムウェアによる攻撃はシステム全体に被害が及ぶ場合もあります。メールが使えなくなったりWebサイトを公開できなくなったりすると、利用者に被害状況を伝えたり注意喚起したりすることも難しくなるでしょう。さまざまな規模で障害が発生することを想定すれば、外部のSNSに窓口を用意するなどといった対策も必要かもしれません。攻撃を受けていない「平時」のうちに、想像を巡らせて対応を考えることをお勧めします。
第1報は、外部から来る場合も内部から来る場合もあります。例えばダークウェブを監視していた外部のセキュリティアナリストが企業名を発見することもあるでしょう。特定の部署から「社内システムがおかしくなった」という報告があり、それが第1報とある場合もあり得ます。どのようなきっかけでも「適切なところに適切な情報が滞りなく流れてくること」も立派な対策の一つです。こういった「旗振り役」と「窓口」があれば、サイバー攻撃対策はかなり進んでいると考えてもいいでしょう。
今回のドキュメントを眺めつつ、今の組織に足りない部分がないかをまず確認してみてください。参考資料も多く、日本の組織にとって非常に有用なドキュメントだと思います。
関連記事
- テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
- 頭の片隅に置いておきたい「あの話、どうなったっけ?」
- 政府がセキュリティ対策に「緊急提言」……えっこのレベル? と思ったあなたへ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.