ランサムウェアの被害報告が続々 「感染経路」から見えてきた“効果的な対策” 専門家に聞いた

[PR／ITmedia]

PR

　ランサムウェア攻撃の被害報告が相次いでいる。2024年6月に攻撃を受けた大手出版社は、約25万人分の個人情報が漏えいしたと発表。復旧に約2カ月間を要し、子会社や取引先に多大な影響が出た。自治体の業務を受託する企業も、6月にランサムウェア攻撃による大規模な個人情報の流出被害に遭った。こうした被害報告や報道をきっかけに、ランサムウェアに対する警戒が改めて高まっている。

　しかし、ランサムウェアの脅威は今に始まった話ではない。情報処理推進機構（IPA）が毎年発表する「情報セキュリティ10大脅威」の組織編で、2021年から4年連続で第1位にランクインし続けている。警察庁や内閣サイバーセキュリティセンター（NISC）が注意喚起するなど、他のサイバー攻撃よりも注目される機会が多い。

　企業も手をこまねいているわけではない。ランサムウェアの被害を危惧してセキュリティ対策を見直す動きがあると話すのは、企業のセキュリティ対策を支援するソフトバンクの山本史明氏だ。昨今の大規模なインシデントを受けて、情報漏えいを懸念する企業からソフトバンクへの相談が増えているという。被害に遭ってしまう原因と対策を聞いた。

※画像はイメージです

相次ぐランサムウェア被害　原因はどこに

　ランサムウェアは、悪意あるソフトウェアを指す「マルウェア」の一種だ。感染したPCやITシステムからパスワードや重要データを窃取するだけでなく、保存されているデータを暗号化したりITシステムをロックしたりして「元に戻してほしければ身代金（ランサム）を支払え」と要求してくる。

　ランサムウェアの登場初期は、個人を狙った数万円規模の攻撃が多かった。次第に企業を標的にした攻撃に移り、身代金の要求額も跳ね上がった。ランサムウェア対策としてデータのバックアップが浸透し始めると、データを窃取した上で「身代金を支払わなければデータを外部に公開する」というように情報漏えいをチラつかせて脅す「二重脅迫型ランサムウェア」という手口も増えてきた。

　国内でも製造業やインフラ事業、医療事業者など業種を問わず被害が後を絶たない。警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、国内の2023年のランサムウェア被害件数は197件だった。報告していないケースもあるとみられている。

企業・団体におけるランサムウェア被害の感染経路（警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より）

ソフトバンクの山本氏（法人プロダクト＆事業戦略本部 セキュリティ事業第1統括部 セキュリティデザイン推進部）

　ランサムウェア攻撃について山本氏は「VPN機器の脆弱（ぜいじゃく）性を突いた攻撃が増えているという傾向にある」と指摘。下請け企業のランサムウェア感染が大手自動車メーカーの操業に影響を与えた事例や複数の病院で発生したインシデントは、VPN機器の脆弱性がランサムウェアの侵入経路になっていた。

　「インターネットを介したサプライチェーンのやりとりが増えるなど社内ネットワークのオープン化によって攻撃対象領域（アタックサーフェス）が広がったこと、テレワークでVPNの利用が増えたことなどが脆弱性を突いた攻撃の増加につながったと考えられます」

　侵入経路はVPNの脆弱性以外にもある。「admin」など容易に推察できるIDやパスワード）を使用したり、ダークウェブに流通している認証情報で正規ユーザーになりすましたりして侵入する手口なども依然として多い。

セキュリティ対策をしたくてもできない

　VPN機器を含むITシステムの脆弱性には早急に対処すべきだ。しかし「病院や工場のOTシステムは、脆弱性を修正するバージョンアップやセキュリティパッチを適用したくても変更が業務に与える影響が大き過ぎて対応が困難なケースが多々あります。『Windows XP』のようなサポート切れのOSを使い続けるしかない状況があります」と山本氏は説明する。

ソフトバンクの田頭直樹氏（法人プロダクト＆事業戦略本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 プリセールス推進課）

　企業の成長に伴ってITシステムが拡大し、複雑化するにつれて社内のIT資産を把握し切れず管理できない事態に陥ることもあると解説するのはソフトバンクの田頭直樹氏だ。

　「企業が管理しなければいけない資産は何千件、何万件に及ぶ場合があります。人員や予算の都合上、全てを適切に管理するのは難しく、やむを得ず一部のみに対応している企業も多くあります」

　結果的に適切な管理やセキュリティ対策が施されていないITシステムが生まれてしまい、ランサムウェア攻撃を許す原因になっている。脆弱性を突かれて一度侵入されてしまうと、企業ネットワークで横展開（ラテラルムーブメント）して重要なデータやITシステムにたどり着く可能性が高い。

「対策に近道はない」　企業ができることは

　ランサムウェア攻撃への対策は必要だが、さまざまな事情から実行に移せない――こんな状況に置かれている企業に対して、ソフトバンクは基本的な対策を一つずつ実施することを推奨している。

　「企業の状況に応じて対策の優先順位が異なります。複数を組み合わせて多層的に守ることが大切ですが、優先度を見極めて対策を順次進めていくことが重要です」（山本氏）

　基本的な対策としては、VPN機器をはじめとするIT資産の脆弱性を把握して管理することが重要だ。エンドポイントのふるまいを監視するEDR（Endpoint Detection and Response）を導入して、異常を速やかに検知、ブロックする体制を整えることも効果がある。

　昨今導入が進んでいるクラウドを利用しているなら、ゼロトラストセキュリティを構成するSASE（Secure Access Service Edge）や、クラウドの脆弱性や設定ミスを検知するCNAPP（Cloud Native Application Protection Platform)を検討するといいだろう。ECサイトなどのWebサービスを提供しているならWAF（Web Application Firewall）による不正アクセス対策が欠かせない。

　100％守り抜くのは不可能でも、ITシステム内のネットワークを細分化してトラフィックを制御するマイクロセグメンテーションを導入すればラテラルムーブメントによる被害の“延焼”を抑えられる。ネットワーク単位での制御ではなく、PCやサーバ、仮想マシンなどのリソースごとに境界を設けることで攻撃者が侵入しても被害の局所化が可能だ。

　山本氏は「セキュリティソリューションを導入しただけで安心してはいけない」と警告する。継続的に監視、運用することでセキュリティ対策は効果を発揮する。自社の人員だけでは難しければ、セキュリティ対策を支援する企業に運用を任せる「マネージドセキュリティサービス」を使うのも手だ。

DXにも役立つ　セキュリティ対策の取り組み方

　定番の対策を全て実施するのが「あるべき姿」だとしても、すぐに実現するのは不可能に近い。自社のビジネスモデルやセキュリティ対策を強化すべきポイント、目指す姿などを踏まえて優先順位を付けてロードマップを描き、着実に実行することが大切だ。

　ソフトバンクは、法人向けビジネスを通して蓄積した知見を企業のセキュリティ対策支援に生かしている。セキュリティ製品ありきで提案するのではなく、企業の課題や中長期的な経営計画、予算などを考慮しながら「最低限これはやりましょう」「今期はここを強化して、来期に次のステップに進みましょう」というように顧客に寄り添うことを第一にしている。

　病院や工場など既存のシステムに手を入れられない場合は、そのシステムの外側を守るセキュリティ対策を導入することでサイバー攻撃の被害を低減させる提案も可能だ。

　同社はマネージドセキュリティサービスを提供しているので、セキュリティ製品のライセンス販売や導入支援にとどまらず導入後の運用まで任せられる。マネージドセキュリティサービスには、通信事業者として培った24時間365日体制の保守運用サポートの知見を生かしている。

　情報システム部がセキュリティ対策に乗り出そうにも、経営層からの理解が得られない場合もある。経営層が「うちは狙われないだろう」「盗まれて困るようなデータはない」「セキュリティ対策を導入したらどんな効果があるのか？」という姿勢のときは、サイバー攻撃を受けた場合の経営インパクトを提示したり、DXを後押しする要素になると説明したりしていると田頭氏は明かす。

　ランサムウェア攻撃の対策はもちろんだが、目先の問題として取り組むのではなくDXや事業拡大を見据えたITインフラやネットワーク全体の見直し作業の一環としてセキュリティ対策は欠かせない。

　「柔軟性が高くてビジネスの成長速度を落とさないITインフラを構築する土台として、セキュリティ製品を組み合わせてインターネットやクラウドを安全に使える環境を整えます。DXを推進し、従業員のエンゲージメントや顧客満足度の向上を図り、業務をより良くするお手伝いができます」（山本氏）

　もちろん、全てをセキュリティ対策の支援企業に丸投げするのは推奨しない。自社にとって何が重要な資産であり、どのようなセキュリティリスクが存在するのか。セキュリティ対策やビジネス変革のためにリスクをどこまで受容するのかなどは企業自身が判断しなければならない。「自社を守るのは自分たち」という意識を持った上で、専門性を持つ事業者の力を借りてセキュリティ対策をするのがいいだろう。

　ソフトバンクが提供している脆弱性診断やセキュリティアセスメントのサービスを利用すれば、リスクの把握や対策の検討に役立つ情報を得られるはずだ。自社のセキュリティ対策について悩んでいる企業は一度ソフトバンクに相談してみてはいかがだろうか。