【コラム】近年急増しているランサムウェア攻撃と被害に遭った時の企業の対処法を解説します。

 大企業から中小企業まで被害が急増、拡大している「ランサムウェア(攻撃)」ニュースで取り上げられることも多くなり、耳にしたことがある方も多いのではないでしょうか?今回は、企業やビジネスパーソンにとってもやは他人事ではなくなったランサムウェアについて解説するとともに被害に遭ってしまった時にどう対処すれば良いのかも説明します。



 ランサムウェアとは?

 身代金を要求しつつ企業に対してハッキング攻撃をすることをランサムウェア攻撃言います。




 実際の手口は

 まず企業のデータベースもしくはファイルサーバーに侵入し、格納されているデータを暗号化するという攻撃手法でして、同時にサーバーにランサムノートと言われる脅迫文を置いていきます。そこには「この暗号化されたファイルデータを解いてほしければビットコインを支払いなさい」といった脅迫が書かれていて、暗号資産を脅し取る手法です。

 ただ、昨今の手口は、このデータの暗号化だけではなく不正侵入した際に企業のデータの一部を盗み出すということを同時に行います。仮に身代金を支払うことがなければ、盗み出したデータをダークウェブ上のリークサイトに公開します。ダークウェブ上には攻撃者集団のサイトがあり、そのサイトに会社名とドキュメントをアップして公開すると脅迫をして来ます。データの暗号化とデータの窃取を同時に行うというのが今の手口です。




 攻撃に遭った企業の対応

 企業の初動対応としては、まず攻撃の検知をするとになります。これは明確で、ユーザーが使っているデータが暗号化されていたり、暗号化したという表示があるので、攻撃を検知することになります。

 攻撃を検知をすると今度は「どの範囲で攻撃を受けたか?」「どのサーバーが対象になってるか?」「どのエンドポイント(PCなど)が対象になってるか?」を調査をします。これを「フォレンジック調査」と言います。その中で影響範囲を確定して被害を特定をしていくわけですが、データも盗み出されていることがありますので、どのサーバーのどのファイルが外部に盗み出されたのかということも調査をするというのが初動対応の第1歩になってきます。

 その上で企業としては、ファイルサーバーに入ってるデータをいかに復旧するかということが問題になります。例えば、ファイルサーバーにあったデータのコピーが他のサーバーにあるとか、または別のデータベースに格納されている場合には、それを集めて業務に必要なデータを復元していくことになります。復元といっても暗号化されたものを解凍するのではなく、バックアップとして保存されてるものを集めてそして取り揃えていくということがリカバリーの内容になってきます。





 その他の対応

 前段で検知調査と記載しましたが、これ以外にも同時並行的に企業が対応しなければいけない事項があり、その優先順位を定めて実施していきます。これをトリアージと呼んでます。同時に実行しなきゃいけない多数のアクションの優先順位を付けていくわけです。

 例えば、(1)日本の個人情報保護当局、個人情報保護委員会であったり、業界を管轄してる監督官庁に対する報告をする。(2)警察に対して被害申告、被害届を提出する。また、(3)不正アクセスという犯罪行為に対して告訴するということもあります。さらには、(4)公表措置です。実際にどういう被害に遭ったか利害関係のある人に対して公表していく必要があります。どんなプレスリリースを出すか、いつ出していくか、ということも同時並行的に実行する。これをトリアージという手続の中で誰がどういう時間軸で実行するかということを整理をしながら優先度高いものから実行していくということを行ってきます。

 最終的には実際の業務のリカバリーが終わって当局対応、公表対応、被害者への説明や補償など被害者対応を行って、最後に原因究明に絡めた再発防止策を策定していくことになります。以上の流れが一連のランサムウェア攻撃の対応策ということになってきます。





 今後のランサムウェア

 攻撃手法というのはある種のトレンドがあります。冒頭のように暗号化と情報の窃取を同時に行っていくという手口がありますが、しばらくはこういったトレンドが続くんだろうと思います。

 ただしハッキング集団の手口というのは、そのシステムやネットワークの構成によって様々な手段を仕掛けてくるということがありますので、トレンドになっている攻撃手法に対応することはもちろんのこと企業においてどんなシナリオ、どんな侵入経路でデータが盗み出されるのか、システムに対して攻撃を受けるのかということを平時からしっかりと洗い出すこと、これを『脅威シナリオ』と呼んでますが、この脅威シナリオをしっかり洗い出して随時対応策をアップデートしていくということが必要です。