コラム

 公開日: 2016-06-21  最終更新日: 2016-07-11

ランサムウェアの被害が法人にも拡大、その対策とは

最近、ランサムウェアに関するニュースが増えてきています。ランサム(Ransom)とは英語で「身代金」の意味であり、ランサムウェアは、何らかの方法でPCの操作を妨害して「人質」とすることで、機能回復させるために金銭を「身代金」として要求する、悪意のあるプログラムです。よく知られているのはファイルを暗号化して身代金を要求するポップアップ画面を表示するものですが、PCの画面に不適切な画面や画像を表示し続け、その画像を消すために身代金を要求する形式もあります。
今回はランサムウェアの被害状況とその対策について確認します。

ランサムウェアによる被害状況

先日、トレンドマイクロから発表されたレポートによると、ランサムウェアの感染被害が急拡大していることがわかります。国内では2015年後半から被害が急増しており、四半期で2倍以上の伸びを示しております。2016年第1四半期のランサムウェア検出台数は8,000件を超えており、昨年1年間の検出台数を既に上回っております。
国内ランサムウェア検出台数推移
被害状況を個人と法人とに分けて確認してみると、昨年は個人ユースのPCにおける被害が多かったのですが、今年に入って法人ユーザーの被害拡大が顕著となっています。前四半期と比較してみると、個人ユーザーの被害は約2倍ですが、法人ユーザーの被害は4倍以上となっております。
ランサムウェアは金銭目的の攻撃であることから、インターネットバンキングにおける不正送金と同様、より資金があると考えられる法人組織にターゲットをシフトしてきていると考えられます。法人の場合、ランサムウェアに感染したPCだけでなく、ネットワーク接続されたファイルサーバーのドライブも暗号化の対象となってしまうため、ダメージが非常に大きくなります。そのため、暗号化されたデータファイルを復旧しないと業務を継続できず、かつバックアップからの復旧に多大な時間がかかるような場合は、金銭の支払いに応じる可能性が高いと考えられることも、ターゲットが法人にシフトする一因であると考えられます。

ランサムウェアで身代金を支払うべきか?

今年の2月に米国ロサンゼルスの病院がランサムウェアの被害に遭った件で、この病院はシステム復旧のために40ビットコイン(約1万7000ドル、日本円で約200万円)を支払った、というニュースがありました。企業から見れば、システム復旧にかかる労力や業務中断期間を考えると、数百万円程度でシステム復旧が可能ならば安いものだ、と考えるかもしれません。
このように短期的な視点だと「身代金を支払うのも止むなし」と考えられるかもしれませんが、中長期的な視点で考えた場合、身代金を支払うことは避けるべきであると考えます。

第1の理由として、身代金を支払ったからといって、複合キーが獲得できることは何ら保障されないからです。ランサムウェアを送り込んだ攻撃者にとっては、要求した身代金を獲得すれば目的は達成されるので、約束通り複合キーを渡すかどうかは大きな問題ではありません。身代金を獲得したまま、行方をくらますことも十分ありえます。

第2の理由として、繰り返し身代金の要求を受ける可能性が高くなるからです。一度身代金を支払うことで、ランサムウェアを送り込んだ攻撃者は、「ここからなら何回も身代金要求ができる」と考え、再度ランサムウェアを埋め込んだメールを送信して、さらに身代金を獲得しようとするでしょう。また、一度身代金を受け取った後、複合キーを渡す代わりに身代金の上乗せを要求することもありえます。もっと恐ろしいことは、ランサムウェアによる攻撃者が身代金を支払った被害者のリストを他の犯罪者に渡してしまうことです。その場合、被害者は様々な事件に巻き込まれる可能性が発生します。

第3の理由として、身代金を支払うことで、攻撃者をさらに厄介な存在にしてしまう可能性が高いことです。ランサムウェアの身代金は多くの場合、法外な金額ではなく、被害者が支払い可能な範囲に収まっています。それは、攻撃者にとって金銭を獲得することが最大の目的だからです。そのため、攻撃者は繰り返し様々なターゲットにランサムウェアを送付し、身代金を獲得する必要があります。繰り返し攻撃を行うためには、ランサムウェアやランサムウェアを送り込む手段を高度化していかないと、時間が経つにつれて防御される可能性が高くなってしまいます。獲得した身代金をその高度化作業の資金源として活用することで、より攻撃力の強い攻撃者を生み出すことになりかねません。

ランサムウェアの対策

こうしたランサムウェアの被害に遭わないための対策としては、一般にコンピュータウィルス対策として行われている内容とほぼ同じであり、これを徹底することが基本となります。

対策1:ランサムウェアに感染しないための予防策の実施
OSやソフトウェアのバージョンを最新にし、最新のセキュリティパッチを適用すること、さらに市販のセキュリティソフトを導入して定期的なチェックを行うことで、「ランサムウェア」に感染するリスクを低減することができます。
また、送信元や件名、内容に不審な点があるメールを開封したり、不審なURLのサイトやリンク先にアクセスしたりすることは避けるべきです。この内容については例示を行う等、なるべく具体的な形で従業員等に知らせるようにすべきです。

対策2:ランサムウェアに感染しても復旧可能なバックアップの取得
上記の対策1でランサムウェアの感染を完全に防ぐことができればいいのですが、メールを開けたり、リンク先にアクセスしたりするのは最終的には人間の判断になるので、どうしてもミス等が発生し、感染の可能性が残ります。そのため、ランサムウェアに感染しても元のファイルに戻せるよう、バックアップを適切に取得することが重要です。
ここで注意すべきなのは、ローカルディスクのデータをファイルサーバーにコピーするだけではランサムウェアの被害から逃れられないことです。上述の通り、常時接続されているネットワークドライブはランサムウェアの暗号化対象となるので、そのままではバックアップファイルも暗号化されてしまいます。これを避ける手法として、以下が考えられます。

1.バックアップを保存するフォルダーには、PCにログインするユーザーの権限では編集や書き込みの権限を付与しないようにします。また、普段ログインするユーザー権限には管理者権限を付与しないことが望ましいと考えます。

2.データ復元機能を有するクラウドストレージにバックアップを取得することで、暗号化される前の状態のファイルに戻すことが可能です。DropBoxであれば30日前、Google Driveであれば25日前までの状態に復元することが可能です。

3.外付けのハードディスクやUSBメモリ等にバックアップを取得します。バックアップ取得専用の外部媒体をバックアップ作業の時のみ接続することで、ランサムウェアの被害から逃れることができます。

以上いずれの場合も、バックアップデータを戻すのはPC内のランサムウェアを駆除した後に行わなければなりません。

対策3:もしランサムウェアに感染したら
ランサムウェアに感染し、データファイルが暗号化されたらバックアップから戻すのが通常の手順になります。しかし、何らかの理由で暗号化されたデータファイルを復活させたい、という状況が発生するかもしれません。その場合、確実とは言えませんが、データ復元の可能性がある方法について、参考までに紹介します。

第1の方法は、Windowsの「シャドウコピー」機能を使うことです。「シャドウコピー」とは、通常のバックアップとは別にスナップショットを作成、保存することでデータの復元に活用できる可能性があります。ただし、意図したバックアップ機能でないため、利用領域の状況によって古いデータは削除されてしまう可能性があります。また、こうしたスナップショットを破壊するランサムウェアも存在するため、有効な手段であるとは言い切れません。

第2の方法は、セキュリティ関連会社が提供する復元ツールを利用する方法です。PCに感染したランサムウェアの名前が分かれば、ネット上で検索することで復元ツールが見つかる可能性があります。当然のことながら、すべてのランサムウェアに対応している訳ではありませんので、大きな期待はできないと考えます。

現在の状況から考えると、今後もランサムウェアによる被害は増加する傾向にあると考えられます。また、完全に予防できる手段があるわけではありません。特に不審なメールやサイトから送り込まれるランサムウェアについては、最終的には人間の判断に委ねられてしまいます。技術面での対応と同時に、従業員の教育にも注力していく必要があると考えます。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ