2024年7月現在、ランサムウェアによって地方自治体や大手出版企業や大手学習塾において個人情報を含む情報の流出がされております。
企業のシステム部門の担当者として、上司から「セキュリティ対策は大丈夫なのか?」と問われたとき、ランサムウェアの脅威に対する備えは特に重要です。
ランサムウェアからどう身を守れば良いのか。生活に近い存在となったランサムウェアについて詳しく触れていきます。
ランサムウェアとは?
「身代金」を意味する英語(ランサム(Ransom)とソフトウェア(software)を組み合わせた造語で、パソコンやスマートフォン等のIT機器をウェルスに感染させ、保存されているファイルやデータを暗号化させ使用できなくします。
その後、暗号化したデータを元に戻す代わりに身代金を要求するウイルスです。
ランサムウェアに感染するとどうなるのか?
感染をすると下記のような症状がおきます。
ランサムウェアに感染すると、以下のような深刻な影響が業務に及びます。
- ファイルやデータの暗号化
感染すると、業務に必要な重要なファイルやデータが自動的に暗号化され、アクセスが不可能になります。これにより、日常の業務プロセスが停止し、顧客データやプロジェクトの進捗状況、財務記録など、業務の中心となる情報が利用できなくなります。暗号化されたデータを復号するためには、攻撃者から要求される身代金を支払うことが求められますが、支払ったとしてもデータが完全に復元される保証はありません。これにより、業務の継続性が大きく損なわれるリスクが生じます。 - パスワードの無断変更
ランサムウェアはシステム内のアカウントパスワードを勝手に変更し、正規のユーザーがシステムにアクセスできないようにすることがあります。これにより、社内システムやアプリケーションへのアクセスが制限され、ITチームが緊急対応を余儀なくされます。特に、業務の重要なアカウントが制御不能になった場合、通常の業務活動が完全に停止する可能性があります。 - 画面のブロック
一部のランサムウェアは、感染したデバイスの画面を完全にロックし、ユーザーが端末を操作できなくすることがあります。この状態では、業務に使用するパソコンやサーバーが全く使用できなくなり、業務の一時停止や遅延が発生します。特に、業務に必要なソフトウェアやシステムにアクセスできない状態が長引くと、企業の生産性が大幅に低下し、納期の遅延や顧客対応の遅滞につながる危険があります。
ランサムウェアによるこれらの攻撃は、企業の通常業務や生産活動に多大な支障をもたらします。ファイルが使用できない状態やシステムへのアクセスが制限されることで、業務が完全に停止し、復旧に多額のコストと時間がかかる場合があります。また、機密データが失われることで、信用の失墜や法的責任が発生するリスクも考えられます。従って、企業としてはランサムウェアに対する防御策を講じ、感染リスクを最小限に抑えることが不可欠です。
感染した場合の対応方法
- ネットワークの遮断
感染が疑われたら、まずネットワーク(LANケーブルやWi-Fi)を即座に遮断し、被害の拡大を防ぎます。 - ランサムウェアの種類の特定
種類を特定することで、適切な対策が可能になります。 - データの復元
バックアップがあれば、感染前の状態にデータを復元できます。
事前対策が最も効果的
ランサムウェアに感染してからでは、被害の影響は甚大です。最も効果的な対策は、感染を未然に防ぐことです。Cloudflareを導入することで、ネットワークへの攻撃をブロックし、ランサムウェアの侵入を防ぎ、リアルタイムの脅威検出やその脅威への自動対応で、企業のセキュリティを強化することが可能です。
事前対策をすることで、感染するリスクを減らすことができるほか、感染した場合も被害を最小限に抑えることが可能です。
ランサムウェアの侵入方法
1. フィッシングメール
フィッシングメールはランサムウェア攻撃の最も一般的な手口です。攻撃者は、信頼できる組織を装ったメールを送り、受信者に添付ファイルを開かせたり、リンクをクリックさせたりします。これにより、受信者のデバイスにランサムウェアがダウンロードされ、実行されます。フィッシングメールは、巧妙に偽装されているため、気づかずに開いてしまうことが多いです。
2. 脆弱性の悪用
ソフトウェアやオペレーティングシステムの脆弱性を悪用してランサムウェアを仕掛けます。攻撃者は、既知の脆弱性を持つシステムをスキャンし、未更新のソフトウェアやパッチが適用されていないシステムを狙います。このような脆弱性を悪用することで、攻撃者はシステムにアクセスし、ランサムウェアをインストールします。
3. リモートデスクトッププロトコル (RDP) の悪用
RDPはリモートでデバイスにアクセスするためのプロトコルです。攻撃者は、弱いパスワードや未保護のRDP接続を利用してシステムに侵入し、ランサムウェアを展開します。RDPの脆弱性を狙った攻撃は増加しており、特にリモートワークが一般化した現在では注意が必要です。
4. マルウェアの拡散
ランサムウェアは、感染したデバイスからネットワーク内の他のデバイスに拡散します。これにより、組織全体が一度に影響を受ける可能性があります。感染は、共有フォルダやネットワークドライブを通じて広がることが多く、被害の範囲が急速に拡大します。
5. ソフトウェアバンドル
正規のソフトウェアに悪意のあるプログラムをバンドルして配布する手法です。ユーザーが無料ソフトウェアをダウンロードする際に、気づかないうちにランサムウェアがインストールされることがあります。
このような形で侵入し、悪意のある者によって、データを抜き取られてしまいます。
ランサムウェアの侵入を防ぐための対策方法
バックアップ: データを定期的にバックアップし、バックアップはオフラインで保管します。これにより、ランサムウェア攻撃を受けた場合でもデータを復元できます。
ソフトウェアの更新: オペレーティングシステムやアプリケーションのパッチを定期的に適用し、脆弱性を修正します。
強力なパスワードと多要素認証 (MFA): 強力なパスワードを使用し、多要素認証を導入することで、不正アクセスを防ぎます。
従業員の教育: フィッシングメールの識別方法や安全なインターネットの使い方について、従業員を教育します。
ネットワークセグメント: ネットワークを分割して、感染が広がるのを防ぎます。例えば、重要なシステムやデータへのアクセスを制限します。
Cloudflareがランサムウェアに対してできること
1. Webアプリケーションファイアウォール (WAF)
CloudflareのWAFは、ランサムウェアを配布するために悪用される可能性のある脆弱性をブロックします。SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃からウェブアプリケーションを守ります。最新の脅威情報に基づいて更新され、知られている攻撃パターンを迅速に検出して対応します。
2. DDoS防御
DDoS攻撃は、ランサムウェア攻撃の一環として実行されることがあります。CloudflareのDDoS防御サービスは、大規模なトラフィックを吸収し、ウェブサイトやサービスの可用性を確保します。
こちらでも詳しく解説しております。
https://cloudflare.domore.co.jp/knowledge/denial-of-serviceattack/
3. Secure Access Service Edge (SASE)
CloudflareのSASEソリューションは、ネットワークとセキュリティ機能を統合した包括的なプラットフォームです。従来のオンプレミスのセキュリティ対策ではカバーしきれない、リモートワークや分散型の働き方に対応したセキュリティを提供します。
具体的には、リモートで働く従業員がどこからアクセスしても、統一されたセキュリティポリシーを適用し、ネットワーク全体を保護します。これにより、企業の内部ネットワークにランサムウェアが侵入するリスクを大幅に減少させます。さらに、アクセス管理やトラフィックの監視をリアルタイムで行い、異常な活動を即座に検出し対応することで、セキュリティレベルを強化します。
https://www.cloudflare.com/ja-jp/products/zero-trust/sase/
4. ゼロトラストセキュリティ
Cloudflareのゼロトラストセキュリティは、すべてのリクエストを検証し、信頼できるユーザーのみがアクセスできるようにします。これにより、感染したデバイスがネットワークにアクセスするリスクを最小限に抑えます。
https://www.cloudflare.com/ja-jp/zero-trust/
5. DNSフィルタリング
CloudflareのDNSサービスは、既知のマルウェアホスティングサイトへのアクセスをブロックし、ランサムウェアがダウンロードされるのを防ぎます。
6. SSL/TLS暗号化
Cloudflareは、通信の暗号化を提供し、中間者攻撃(MITM)から保護します。これにより、攻撃者がネットワークトラフィックを傍受してランサムウェアを配布するのを防ぎます。
まとめ
Cloudflareのセキュリティソリューションを利用することで、これらの脅威から効果的に守ることができます。
WAF、DDoS防御、ゼロトラストセキュリティモデルなどの機能を組み合わせることで、総合的な防御を実現できます。