【2022年4月】ランサムウェア対策を公開資料から検討する
IPAのセキュリティ10大脅威組織編ではトップに君臨するランサムウェアですが、その手口や脅迫は高度化が進んでいます。
今回は2022年4月に警察庁から公開された資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」を参考に、日本におけるランサムウェアの現状と対策の解説をします。
※本記事で引用する図表は全て警察庁公開の「令和3年におけるサイバー空間をめぐる脅威の情勢等について」から引用しています。また、内容は筆者の独自解釈によるものです。
サイバー空間をめぐる脅威の情勢等(警察庁HP)
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
令和3年におけるサイバー空間をめぐる脅威の情勢等について(警察庁 広報資料)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf
ランサムウェア感染報告の推移
統計開始の令和2年下期から急激な右肩上がりの状態です。
この傾向は今後も続くとみられ、日本国内においても決して他人事ではない状態にあることがうかがえます。
当然のことながら、これは報告件数ですので実際に発生している件数はこれよりも多いと考えられます。
被害企業の規模
割合からすると中小企業の方が多いように見えますが、”国内企業の90%以上が中小企業”という日本の事情を考慮すると、そもそも母数が少ないのに34%も被害報告がある大企業の方が狙われやすいということが見えてきます。
これは社員数が多いというよりも、ネットワークの規模が大きくVPN機器などのセキュリティホールを生み出しやすいという背景があると考えられます。
攻撃者からすればセキュリティホールの数は関係がなく、ただ侵入口があるかないかが重要なので結果として大企業の方が被害が発生しやすいのでしょう。
復旧時間
復旧時間には大きなばらつきがあります。即時~1週間という楽観的な数値もあれば1か月以上という悲観的な数値もあります。
このばらつきの要因として、後述する”バックアップから復旧できるかどうか”が大きく影響しているとみられます。
対応が1週間以上に及んでいるパターンは”バックアップからの復旧に失敗した”パターンではないかと思われます。
調査・復旧費用の総額
こちらも復旧時間同様に大きなばらつきがあります。
導入しているネットワークの規模やランサムウェア感染による影響範囲によって金額のブレがあるものとみられますが、5000万円以下の費用がほとんどということが分かります。
リスク対応としてサイバー保険の導入を考える場合、ランサムウェアの調査復旧費用の補填額は5000万円程度にしておけばある程度カバーできるでしょう(当然のことながら目安と考えてください)。
ただし、この費用はあくまで調査・復旧費用の総額であり”事業への影響や操業停止に伴う損失”は含まれていません。
このことを考慮すると、企業や事業規模にもよりますが1億円程度の補填額を契約したほうがよいでしょう。
感染経路
ランサムウェアに限らずマルウェアの侵入としてはメール経由がよく知られていますが、この統計ではメールから侵入されたパターンは相対的に少ないことが分かります。
つまり、ばらまき型ランサムウェアよりも標的型ランサムウェアの方が被害に繋がりやすいことが見えてきます。
最も多いのがVPN機器からの侵入であり、これはVPN機器に存在していた脆弱性の解消がされておらず侵入に利用されたのではないかとみられます。
VPN機器に限らずネットワーク機器はPC同様に脆弱性が見つかることがありますが、安定稼働最優先のネットワーク機器のパッチ適用やファームウェア更新はよく忘れられます。
この統計からすべき対策は”インターネットに露出しているネットワーク機器を把握し、脆弱性を残さないよう管理すること”です。
最低限としてこれぐらいのことをやっておかなければ、攻撃者は容易に脆弱性を悪用してきます。
次点としてリモートデスクトップからの侵入がありますが、これはテレワーク浸透という背景が影響しているかもしれません。
脆弱性を残さないことはもちろんのこと、認証には必ず多要素認証を実装してください。
また、可能であればアクセス元IP制限(国外IP拒否やホワイトリスト等)やログの監査(深夜や業務時間外にアクセス試行ログがないか)を実施してください。
組織内ネットワークにあるリモートデスクトップ用PCが攻撃者によって操作されると、攻撃者は組織内ネットワークであらゆることができます。
被害企業のウィルス対策ソフト導入状況
この統計はある意味恐ろしいものですが、導入していたウィルス対策ソフトがほぼ役に立っていないことが見えてきます。
標的型ランサムウェアの場合、攻撃者はネットワーク内を探索したりすることで利用しているセキュリティソフトを把握します。そしてセキュリティソフトに合わせて検出の回避策をとっているものと思われます。
この統計からウィルス対策ソフトがあっても意味はない、ということではありませんがウィルス対策だけでなくふるまい検知や多層防御の機能を備えたソフトやEDRの導入が必要です。
これらソフトの導入が難しい場合は、後述のバックアップ保全だけは何としても死守してください。
バックアップの取得と復元
ランサムウェアはデータの暗号化をして金銭を要求する攻撃ですが、この時に頼みの綱となるのがバックアップの存在です。
統計では88%の企業がバックアップを取得していたにも関わらず、内70%の企業がバックアップの復元に失敗しています。
要因としては攻撃者によりバックアップデータを復元できない状態にされてしまったことが考えられます。
この”バックアップから復元できるかどうか”が復旧時間や調査対応費用に大きく影響しているとみられます。
ランサムウェアの脅威からバックアップを保全するには下記の要件を満たすようにしてください。
- 単純なコピーではなく差分コピーして復元するデータの日付を選べること
- ネットワークから切り離されたバックアップデータを最低1つは確保すること
- ベアメタル回復(OSが起動しなくても復旧できる仕組み)に対応していること
- バックアップの保存に失敗していないことを日々の運用で確認すること
- データだけではなくシステムの設定も含めてバックアップすること
- 復旧手順がマニュアル化されていること
単純なコピーではなく差分コピーして復元するデータの日付を選べること
例えば1日1回、データをコピーしてバックアップを上書きしているとします。
もしランサムウェアに感染すると、感染した状態がバックアップされてしまいバックアップから復元しても感染したままという状態になります。
ランサムウェアに感染する前の日付に戻せるようにしておいてください。戻せる日付(RPO)も1か月間などある程度長期に確保してください。
ネットワークから隔離したバックアップデータを最低1つは確保すること
内部犯行でなければ攻撃者は全ての工程を遠隔操作で実施します。
LTOテープや不変ストレージなど、ネットワークからは変更できない(手が出せない)場所にバックアップを最低1つは確保します。
ベアメタル回復(OSが起動しなくても復旧できる仕組み)に対応していること
ランサムウェアに感染した場合、OSが動くこともあれば動かないこともあります。
もしOSが起動しない場合、OS上で動作しているバックアップソフトも動かない状態を想定する必要があります。
バックアップの保存に失敗していないことを日々の運用で確認すること
何らかの障害によって、そもそもバックアップが正常に取得されていないことが、いざ復元するときに判明することがあります。
バックアップに失敗した場合はメールやsyslogなどで通知し、速やかに解決することを日々の運用で実施してください。
データだけではなくシステムの設定も含めてバックアップすること
バックアップといってもデータだけコピーすればいいというものではありません。
システムはOSにしかるべき設定がされていて初めて稼働するものなので、それらの設定も含めてバックアップ対象としてください。
システムの稼働に必要な設定値(DBのパスワードやなんらかの認証情報)が消失したためにバックアップのデータが使い物にならないケースがあります。
復旧手順がマニュアル化されていること
復旧の順番を間違えて復元に失敗することがあります。
復元するつもりが再バックアップを実行してしまい、バックアップデータを上書きしてしまったなどのオペレーションミスによるものです。
また、マニュアル化して実際に復旧テストまでしておけばベストです。
これだけの対策を全てのサーバー、全てのPCに施すことは難しいので、”最低でもこれだけは死守しなければならない”というデータを選択してください。
IT環境や組織方針にもよりますが、クライアントPCのデータは見切りをつけて基幹システムのDBだけは死守する、という判断は有効な判断だと私は考えます。
サーバーのデータバックアップについてはArcserveやAcronisなどの専用製品を使うことを強くお勧めします。
まとめ
- VPN機器やリモート端末を狙う標的型ランサムウェアが被害になりやすい
- 調査費用や復旧時間はばらつきが大きい
- ウィルス対策ソフトだけでは防げないことが多い
- バックアップの死守が非常に大切
また、有用な統計資料作成並びに公開してくださっている警察庁に感謝いたします。