会社運営に役立つ法令情報

 企業や教育機関、医療機関、行政機関など様々な組織が、ランサムウェア攻撃によって被害を受けています。ランサムウェアは、コンピュータに感染し、データを暗号化して使えなくし、その復元の対価として金銭を要求するコンピュータ・ウイルス（不正プログラム）です。近年、被害件数が増加するとともに悪質化してきています。どうすれば被害を防止できるのか。また、攻撃を受け、被害に遭った場合、どのように対応していけばよいのかを解説します。

1:ランサムウェアとは？
ランサムウェアとは、「身代金」を意味する英語「ランサム（Ransom）」と「ソフトウェア（Software）」とを組み合わせた言葉です。パソコンやスマートフォンをウイルスに感染させて、保存されているファイル等のデータを勝手に暗号化することで使用できない状態にした後、それを元に戻すことと引き換えに「身代金」を要求する不正プログラムです。

ランサムウェアに感染すると、ファイルが暗号化されて使用できなくなり、パソコンの画面には、ファイルの復号のための金銭の支払いを要求するメッセージ、又は連絡先が表示されます。 万一、会社の業務システムやオンラインシステムなどが感染すると、通常の業務運営ができなくなってしまいます。実際に国内の大手メーカーにおいて、受発注システムがランサムウェアに感染したため、工場の操業を一時停止せざるを得なくなった事案も発生しています。

2:ランサムウェアの感染経路や手口は？
近年のランサムウェアに感染させる主な手口は、テレワーク等のために用いられるVPN※機器を始めとするネットワーク等のインフラの脆弱性や強度の弱い認証情報等を狙って企業・団体のネットワークに侵入する手口です。

また、従来の手口は、ランサムウェアがデータを暗号化してパソコンを使えなくして、元に戻すための対価を要求するというものでしたが、新たな手口として、ネットワーク内のデータを盗み取って「身代金を支払わなければ、このデータを公開する」という「二重恐喝（ダブルエクストーション）」と呼ばれる、より悪質なものも確認されています。

さらに、データを暗号化する（ランサムウェアを用いる）ことなくデータを盗み取り対価を要求する手口「ノーウェアランサム」による被害も確認されています。

※VPN：「Virtual Private Network」の略で「仮想専用線」と呼ばれます。拠点間を仮想の専用線で結び安全に情報をやり取りするための仕組みです。オフィスにVPN装置を設置し、パソコンにインストールしたVPN接続用のソフトウェアからオフィスにアクセスすることで、テレワークを実施することができます。



3：被害の未然防止や軽減のために企業ができる対策は？
インターネットが普及した昨今、企業・団体においてもインターネットやパソコンは、ビジネスや業務運営で欠かせないものとなっています。あらゆる企業・団体がインターネットでつながって業務が行われていることから、全ての企業・団体においてランサムウェア対策に取り組む必要があります。 ランサムウェアによる被害の未然防止対策として、主に次のようなものがあります。

個々の社員が行う対策
●不審なメールやウェブサイトを開かない
近年のランサムウェアはVPN機器等のぜい弱性を悪用する例が多くなっていますが、特定の社員等を狙う標的型攻撃メールも依然として多数報告されており、メールやSNSの添付ファイルを開いたり、メールの本文に書かれたURL（リンク先）へアクセスしたりすることでウイルスに感染したり、認証情報を盗み取られたりすることがあります。ウイルス対策ソフトなどでも検知できない未知のウイルスも存在しますので、メール等の送信者、文面、添付ファイルなどに注意を払い、心当たりがない場合や内容に不自然な点がある場合は、ファイルを開いたり、リンクをクリックしたりしないようにしましょう。

また、夏休みなどの長期休暇明けにメールを開封するときは十分に気を付けてください。長期休暇明けは、多くのメールが溜まってしまい、あまり慎重に確認せずに開封しがちです。送信元のメールアドレスは偽装されていることも多いので、たとえ取引先からのメールでも疑問に感じたら、面倒でも送信元の本人に確認をするようにしましょう。

●パスワードは適切に設定・管理する
パスワードは、次のことに留意して設定しましょう。
・最低でも10文字以上の文字数で構成する
・パスワードの中に数字や、「＠」、「％」「“」などの記号も混ぜる
・パスワード内のアルファベットに大文字と小文字の両方を入れる
・サービスごとに異なるパスワードを設定する（使いまわしをしない）

●管理者の許可を得ずソフトウェアをインストールしない
業務や作業に有益な無料ソフトと偽って、不正なプログラムをダウンロードさせ、ウイルスに感染させるための手口も報告されています。ソフトウェアのインストールは、会社のシステム管理者の管理下で行うようにしましょう。

●セキュリティ教育を受けリテラシーを高める
ランサムウェアに感染させる手口は、日々、深刻化、巧妙化しています。こうした状況に適切に対応するためにも、積極的にセキュリティ教育を受け、個人のセキュリティリテラシーを向上させましょう。

企業・団体全体で行う対策
企業・団体でランサムウェアの被害を未然に防ぐため、また、万一、ネットワーク内にランサムウェアが侵入してしまった場合に被害を軽減するために、次のような対策をしておく必要があります。

●OS等を最新の状態にする
ランサムウェアの感染を防ぐための基本的な対策として、利用している機器のOS（基本ソフト）やソフトウェアなどの更新ファイルやパッチ等を適用して、常に最新の状態を保つようにし、脆弱性を残さないようにしましょう。OSやソフトウェア、通信機器のファームウェアのアップデートを放置することは、非常に危険です。

●ウイルス対策ソフト等を導入する
ウイルス対策ソフトやEDRを導入し、常に最新の状態に保って管理しましょう。ランサムウェアに感染するリスクを低減できます。

●認証機能を強化する
二要素認証などの認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に活用しましょう。

●ファイアウォール等を設定して不審な通信をブロックする
ファイアウォールやIDS/IPSで外部との不審な通信を制限しましょう。また、メール送信ドメイン認証機能を導入し不審なメールをブロックしましょう。

●アクセス権などの権限を最小化する
ランサムウェアに感染した場合に、暗号化されてしまう範囲を最小限にとどめるため、それぞれのユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。また、個々のユーザーが利用する端末等からアクセス可能なネットワークの範囲も限定しましょう。

●ネットワークを監視する
ネットワーク内の不審な動きを早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することにつながります。迅速な検知を実現するためには、振る舞い検知機能等を導入しログの監視を自動化して、異常を検知した場合は迅速に対処しましょう。

●データの定期的なバックアップとネットワークから切り離してバックアップを保管する
ランサムウェアの感染に備えて、定期的にデータのバックアップをとっておきましょう。ランサムウェアに感染すると、バックアップのためにつないでいた記憶媒体も暗号化されて使えなくなる場合もあります。バックアップデータは外付けの記憶媒体にも保存し、ネットワークから切り離して保管しておきましょう。 加えて、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。

4:被害に遭ったときの対応は？
ランサムウェアの被害に遭った場合、犯人の要求どおり金銭を支払っても、犯人が暗号化したデータを復号する保証も、盗み取ったデータの公開をやめてくれる保証もありません。決して犯人の要求には応じないでください。被害に遭ったときには、次に挙げる対策を講じるとともに、すぐに警察へ被害の通報をしてください。

ランサムウェアの被害に遭ったときの対処法

●感染した端末をネットワークから隔離
ランサムウェアは、ネットワーク上に接続されている他の端末にも感染を広げます。 有線LANであればLANケーブルを抜きましょう。無線LANであれば、端末を機内モードに設定するか、Wi-Fiルータの電源を落として、ネットワークから隔離しましょう。

●感染した端末の電源を切らない
感染した端末内に復元に必要な情報が残っていることがあります。感染した端末の電源は切らないようにしましょう。

●組織全体で対応する
ランサムウェアは、他の端末に感染を広げます。そのため、組織全体で状況を把握することが必要です。場合によっては、支店や提携会社などにも速やかに連絡してください。感染拡大の防止につながります。

●警察に相談・通報する
サイバー犯罪の実態を明らかにし、被害を拡大させないため、被害に遭ったら、自社を管轄する警察のサイバー犯罪相談窓口に相談・通報してください。 警察に相談・通報することで、ランサムウェア対策について助言を得ることもできます。また、業種によっては、所管省庁へ報告するほか、取引のあるセキュリティ企業やIPA、JPCERT/CCに連絡し、事後対応の指示を受け行動しましょう。

関連リンク

警察庁「ランサムウェア被害防止対策」
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html

警察庁「サイバー警察局」
https://www.npa.go.jp/bureau/cyber/index.html

内閣サイバーセキュリティセンター（NISC）「ストップ！ランサムウェア」
https://www.nisc.go.jp/tokusetsu/stopransomware/index.html

総務省「国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html

IPA（情報処理機構）「ランサムウェア対策特設ページ」
https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html

IPA（情報処理機構）「サイバーセキュリティお助け隊サービス制度」
https://www.ipa.go.jp/security/sme/otasuketai/index.html