ランサムウェア攻撃に企業はどのように対処すべきか

昨今、ランサムウェアは毎週のように話題のニュースとなり、サイバー犯罪はますます進化し、日々巧妙化しています。ランサムウェアによるデータ損失インシデントのコストは非常に高くつく可能性があります。2022年のランサムウェア攻撃に関係する平均コストは、身代金自体の金額を除いて454万ドルでした。さらに被害は費用の面だけにとどまりません。ダウンタイムの影響、データ損失、信用の失墜は財政コストと同様に大きな損害をもたらすおそれがあります。受け入れがたいことですが、ランサムウェアは企業が対策すべき事柄であるというのは事実です。なぜなら、おそらくすでに皆様のシステムやデータは攻撃者から狙われている可能性が高いからです。では、ランサムウェアとは何か、そして企業はどのようなリスク管理を行えるのかについて見ていきましょう。

ランサムウェアとは?

ランサムウェアは侵入型マルウェア攻撃のひとつで、サイバー犯罪者は企業のデータやファイルを暗号化し、それを身代金が支払われるまで「人質」とします。「二重脅迫型」のケースもあり、この場合、攻撃者はデータを公開するという脅迫をします。侵入の最も一般的な手口は以下のようなものです。

  • フィッシング—サイバー犯罪者が有名な企業や組織を名乗るメールを大量に送信して機密情報(パスワードやクレジットカード情報など)を要求したり、リンクをクリックしたりするよう求めます(クリックすると、端末にマルウェアがインストールされます)。

  • スミッシング—フィッシングとほぼ同じですが、こちらはテキストメッセージを利用します。 

企業はなぜランサムウェア対策に取り組まなければならないのか?

2022年、コスタリカ政府はランサムウェア攻撃を受けて医療系システムや経済に大きな混乱が生じたことから、国家非常事態を宣言しました。攻撃者は身代金として1,000万ドル(後に2,000万ドルに引き上げ)を要求しました。トヨタはランサムウェア攻撃を受けて、14か所の工場の稼働を停止せざるを得なくなりました。企業規模や業種に関わらず、ランサムウェアは事業活動にとっての最大の懸念事項だといえます。ランサムウェアによって生じる損害には以下のようなものがあります。

  • 重要なビジネス情報(顧客や従業員の機密情報、財務記録、機密事項・営業秘密など)の損失

  • 生産性および収益の損失

  • ブランド・ロイヤルティーや信用に関わる損害

  • 顧客の流出や生産性の低下、身代金の支払いなどによって生じる財政面の損失

  • データセキュリティに関する法的要件へのコンプライアンス違反から生じるペナルティ(業種により異なる)

ランサムウェアによる被害は、感情面での苛立たしさから取り返しのつかない損害まで広範に及ぶ場合があります。攻撃に対する防御と、攻撃を受けた場合の復旧対策はサイバー復旧計画における主要な要素であるはずです。しかし、79%の企業がまだゼロトラストアーキテクチャを導入するに至っていません。皆様の企業もそうであるなら、この先を読み進めていただき、次の被害者になる確率を減らすために何ができるか、ランサムウェア攻撃を受けた場合にスムーズに復旧する可能性を高めるにはどうすればいいのかをご確認ください。
 

ランサムウェア攻撃に企業はどのように対処すべきか?

ランサムウェア攻撃への対処は防止と復旧の2つの戦略に要約できます。どのようなランサムウェア防止戦略であっても、絶対に被害者にならない保証を与えることはできません。しかし、Rubrik Security Cloudを活用すれば、確実にダウンタイムを最小限に抑え、攻撃者による事業の中断を回避しやすくなります。Rubrik Security Cloudはゼロトラストデータセキュリティを実装し、書き換え不可のバックアップやデータへの脅威を常時監視することによってお客様のデータを保護するとともに、容易な復旧を支援することができます。万全の防止対策にもかかわらず、サイバー犯罪者がシステムへの侵入に成功してしまった場合には、感染したシステムを隔離し、侵害の範囲を見極め、最新のクリーンな復元ポイントを特定することが円滑かつ迅速な復旧に不可欠となります。

通常、ランサムウェア攻撃の防止と復旧の責任は、ITチームや、設置されている場合はサイバーセキュリティ部門が担うことになります。担当部署は定期的なセキュリティ評価を実施してインフラやネットワークの脆弱性を特定し、セキュリティ管理におけるベストプラクティスを実践していることでしょう。それに加えて、侵入を受けた場合に、バックアップからデータを復元するための詳細なインシデント対応プランを策定しておくことをおすすめします。サイバーセキュリティを担当している部門は必ず、以下を実施するようにします。

  • ネットワークをスキャンして既知のマルウェアのファイル拡張子を調査する

  • ファイル名変更の増加など、システムのあらゆる異常なアクティビティを監視する

  • 予定外のネットワークスキャン、Active Directoryへの不正アクセス、ソフトウェア削除プログラムの出現など、侵害の予兆を早期に発見する

  • ウイルス対策ソフトを常に最新の状態にしておく

しかし、企業と重要な機密情報を守るサイバーセキュリティはIT部門のみで担えるものではありません。従業員を教育し、サイバーセキュリティポリシーの理解と実践に責任を持たせることで攻撃の可能性を減らすことができます。そして、Rubrikのようなエキスパートの支援を導入することで、データの保護・監視とともにデータ侵害が発生した場合の迅速な復元を実行できます。このことは企業とそのビジネスにとって大きな安心につながります。