中小企業におけるセキュリティ脅威への対策強化〜ランサムウェアによる攻撃事例から対策を学ぶ〜（２／２）

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回も１位に挙げられている「ランサムウェアによる攻撃」に焦点を当てます。
２回目の今回は、ランサムウェアの被害の実例と対策・対応について解説いたします。

※前回の情報はこちら：中小企業におけるセキュリティ脅威への対策強化〜ランサムウェアによる攻撃事例から対策を学ぶ〜（１／２）

１．ランサムウェアによる被害の実例

（１）名古屋港のコンテナ搬出・搬入業務が停止

2023年7月、名古屋港統一ターミナルシステムがランサムウェアによる攻撃を受け、数日間コンテナの搬出入業務が停止するという被害が発生しました。

発表によれば、障害発生時の朝システムが停止したことを把握。その後、システム専用のプリンターからランサムウェアの脅迫文書が印刷され、サーバー再起動で復旧できないことを確認して、愛知県警察本部サイバー攻撃対策隊に通報。その後の調査で、物理サーバー基盤と全仮想サーバーが暗号化されていることが判明しました。

リモート接続機器の脆弱性を悪用した不正アクセスが原因でランサムウェアに感染したと考えられ、約2日半ターミナルでの作業の停止を余儀なくされました。

（２）社労士向けサービスが提供停止

2023年6月、システム開発およびクラウドサービス事業者である株式会社エムケイシステムが、データセンターサーバーに不正アクセスされ、ランサムウェアに感染したことを公表しました。

この感染により、業務データが暗号化され、社会保険労務士向けクラウドサービス「社労夢」のサービスを提供できなくなり、影響のある約3,400人のユーザーに対し、オンプレミスで動作するパッケージ版を代替として提供する事になりました。

その上、インフラ設備の再構築費用やセキュリティ対策費用のコスト増、影響があったユーザーへの6月の請求を停止するといった対応により、業績予想を大幅に修正することになりました。

（３）VPN経由で侵入、ランサムウェアを横展開

2023年1月、市民生活協同組合ならコープが2022年10月にランサムウェアによる攻撃を受けていたことを公表しました。

攻撃者はネットワーク機器の脆弱性を悪用してVPN経由で侵入し、内部情報を収集。その上、ランサムウェアをサーバー11台に横展開し、ほとんどのデータが暗号化されていました。

レポートによれば、暗号化されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとの事でした。また、データは復元できなかったものの、バックアップを取っていたデータベースは感染を逃れていたため、容易に復元することができました。

２．ランサムウェアの対策と対応

ランサムウェアの対策と対応には、組織的な対応（経営者層/システム管理者/従業員）が必要です。それぞれの組織が役割を分担し合い、かつ総括的に対策や対応をシームレスに行う必要があります。

※印は下記「共通対策」の詳細を参照してください。

（１）経営者層

経営者層では以下の対策と対応が必要となります。

◇組織としての対策・対応体制の確立

・インシデント対応体制を整備し、実際のインシデント時に対応する※

（２）システム管理者や従業員

◇被害の予防対策

・インシデント対応体制を整備し、実際のインシデント時に対応する※
・IPAの「情報セキュリティ10大脅威 2024解説書」の10ページ、表1.4「情報セキュリティ対策の基本」を実施する

・メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしない※

・多要素認証の設定を有効にする

・提供元が不明なソフトウェアを実行しない

・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う※

・共有サーバー等へのアクセス権の最小化と管理の強化を行う

・公開サーバーへの不正アクセス対策を行う ・適切なバックアップ運用※

◇被害を受けた後の対応

・適切な報告／連絡／相談を行う※

・適切なバックアップ運用を行う※

・復号ツールを活用し、復号化を行う

・インシデント対応体制を整備し、実際のインシデント時に対応する※

（３）身代金の支払いと復旧業者の選定

ランサムウェア被害を受けた場合、原則、身代金は支払わずに復旧を行います。

何故ならば、身代金を支払ってもデータの復元や情報の流出を防げるとは限らないからです。

また、対応を依頼した業者が攻撃者との裏取引で身代金を支払うことでデータ復旧した場合、事実上、自組織が攻撃者に資金提供をしたとみなされるおそれもあります。このため、対応を依頼する業者の選定にも注意が必要です。

※「共通対策」

IPA「情報セキュリティ10大脅威 2024解説書」の69ページ、表1.6「複数の脅威に有効な対策集」より

①パスワードの適切な運用

推測可能なパスワードの設定や不適切な管理をすると、攻撃者に不正ログインされやすくなってしまいます。そのためには適切な設定や運用が必要となります。

②情報リテラシー、モラルを向上

故意に不正をはたらくことは論外ですが、中には意図せず情報モラルに反することを行ったり、組織のためによかれと考えて規則に反してしまう場合もあります。

どのような場合にも自身の行為には責任が伴う事を認識する必要があります。

③メールの添付ファイル開封、メールやSMSのリンクやURLの安易なクリックの抑止

様々なサービスからの連絡がメールで行われたり、SMSからのお知らせを受け取ることがあります。しかし、本物を騙った偽の連絡であると、それに起因として個人情報を盗まれたり、金銭被害に繋がったりするおそれがあります。

④適切な報告／連絡／相談

◇【システム管理者や従業員】
被害を受けたときは適切な人や機関への相談が必要です。不安に感じたときや被害に遭ったときは慌てず、まずは落ち着いて、対応する事が望ましいと言えます。

◇【組織】
組織内で適切な報告や連絡が無いと被害の拡大だけでなく、外部からは隠蔽とみなされ、さらなる信頼の失墜につながります。経営者や上司、責任者は部下や担当者が包み隠さず躊躇なくエスカレーションできる風土や関係性を築くことも重要です。

⑤インシデント対応体制を整備し対応する

セキュリティインシデントが発生した際、誰がどのように、何から行えばよいのか？これを理解して、あらかじめ対応する仕組みを整えているのといないのとでは、同じ事象の問題が起きたとしても受ける被害の大きさは全く異なります。適切な体制構築が必要です。

⑥サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う

脅威はサーバーやクライアント、ネットワークに関連したものが多いのが特徴です。ただし、組織としてのポリシーの制定や要員確保、事前検証、手順の確立、そしてそれを維持し続ける予算の確保と仕組みが必要であり、検討事項が多い事も特徴と言えます。

⑦適切なバックアップ運用

データの破損の原因は、記憶装置の故障やランサムウェア等のサイバー攻撃だけではなく、運用時の操作ミスによる消去や誤った更新と、多岐に渡ります。データ復旧には人手と時間を要しますが、適切なバックアップを取得しておくことで、この被害を軽減することが可能です。

 IPAの「情報セキュリティ１０大脅威2024」の68ページから始まる「共通対策」ではさらに詳しい具体的な対応をご紹介しています。こちらもご参照ください。

ここまでランサムウェアの攻撃事例や対策・対処について考察してきましたが、いかがだったでしょうか。

前回の繰り返しですが、IPAでは「ランサムウェア対策特設ページ」を公開しています。

このページでは、ランサムウェアの感染防止や被害低減のために役立つ情報が公開されています。

また、IPAや他機関のランサムウェア関連セキュリティ情報へのリンクも紹介しているので、ぜひ参考にしてください。

ランサムウェアは今も進化をし続けています。

正しいランサムウェアの知識を共有し、事前にできる対策をできるだけ打つことによって、ランサムウェアの発生を防止する事が可能となり、組織として重要な情報や業務継続性を保証することができます。

３．最後に

東京都ではセキュリティ対策をこれから始めたい企業や事業継続に向けたさらなる強化を図りたい企業向けに、セキュリティ専門家による各種の支援を行っています。すでに募集を締め切っている支援もありますが、ご参考までにご覧ください。

基本対策事業URL：https://kihontaisaku.metro.tokyo.lg.jp/　【参加企業募集中です！】
特別支援事業URL：https://tokubetsushien.metro.tokyo.lg.jp/　※今年度は募集を終了しました