ランサムウェアが企業にもたらす経営リスクとは?事例や対策を解説

ランサムウェアが企業にもたらす経営リスクとは?事例や対策を解説 ランサムウェア
masazan

情報処理安全確保支援士

masazan (masazan)

情報処理安全確保支援士のmasazanと申します。
サイバーセキュリティ情報をわかりやすく発信します!

~~~セキュリティの基本を体系的に学べます~~~

執筆者

ランサムウェア対策が万全だと言い切れますか?

ランサムウェアとは企業のPCやサーバーを暗号化し、復旧と引き換えに身代金を要求するサイバー攻撃です。

データが人質に取られることで業務の停止、顧客情報の漏洩など、事業の存続を脅かす深刻な経営リスクです。

本記事では、最新事例から学ぶ基本対策と、被害を最小化するインシデント対応体制の構築法を解説します。

被害事例から学ぶ脅威

被害事例から学ぶ脅威

ランサムウェアの脅威は業種や企業規模を問わず、全ての組織にとって「対岸の火事」ではありません。

ここでは、実際に起きた被害事例から、その経営に与えるインパクトの大きさを紹介します。

従業員解雇にまで発展した事例

米国のテレマーケティング事業を運営する企業がランサムウェアの攻撃を受け、事業運営に必要なシステムが利用不能になりました。

更にバックアップデータも同時に暗号化されており、システム復旧が不可能となったのです。

身代金の支払いに応じたものの復旧に至らず、事業継続ができないことから従業員300人を一時的に解雇する事態に追い込まれました。

この事例は、バックアップの重要性と共に、そのバックアップ自体も守らなければ事業継続が困難になるという教訓を示しています。

サプライチェーン停止の事例

国際貿易の拠点であるコンテナターミナル統一管理システムがランサムウェアに感染しシステムが停止、約2日半にわたってコンテナの搬出入作業が全面的に停止しました、

これにより、物流が停滞しサプライチェーンに深刻な影響を及ぼしました。

この事例は、自社が直接のターゲットでなくとも、取引先や社会インフラへの攻撃が自社の事業を停止させうる「サプライチェーン・リスク」の恐ろしさを物語っています。

一社のセキュリティ問題が、国全体の経済活動にまで波及する可能性を示しています。

医療機関停止の事例

地域医療の中核を担う公立病院がランサムウェア攻撃により、電子カルテシステムが暗号化され、閲覧できなくなりました。

過去の診療記録が閲覧不能となったため、約2ヶ月間、新規患者の受け入れをほぼ停止する事態に陥りました。

この事例は、民間企業だけでなく公共性の高い組織も標的となり、その被害が金銭的損失に留まらず、人々の安全に直結するリスクに発展しうることを示しています。

主な感染経路と、企業が取るべき基本対策

主な感染経路と、企業が取るべき基本対策

ランサムウェアは、企業のセキュリティ上の隙を突いて侵入します。特に攻撃の入口となりやすいポイントは以下の3つです。

  • VPN機器の脆弱性
  • リモートデスクトップの不正アクセス
  • 標的型攻撃メール

VPNやリモートデスクトップは設定の不備やID・パスワードが初期値から変更されていないといった、管理不徹底が侵入を許す原因となります。

これらの脅威から企業を守るためには、基本に忠実な対策が不可欠です。

具体的には以下の対策となります。

  • 脆弱性対策の徹底
    OSやソフトウェアを常に最新の状態に保つことはもちろん、感染経路となりやすいVPN機器やリモートデスクトップの設定を定期的に見直し、不要なポートは閉じる、初期パスワードは必ず変更するといった管理が必要
  • バックアップの高度化
    バックアップごと暗号化される事例もあるため、ただデータをコピーするだけでは不十分
    「3-2-1ルール」(3つのコピーを、2種類の異なる媒体で、そのうち1つはオフラインやクラウドなど別の場所で保管する)に則った、堅牢なバックアップ体制が不可欠
  • 従業員のセキュリティ意識向上
    従業員への定期的な教育・訓練を通じて、不審なメールへの対応やパスワード管理の重要性を周知

どれだけ高性能なシステムを導入しても、それだけで十分な効果が発揮されることはありません。適切な運用が必ず必要になります。

なぜ対策しても被害が?「侵入は100%防げない」という現実

「侵入は100%防げない」という現実

前述した対策は、ランサムウェアの侵入を防ぐ「予防」として非常に重要ですが、それだけで万全と言い切れないのが現代のサイバー攻撃の恐ろしいところです。

攻撃者の手口が常に進化し続けており、未知の脆弱性を突く「ゼロデイ攻撃」や、巧妙な騙しの手口を用いる「ソーシャルエンジニアリング」など、全ての攻撃を防ぐことは事実上不可能です。

この事実は「侵入されること」を前提として、万が一侵入された際にいかに被害を最小化し、事業を継続させるかという「侵入後の対応」が求められます。

被害を前提とした「インシデント対応計画」の重要性

被害を前提とした「インシデント対応計画」の重要性

「侵入は100%防げない」という現実を前に、現代の企業に不可欠となるのが「インシデント対応計画(IRP: Incident Response Plan)」と「事業継続計画(BCP: Business Continuity Plan)」です。

BCPとIRPの概要は以下の通りです。

事業継続計画(BCP)

事業継続計画(BCP: Business Continuity Plan)とは企業が直面するリスクに対する計画全般を指します。

重要業務を中断させない、または中断しても可能な限り短い時間で復旧させるための方針や体制、手順を記した計画です。

元々は震災やパンデミックといった災害に向けた計画でしたが、サイバー攻撃に対する経営リスクの対策としても有効です。

インシデント対応計画(IRP)

インシデント対応計画はサイバー攻撃などのセキュリティインシデントが発生した際に、「誰が」「何を」「どのような手順で」対応するのかをあらかじめ定めておく行動計画を指します。

インシデント対応計画の目的はインシデント発生時の混乱を最小限に抑え、迅速かつ的確な対応によって被害の拡大を防ぎ、事業を早期に復旧させることです。

IRPはBCPの重要な構成要素の一つと位置づけられ、実効性のあるBCPを策定するためには具体的なIRPが不可欠なのです。

BCPとIRPの両方が有事の際に企業の明暗を分けると言っても過言ではありません。

インシデント対応計画策定の4ステップ

インシデント対応計画策定の4ステップ

インシデント対応計画と聞くと、大企業が策定する複雑な文書を想像するかもしれませんが。中小企業でも実用的な計画を策定することは可能です。

まずは、以下の4つのステップから始めることをお勧めします。

計画説明
体制の決定インシデント発生時に指揮を執るリーダーや各担当者の役割を明確にする
情報共有ルールの策定誰に、どのタイミングで、何を報告・連絡するかのルールを定めるまず誰に電話するか?
連絡方法はメールかチャットか?
経営層へ報告するのはどのレベルの問題からか?
復旧手順の明確化被害を受けたシステムやデータを復旧させるための具体的な手順を文書化する最優先で復旧すべき基幹サーバーはどれか?
バックアップはどこにあり、復旧手順書は最新の状態で、安全な場所に保管されているか?
訓練の実施策定した計画が実用的かを確認するため、定期的に机上訓練などを実施する半年に一度、関係者で「サーバーが暗号化された」というシナリオで机上訓練を実施できないか?

特に有効な計画を策定しても訓練を行わなければ、実際のサイバー攻撃に対してスムーズに対応できません。

有事の際に慌てないように、定期的に訓練を実施することが重要です。

対策の優先順位と、今すぐ始めるべきこと

今すぐ始めるべきこと

対策の重要性は理解したがどこから手をつければいいのか、と悩んでいるかもしれません。

対策となる2つのフェーズを解説します。

まず自社でやるべきこと

まずは、すぐにでも着手できる箇所より進めると良いでしょう。

  1. バックアップ体制の再点検
    現在のバックアップが「3-2-1ルール」に則っているか、特にオフライン/オフサイト保管がされているかを確認する
  2. IRP(インシデント対応計画)のドラフト作成
    前述の「4ステップ」を元に、まずは叩き台となる計画書を作成してみる
    完璧である必要はなく「何が決められていないか」を明確にすることが目的
  3. アカウント管理の見直し
    社内で利用しているアカウントを棚卸しし、不要な管理者権限アカウントの削除や、推測されやすいパスワードが使われていないかを確認する

この対策は大きなコストがかからないため、すぐに実施することをお勧めします。

専門家に依頼すべきこと

実効性のあるインシデント対応計画を策定したり、実践的な訓練を行ったりするには相応の経験や知見が求められます。

そのような時は、外部のセキュリティ専門家に以下の様な専門サービスを依頼することも有効な選択肢の一つです。

  1. 脆弱性診断の実施
    専門家の目で、自社では気づけないネットワーク機器やサーバーのセキュリティホール(脆弱性)を洗い出してもらう
  2. EDR(Endpoint Detection and Response)の導入検討
    従来のウイルス対策ソフトでは検知できない侵入後の不審な挙動を検知・対応するツール
    ランサムウェア対策の切り札となりえます
  3. 実践的なインシデント対応訓練の実施
    専門家が作成したリアルなシナリオに基づき、より実践的な訓練を通してIRPの実効性を高める

専門家の活用は企業の重要な資産を守り、未来のリスクを低減させるための戦略的な投資といえるでしょう。

まとめ

ランサムウェアがもたらすリスクは事業の根幹を揺るがすものであり、その手口は常に進化しています。

OSの最新化やバックアップといった「予防策」を徹底することは重要ですが、それだけで万全とは言えません。

「侵入は100%防げない」という現実を直視し、万が一の事態に備えた「インシデント対応計画」を策定し、訓練を重ねることが不可欠です。

「予防」と「対応」により初めて、企業はランサムウェアの脅威に対し自社の未来を守ることができるのです。

コメント

タイトルとURLをコピーしました