「SAVACAN」担当のMKです。
今回のブログではKADOKAWA、ニコニコ動画への攻撃でも大きなニュースになったランサムウェアへの対策と復旧方法についてご紹介したいと思います。ランサムウェアは1989年に初めて確認された古くからあるマルウェアによるサイバー攻撃ですが、2024年現在でも猛威をふるっている主要な攻撃手法の一つです。
初めに、ランサムウェアがどういうものか被害内容と攻撃の目的を説明します。
ランサムウェアとは
攻撃対象のパソコンやファイルにアクセスできないようにし、復旧を条件に金銭を要求するマルウェアの一種です。
身代金を意味する「ランサム」と「ソフトウェア」を組み合わせた造語のようです。
現在はデータを暗号化することで利用不能にする手法が主流となっており、攻撃の過程で機密情報を盗み出して脅迫に利用したり、第三者へ販売したりすることもあります。
最近は追跡が困難なことから仮想通貨での支払いを要求する場合が多くみられます。
2024年にあったランサムウェア被害
2024年に大手企業で発生したランサムウェア被害を簡単に紹介します。
株式会社キューヘン(九州電力グループ)
社内システムの一部がランサムウェアによる攻撃を受け、約37万4000件の個人情報が漏洩した可能性があると発表されました。外部からの不正アクセスが原因とされています。
株式会社KADOKAWA
KADOKAWAグループのシステムが攻撃され、社内システムやニコニコ動画などグループが運営するサイトが利用できなくなりました。ランサムウェア以外にもサイバー攻撃が行われていたとの事で、ニコニコ動画はサービスの復旧までに約2ヵ月を要しました。
254,241人分の個人情報のほか、複数の社内資料が漏洩したとされています。
一連の復旧・補償のため36億円の特別損失を計上する見通しとの発表がありました。
従業員のアカウント情報がフィッシングなどにより窃取された事が原因とされています。
東京海上グループ
データサーバーがランサムウェア攻撃を受けました。グループ内の生損保3社で合計約6万3200件の個人情報が外部に流出した可能性があると発表されました。
原因は、業務委託先の会計事務所にて、通信機器の委託業者によるメンテナンス時の設定ミスにより、サーバーへ不正アクセスが可能な状態だったとされています。
この他にも多数の企業がランサムウェアの被害にあっており、年々深刻化しています。
感染経路
主な感染経路を紹介します。
- メールへの添付やURLへの誘導
- ネットワーク機器などへの不正アクセス
- リモートデスクトップからの侵入
- USBメモリなど外部記録媒体
ネットワーク機器などへの不正アクセスでは、2023年に名古屋港のコンテナ管理システムがVPNの脆弱性への対策を怠りVPN経由でランサムウェアに感染したことで約3日間 コンテナ搬出・搬入業務が停止して大きなニュースになりました。
警察庁から発表された傾向としてはテレワークにも利用される機器等のぜい弱性や強度の弱い認証情報等を利用して侵入したと考えられるものが増えているようです。
ランサムウェアへの対策
データを暗号化する攻撃というと全てが複雑そうに思えますが対策は専門家でなくてもできるシンプルな方法です。
- 不審なリンクや添付ファイルを開かない
- OS、アプリケーションを最新の状態に保つ
- ウィルス対策ソフトを使用する
- 定期的なバックアップを取得し外部に保存する
ランサムウェア感染からの復旧
ランサムウェアに限りませんが攻撃被害の可能性を感じたら、すぐに端末をネットワークから切り離し、感染が他の端末へ広がるのを防ぎます。感染した端末は停止すると起動しなくなるかもしれませんので、再起動せずそのままの状態で保管してください。
復旧してもランサムウェアが残っていれば再び感染しますので、復旧前にセキュリティツールを利用してランサムウェアを駆除します。ランサムウェアの種類によっては一般的なセキュリティツールでは駆除できず、専用の駆除ツールが必要な場合もありますので注意が必要です。
では主なデータの復旧方法を紹介します。
・データの復号化を試みる
複数のセキュリティ団体に運営されている No More Ransom というサイトから復号化を試します。
暗号化されたファイルと身代金を要求するページに記載された情報を送信することでランサムウェアを特定してくれます。
メジャーなランサムウェアであれば同サイトにて復号ツールが公開されていますので [復号化ツール] ページからダウンロードできます。
・バックアップから復旧する
バックアップデータが感染した端末の外部に保存してある場合は、バックアップデータを使って復旧させます。
同じ端末に保存されている場合はバックアップデータも感染している可能性がありますので取り扱いに注意してください。
・セキュリティベンダーの復旧ツールを利用する
セキュリティーベンダーが無償ツールを提供していることがありますので探してみましょう。
参考情報として トレンドマイクロの復号ツール を紹介します。
いずれの方法も自己責任での実施になりますので、もっとも確実な方法は専門の業者様へご相談いただいたことになります。
復旧までの期間と費用
令和4年の 警察庁の広報資料 にランサムウェアの被害に関する統計情報が出ていましたので、復旧までの期間と、費用を抜粋して紹介します。
復旧までの期間
1週間未満:21%(11件)
1週間~1ヵ月未満:30%(16件)
1ヵ月~2ヵ月未満:19%(10件)
2ヵ月以上:4%(2件)
調査・復旧費用
100万円未満:20%(10件)
100万円~500万円未満:14%(7件)
500万円~1,000万円未満:10%(5件)
1,000万円~5,000万円未満:37%(18件)
5,000万円以上:18%(9件)
復旧までの費用と期間は途方もないものですがお客様の信用を失うことの方が怖いですね・・・
スペース・アイで対策していること
エンジニア意識教育
慢心せず、妥協せず、油断せず。意識を持って作業に取り組む教育。
ログの監視
サーバーログを監視し、不審な痕跡がないか確認しています。
セキュリティ脆弱性情報の収集、反映
OS、アプリケーションの脆弱性情報を収集し、必要に応じたアップデート対応を行っています。
ウィルス対策ソフトの導入
業務パソコンにはウィルス対策ソフトを導入し、集中管理にて監視・運用しています。
データバックアップ
重要データは複数のバックアップを取得し、外部を含む複数個所に分散して保管しています。
いずれもシステム開発会社としては当たり前とされる対策ですが、その昔チャットツールのslackでは、5重に取得していたはずのバックアップデータ全てが正常に取れていなかったというミスがありました。
当たり前に行っている事を当たり前に運用する事の難しさと重要性を伝える良い事例だと思います。
弊社は、これからも当たり前を当たり前に提供してまいります!