業界や規模を問わずあらゆる組織がランサムウェア攻撃への対応に苦心しています。ランサムウェアの損失を効果的に軽減するためには、戦略策定、計画立案、防御、特定、解析、解決、復旧といった体系的なアプローチが重要となります。多種多様な手法を使うことで誰でもランサムウェアの攻撃者となれるため、攻撃者となりうる者の幅が広いことが、ランサムウェア対策における最大の問題の1つとなっています。

ランサムウェアとは?

ランサムマルウェア、もしくはランサムウェアは、故意に暗号化することでシステムデータやファイルを利用できないようにし、復旧するための身代金を要求すると言ったマルウェアの一種を指します。

復号化キーを受け取るために身代金を支払う方法がユーザに示されますが、身代金を支払ったとしても、攻撃中に暗号化されたデータは正常に復元されるとは限りません。また、復号化キーを受信したとしても、攻撃者の影響を受けたデータの信頼性に疑問が生じてしまいます。ランサムウェア攻撃によるリスクと影響を考慮していない組織は、攻撃に対して脆弱であるだけでなく、ランサムウェア攻撃に備えている組織よりも大きな影響を受ける可能性があります。ランサムウェア攻撃を事前に想定し、対策を立てておくことが重要です。攻撃に対する回復力が欠如していると、重大なビジネスの中断につながり、売上や利益に大きな影響を及ぼす可能性があるためです。

ランサムウェアはどうやって侵入するのか?

ランサムウェアがIT環境に入り込む方法としては、ソーシャルエンジニアリング攻撃、自動ダウンロード、リモートデスクトッププロトコル、海賊版ソフトウェア、リムーバブルメディアなどがあります。一般的にランサムウェアは、フィッシング攻撃や悪意のあるリンクや添付ファイルが含まれているホエーリング攻撃(フィッシング攻撃の一種で、経営幹部や企業トップに標的を絞った攻撃)などのソーシャルエンジニアリング攻撃によって広がります。ユーザが添付ファイルを開くと、ユーザがわからないようマルウェアを自動的にダウンロードおよびインストールします。
また、ランサムウェアは、自動ダウンロードによってIT環境に潜入することもできます。ユーザがウェブページにアクセスしただけで、知らない間に悪意あるプログラムがダウンロードされインストールが行われます。リモートデスクトッププロトコルは、IT管理者がリモートからシステムにアクセスできるようにする安全なネットワーク通信プロトコルです。攻撃者は、最新でないか、パッチが適用されていないブラウザ(およびプラグイン)、アプリケーション、またはオペレーティングシステムを悪用して感染させます。その後、マルウェアはネットワークを介して伝播し、影響を受けるデータ量を最大化していきます。

ランサムウェア攻撃のリスク_図表1

ランサムウェア攻撃への準備と対応は誰が責任を担うべきか?

ランサムウェア攻撃の影響を軽減するには、IT運用部門、ITリスク・コンプライアンス部門、内部監査部門、および法務部門が、ランサムウェアに対する準備と対応のあらゆる側面への関与や協業ができるようにしておくことが重要になります。

部門 責任範囲
IT運用部門

・技術的な管理機能の実装と攻撃への迅速な対応に関して責任がある。

・ITリスク・コンプライアンス部門とともに、サイバーセキュリティ保険によって適切に保証されることを確認し、保険の保証の適用に必要な環境や要件を整備するため、組織の法務部門とも協力する必要がある。

ITリスク・コンプライアンス部門

・組織の現在の状態と最終的な組織のランサムウェアの脆弱性への準備をする上で、重要な役割を果たす必要がある。

・ランサムウェアに関連するリスクを特定し、IT運用部門と連携することで、リスクが適切に評価および処理されていることを確認する必要がある。

内部監査部門

・事前に策定されたインシデント対応方針をレビューする際に積極的な役割を果たす。

・システムの設計、導入、および運用上のコントロールの有効性に関する建設的なフィードバックを提供するため、机上演習やシミュレーションに参加する。

・ランサムウェア攻撃の防止、検知、および対応に関して実装されるコントロールを定期的にテストする必要がある。

上記すべて ・机上演習の計画と実施について計画が実行可能であり、すべての関係者がそれぞれの責任を認識することを確認する。

ランサムウェアリスクを管理するためのKPMGのアプローチ

ランサムウェア攻撃から生じるリスクを効果的に管理・対処するにあたり、3段階のアプローチを採用しています。

ランサムウェア攻撃のリスク_図表2

(1)計画と戦略
ランサムウェア攻撃を事前に想定し、計画を立てておくことが重要です。ランサムウェア対策の計画・戦略の策定には、次のものがあります。

  • 脅威や攻撃が発生した場合の対応を最適化するために、ランサムウェア攻撃に特化した強靭な防御計画を実装するとともに定期的にテストし、強化します。防御計画は、重要なデータの周辺に重点を置く必要があります。
  • 以下の点を考慮しつつ、ランサムウェア攻撃に対する詳細な対応手順書を作成して、より効率的に対応できるようにします。
    • 特定および通知
    • 初動対応手順
    • 先手を打って対応できるよう、組織に適用できる一般的なランサムウェア対応シナリオの設定
    • インシデントの影響と規模の評価
    • 組織が身代金を支払うべきかどうかを決定する手順
    • リストア用のクリーンなバックアップの特定
    • データの復元手順
    • 連絡先情報やサイバーセキュリティ保険会社への請求にかかる法務部門との協力などの詳細
    • 解決に向けた手順
    • 事後検証プロセス
  • サイバーセキュリティ保険を契約するとともに定期的に見直すために、組織の法務部門と協働します。

(2)予防と強化
インシデントの影響を大幅に低減し迅速に解決するために、攻撃を検知・特定できるだけでなく攻撃を防止できるよう、予防的コントロールと発見的コントロールとを組み合わせる必要があります。ランサムウェアを検知および防止するための典型的なコントロールには、次のものがあります。

  • データ分類ポリシーの実装
    組織内の業務アプリケーションシステムと関連データを何らかのポリシーで分類しておくことで、さまざまなIT資産に必要なセキュリティやコントロールレベルを決める際に役立ちます。
  • eメール保護
    eメールフィルタリングやサンドボックスなどのeメール保護制御を導入すると、従業員がフィッシング攻撃にさらされるのを防ぎ、ランサムウェアがIT環境に侵入するリスクを大幅に減らすことができます。
  • パッチ適用
    ランサムウェアを防ぐ最も重要な方法は、ソフトウェアのパッチ適用プロセスを確立し、ソフトウェアのパッチを適時に更新して既知の攻撃から組織を保護することです。
  • エンドポイント保護
    ウイルス対策やスクリプト防御などのエンドポイント保護対策は、ランサムウェアがIT環境に侵入するのを防ぎ、攻撃を迅速に検知するのに役立ちます。
  • データのバックアップとテスト
    日次や週次で実行される自動データバックアップを実装することで複数のリカバリポイントを使用でき、攻撃時のデータ損失を最小限に抑えることができます。また、定期的にテストすることで、組織はバックアップを効果的に使用し、リカバリできるようになります。
  • 多要素認証
    多要素認証制御を実装して、特権アカウントのパスワードの侵害から保護します。
  • データ復元ツール
    データ復元ツールを導入すると、ランサムウェアの潜在的なインシデントを特定し、よりタイムリーかつ効率的な方法で関係者に警告できます。
  • WORMおよび変更不可のファイル・システムによる制御
    write once、read many(WORM)および変更不可のデータストレージテクノロジーを実装して、データバックアップの書き換えや編集ができないようにします。
  • ネットワークのセグメント化とファイル共有の管理
    ランサムウェアの拡散を防ぐために、ネットワークを論理的または物理的にセグメント化します。
  • 机上演習/シミュレーション
    計画の主要な課題を特定し、計画で重要な役割を果たす参加者の準備状況を確かなものにするために、机上演習またはシミュレーションを定期的に実施します。
  • サイバーセキュリティの脅威に関するトレーニング
    全従業員向けの実践的なトレーニングにより、ランサムウェアがダウンロードされたり、IT環境に取り込まれたりするリスクを大幅に低減できます。また、新たなサイバーセキュリティの脅威に対応できるよう、継続的に訓練内容を見直し、更新します。
  • ポリシー
    上記のコントロールに関する考慮すべき事項の要件を概説し、組織のITポリシーを定期的にレビューし更新します。

(3)特定と対応
攻撃が発生した場合は、攻撃の特定、調査、解決、回復、報告、および確認を支援するために、次の手順を推奨します。これらの手順は回復計画に詳細に記載され、担当者が利用できるようになります。

  • ステップ1
    攻撃が特定されたら、直ちに上級管理職にエスカレーションし、インシデント対応計画を開始します。
  • ステップ2
    インシデントの規模と範囲を積極的に調査し、環境内でのマルウェアの拡散を阻止するための措置を講じます。
  • ステップ3
    弁護士と協力して、保険会社と連絡を取る必要があるかどうか、保険会社の要件は何か、保険会社がランサムウェア交渉に参加する必要があるかどうかを判断します※。
    ※ランサムウェアの交渉について、法律顧問と話し合う際には、交渉を制限されているサイバーアクターの米国政府の外国資産管理局(OFAC)のリストを考慮することが重要です。
  • ステップ4
    常に弁護士や保険会社と連絡を取りながら、組織の計画に従ってインシデントを解決します。
  • ステップ5
    法務部門と協力し、契約上の要件に基づいてクライアントへの適切な通知を決定します。
  • ステップ6
    コントロール・フレームワークを強化し、最適化するために詳細な事後レビューを実施します。

本稿は、KPMGインターナショナルが、2021年に発行したレポート「Ransomware attack risks」のサマリーです。
全文は以下のリンクよりご覧いただけます。

全文はこちらから(英文)
Ransomware attack risks

お問合せ