ランサムウェア対策入門 — 中小企業が狙われる理由と今日からできる備え
ランサムウェアの主な手口と中小企業が狙われる理由を整理し、バックアップ・更新・多要素認証・教育という対策の優先順位と感染時の初動をまとめた入門ガイド。
ランサムウェアとは
ランサムウェアとは、企業のデータやシステムを暗号化するなどして使用不能にし、復旧と引き換えに金銭(身代金)を要求する不正プログラムの総称である。近年はデータを暗号化するだけでなく、事前に窃取した情報を「支払わなければ公開する」と脅す「二重恐喝」型の手口も広がっているとされる。本記事では、中小企業が狙われる構造と、今日から着手できる備えを整理する。
被害の傾向 — 公的機関からの注意喚起
警察庁やIPA(情報処理推進機構)は、ランサムウェアに関する被害報告や相談が継続的に寄せられているとして、企業規模を問わず注意を呼びかけている。特に、バックアップの不備や、境界に設置された機器の更新漏れが被害拡大の一因になりやすいと指摘されることが多い。正確な被害額や件数は公表資料によって算出方法が異なるため、本記事では断定的な数値には触れず、公的機関の注意喚起の傾向として紹介するにとどめる。詳しい統計や最新の動向を確認したい場合は、IPAや警察庁が公開している資料を参照することをおすすめする。
ランサムウェアの主な手口
代表的な侵入経路の一つが、業務メールを装った添付ファイルやリンクだ。取引先や公的機関を装ったメールから、添付ファイルを開かせたりリンク先で認証情報を入力させたりする手口が続いているとされる。
もう一つの経路として、VPN機器やリモートデスクトップなど、社外から社内ネットワークに接続するための機器の脆弱性を悪用した侵入が報告されている。ファームウェアの更新が滞っている機器は、特に注意が必要とされる。
近年注目されているのが、取引先や委託先を経由して侵入するサプライチェーン攻撃だ。自社のセキュリティ対策が十分でも、取引先経由で被害が及ぶ可能性がある。取引先から求められるセキュリティ確認への対応は取引先セキュリティチェックシートへの対応方法で扱っている。
なぜ中小企業が狙われるのか
中小企業は大企業に比べて専任のセキュリティ担当者を置きにくく、対策への投資も限られがちだ。加えて、大企業のサプライチェーンの一部として取引に関わっているケースも多く、結果として「侵入しやすく、かつ大きな取引先への足がかりにもなりうる」対象と見なされやすいと指摘されている。中小企業を取り巻くITリスクの全体像は中小企業のITリスク対策 完全ガイドで整理している。
対策の優先順位 — 4つの柱
対策と一口に言っても、投資できる予算や人員には限りがある。一般的には、コストに対する効果が高いとされる「バックアップ」「ソフトウェア更新」「多要素認証」の3つを土台とし、そこに継続的な取り組みが必要な「従業員教育」を組み合わせる考え方が参考にされている。以下の表は、あくまで一般的な優先順位の目安であり、業種や取り扱う情報の性質によって最適な順序は変わりうる点に留意したい。
| 対策 | 目的 | 取り組みやすさの目安 |
|---|---|---|
| バックアップ | 暗号化されても復旧できる状態を保つ | 比較的着手しやすい |
| ソフトウェア更新 | 既知の脆弱性を悪用されるリスクを減らす | 比較的着手しやすい |
| 多要素認証(MFA) | 認証情報が漏れても不正ログインを防ぐ | 比較的着手しやすい |
| 従業員教育 | 不審メール等への気づきを高める | 継続的な取り組みが必要 |
バックアップ運用のポイント
バックアップは「取得しているつもりが実は最新ではなかった」「ネットワーク経由で同時に暗号化されてしまった」という失敗が起こりやすい領域だ。一般的には、データを複数の媒体に、うち1つは離れた場所やネットワークから切り離した状態で保存する、いわゆる「3-2-1ルール」の考え方が参考にされている。定期的な復元テストも合わせて行うことが望ましい。バックアップを含む基本的な対策の優先順位は中小企業がまず取り組むべき5つの対策でも紹介している。
感染してしまった場合の初動
- ネットワークからの切り離し: 感染が疑われる端末は、被害拡大を防ぐためLANケーブルを抜く・Wi-Fiを切るなどして直ちにネットワークから切り離す
- 証拠の保全: 電源を切らず、画面表示や不審な挙動を記録・保全する(安易な初期化は原因調査を妨げる可能性がある)
- 関係者への連絡: 社内の責任者、契約しているITベンダー、必要に応じて警察や専門機関へ連絡する
- 個人情報が含まれる場合の対応: 個人情報の漏えいが疑われる場合の初動は個人情報漏えい発生時の初動対応を参照
- 事業継続への対応: システム停止中の業務継続については中小企業のIT-BCP(事業継続計画)入門を参照
身代金は払うべきか
身代金を支払うかどうかは経営判断が絡む難しい問題だが、一般的には、支払ってもデータが復旧される保証はなく、支払いが更なる攻撃の標的化につながる可能性も指摘されている。国内外の捜査機関や公的機関の多くは、身代金の支払いを推奨しない立場を取っているとされる。実際に直面した場合は、自社だけで判断せず、警察や専門機関、契約している保険会社等に相談することが望ましい。金銭的な備えとしてのサイバー保険についてはサイバー保険の基礎知識で解説している。
よくある質問
小規模な会社でも高額なセキュリティ製品を導入する必要があるか?
必ずしも高額な製品導入が最優先とは限らない。一般的には、バックアップの整備・ソフトウェアの更新・多要素認証といった基本対策の徹底が、コストに対する効果が大きいとされている。
バックアップさえあれば安心か?
バックアップは重要な備えだが、それだけで十分とは言えない。バックアップ自体が暗号化・破壊される事例や、二重恐喝型のように情報漏えいを伴う手口もあるため、更新や認証強化など複数の対策を組み合わせることが望ましい。
感染に気づいたら、まず何をすればよいか?
一般的には、被害拡大を防ぐためのネットワーク切り離しが最優先とされる。そのうえで、証拠を保全しながら社内の責任者やITベンダー、必要に応じて警察・専門機関に連絡する流れが基本となる。
まとめ
ランサムウェアは、企業規模を問わず被害の報告が続いている脅威であり、「うちは関係ない」と考えず備えることが重要とされる。バックアップ・更新・多要素認証・教育という基本の4つを地道に積み上げることが、対策の土台になる。
お気軽にご相談ください
お問い合わせ