イベント報告 2023/12/22

「Security Days fall」講演レポート#3 侵入型ランサムウェア攻撃に立ち向かう〜現場の実態に即した対策を徹底解説〜

日々、巧妙・悪質化しているサイバー攻撃。企業や組織もランサムウェアをはじめとしたサイバー攻撃のリスクにますます晒されており、その規模や業種を問わず早急な対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いのもと、2023年10月17日〜20日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Fall 2023」に参加し、全4つのテーマで講演を行いました。

今回の記事では、イベント3日目に実施したセミナー「侵入型ランサムウェア攻撃に立ち向かう〜現場の実態に即した対策を徹底解説〜」について、その概要とポイントをご紹介します。

近年のセキュリティ動向

独立行政法人情報処理推進機構（IPA）が発表している「情報セキュリティ10大脅威」では、「組織」向けの脅威として3年連続で「ランサムウェアによる被害」が1位を記録するなど、近年、ランサムウェアは企業にとって大きな脅威であるということはご存知の方も多いのではないでしょうか。

また、警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェア被害の報告件数は3年連続で100件を超えており、被害件数が高水準で推移していることが分かります。さらに、報告されたデータはあくまで被害が報告された件数に限るため、実際の被害件数はそれ以上である可能性も考えられます。

また、警視庁が発表した「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」の調査結果によると、ランサムウェアの被害にあった企業のうち、復旧に1週間以上かかった企業が約50%、そして調査・復旧に500万円以上のコストがかかった企業が約50%にのぼることが明らかになっています。また、被害はそれだけに留まらず業務停止中の機会損失、情報流出による企業イメージの低下といった事態も考えられます。侵入型ランサムウェアは、もはや事業リスクの一つとして考えて対策していくのが良いでしょう。

そんなランサムウェアですが、近年では攻撃手法が変化しています。従来型のランサムウェアでは、メール等を通してPCや個人が狙われていました。しかし、2019年頃から被害が増加している侵入型ランサムウェアは、リモートアクセスを通して企業・組織全体が標的に。さらに、侵入後は情報を暗号化した上で情報窃取し、窃取済みの情報を暴露する、としてターゲットを恐喝する二重恐喝型であることが特徴として挙げられます。

また、攻撃のターゲットは幅広く、業種・企業規模問わず被害が発生しています。近年の脅威傾向を踏まえると、どんな企業であってもランサムウェアによる被害への対策は必須と言えるでしょう。

ランサムウェア攻撃対策の「課題」とその解決策を考える

企業にとって大きな脅威である侵入型ランサムウェア攻撃の対策を考えるにあたり、そもそもランサムウェアを侵入させないための「予防」と、侵入されてしまった際の情報窃取や暗号化を防ぐ「被害極小化」という2つの観点が重要です。

侵入型ランサムウェアは、主にリモートアクセス経由で侵入します。ランサムウェアの侵入経路の81%はVPN・リモートデスクトップ経由であることが、警視庁が発表した「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」のデータより明らかになっています。そのため、ランサムウェア侵入の「予防策」としては、リモートアクセス製品の脆弱性対策が基本ですが、脆弱性対策だけでは不十分な場合もあります。

その一例が、漏洩済みの認証情報を使った攻撃です。脆弱性対策を行う前に認証情報を窃取され、その後もIDやパスワードを変更していなかった場合、修正パッチを適用していたとしても、認証を突破されてしまう可能性があります。

このような攻撃を防ぐためには、異なる複数の認証要素を組み合わせた「多要素認証（MFA）」による認証強化が効果的です。しかし、2023年4月にソリトンが実施した「ネットワークおよび関連システム担当者を対象に実施したインターネット調査」では、全体の33.5%が多要素認証(MFA)未実施という結果になっています。

また、同上のインターネット調査の結果では「情報システム部門で抱えている課題」の中で最も多いものは「新たなシステムの企画・導入ができる人材の不足」でした。この結果から多要素認証(MFA)未実施の企業では、新しいシステムの企画・導入をするための知識や技術を持つ人材が不足しているために、多要素認証(MFA)の導入に踏み込めないという理由が伺えます。

しかし、課題はそれだけではありません。万が一ランサムウェアに侵入されてしまった際には、「被害極小化」ができるかどうかも重要です。ランサムウェア被害を受けた際に、バックアップを取得していたものの、被害直前の水準まで復元できなかった企業は79%以上となっており、多くの企業がバックアップからのデータ復元に失敗している事が明らかになっています。

単純なバックアップでは復旧が難しい理由として、以下が挙げられます。

正規端末からの感染
正規端末が感染してしまうので、ファイルサーバーから見た際にランサムウェアの侵入かどうかの判断が困難
バックアップ・レプリケーションへの暗号化・破損データコピー
攻撃に気付かないまま時間が経過すると、バックアップ側のデータも暗号化されてしまい、復旧が困難になる
バックアップ・レプリケーションへの感染
隔離されていない限り、バックアップやレプリケーションもランサムウェアに感染してしまう

よって、多要素認証（MFA）では導入に負荷がかからないソリューションが、バックアップ環境については、ランサムウェアを検知して自動ブロックする機能と、隔離環境でバックアップデータを保護し、効率的に被害データのみを復旧できるソリューションが求められているのです。

「安全性」と「利便性」の両方を追求した強固なセキュリティソリューション

ソリトンは、上記で紹介したようなランサムウェア被害の「予防」と「被害極小化」を実現する効果的なソリューションを提供しています。

まず、侵入型ランサムウェアの予防策には、ID・パスワードに依存しない「多要素認証（MFA）」によるリモートアクセスの認証強化が効果的です。多要素認証は、生体認証や偽造が難しいデジタル証明書などの別の認証要素を求めるため、一つのアカウントのID・パスワードが漏れていても、認証突破を防ぐことができます。

しかし、多要素認証の重要性は理解していても現場の人手不足で、新たなシステムの導入には踏み切りづらい…という悩みを持つ企業は多いでしょう。

ソリトンが提供する、多要素認証サービス「Soliton OneGate」なら、導入・運用の手間なく、強固な多要素認証を実施できます。通常は構築・運用が難しいデジタル証明書を数回のステップで簡単に発行・管理できるため、セキュリティに関する専門知識がなくとも、簡単に運用可能です。

また、デジタル証明書を用いた認証は通信確立時に行われるため、攻撃者を社内ネットワークやアプリケーションのログイン画面にすら辿り着かせない、高いセキュリティ強度で侵入型ランサムウェアを防ぐことが可能です。

クラウドサービスも社内システムもVPN/無線LANに対しても、デジタル証明書を使った強固な認証を行うことが可能で、ネットワーク利用者や情報システム担当者の負担を軽減できることが特長です。

また、侵入型ランサムウェア攻撃の「被害極小化」を行うには、ソリトンの「VVAULTシリーズ」が有効です。VVAULTシリーズは、2種類の製品で構成されています。

ファイルサーバログ管理ソフトウェア「VVAULT AUDIT」では、ファイルサーバーへのアクセスを端末毎に監視しており、攻撃端末からの通信に対してのみ自動ブロックを行い、管理者にアラート通知を送付します。

「VVAULT」は、バックアップ・レプリケーションを隔離環境に配置し、タイムマシーン機能を用いて手軽なデータ復元を実現します。時間や保存履歴から被害範囲のみを復元できるため、情報システム担当者にも大きな負担をかけることなく侵入型ランサムウェア被害を最小限に留めます。その間も、許可された他端末はデータにアクセスすることができるため、可用性を維持しつつ侵入型ランサムウェア攻撃の被害を止めることができます。

このようにソリトンでは「Soliton OneGate」と「VVAULTシリーズ」により、安全性と利便性の双方を重視した侵入型ランサムウェア攻撃対策のソリューションを提供しています。

ソリトンシステムズ ITセキュリティ事業部プロダクト&サービス統括本部プロダクトマーケティング部の松田真結は、本セミナーで伝えたかったメッセージについて以下のようにまとめます。

“侵入型ランサムウェア被害を100%予防することはできません。そのため今回の講演では、ランサムウェアの侵入を前提とした事後対策の重要性もお伝えしたい意図がありました。講演後のアンケートで、お客様から「事後対策についての意識が変わった」といった内容のコメントをいただくことができたため、非常に嬉しく思います。ソリトンでは現場のニーズを踏まえ、セキュリティが強固かつ運用性が高いソリューションを提供していますので、是非ご相談いただけたらと思います。”