特集

クラウドがランサムウェアの脅威に対する最善の防御策

令和5年版情報通信白書」によると、国内で2021年度に発生したセキュリティインシデントの経済的損失は、1組織あたり平均で3億2850万円に上りました。ランサムウェアの攻撃により、企業が保有する個人情報が外部に漏えいするケースも後を絶たず、医療機関を狙った攻撃も頻繁に報告されるようになってきました。残念ながら、今後もランサムウェア攻撃が止むことはないと思われます。

意外に思われるかもしれませんが、ランサムウェアの脅威からデータを保護する最もシンプルかつ費用対効果の高い方法の1つは、クラウドにセカンドコピーを保存することです。クラウドストレージの持つ不変性(イミュータビリティ)と拡張性(スケーラビリティ)は、サイバー攻撃からデータを守る上で重要なメリットがあります。

ランサムウェアとは何か?

 ランサムウェアとは、身代金(ランサム)とソフトウェアを組み合わせた造語で、悪意のあるソフトウェア(マルウェア)の一種です。被害者のコンピュータやネットワークに感染し、使用不能にした後、金銭(身代金)支払いなどの一定の条件が満たされるまで、情報へのアクセスを制限するものです。ランサムウェアには複数の種類があり、サイバー犯罪者は、企業・組織が有する多岐にわたる情報に対して、一方的にアクセスを制限することができます。

 また近年は、不特定多数に攻撃するばらまき型から特定の組織に狙いを絞り込む標的型化が進んでいるほか、身代金を支払わなければ情報を暴露するといった脅迫を行う手法も登場し、情報の暗号化と脅迫を組み合わせて被害組織を追い詰めるなど、ランサムウェア攻撃も日々進化を続けています。

 ランサムウェアの最も一般的な形態は「暗号化」で、ファイルやディスク全体のコンテンツを暗号化して、ユーザーがアクセスできないようにするものです。被害を受けた企業・組織はサイバー犯罪者から、データへのアクセスを取り戻すために金銭を支払う必要があると告げられます。データがバックアップされていない場合やバックアップデータも暗号化されていた場合、サイバー犯罪者に金銭を支払わなければ、データを失ってしまうことになります。(注:金銭を支払っても必ず戻って来る保証はなく、推奨される方法ではありません)

 ランサムウェア攻撃によって、企業には通常、業務・サービス停止による収益機会の損失や従業員が日常業務を行えないといった金銭的な影響が生じます。加えて、窃取された情報の暴露による情報漏えい、関連会社や取引先への影響による信頼や評価の喪失の可能性もあります。加えて、政府機関や医療機関、緊急対応が必要となる機関に攻撃が仕掛けられた場合、一時的な活動停止は人々の生命や安全にまで影響を及ぼします。

 日本におけるランサムウェア攻撃の最近の事例としては、取引先メーカーの1社が攻撃を受け、国内14カ所の工場の操業停止を余儀なくされたトヨタ自動車(2022年3月)、電子カルテシステムの脆弱性を突かれ業務や新規患者の受け入れを延期せざるを得なかった大阪府立総合医療センター(2022年10月)、サーバーの一部を暗号化する攻撃によりロジスティクス業務を含む一部システムを停止したエーザイ株式会社(2023年6月)、攻撃を受けコンテナ事業を一時停止した日本最大の貨物港である名古屋港(2023年7月)などが挙げられます。

ランサムウェアの仕組み

 ランサムウェア攻撃は、「キルチェーン」という軍事用語を用いて説明されることがあります。具体的な内容はケースによって異なりますが、ランサムウェアの一般的なキルチェーンは一般的に以下の通りです。

監視: 攻撃者はターゲットに関する情報を収集し、潜在的な脆弱性や侵入口を特定します。この情報は、ターゲット環境にアクセスするためにどのツールを使用するかを決めるのに役立ちます。

配信: 悪意のあるコードが、標的となるシステムに配信されます。配信を成功させるには通常、ユーザーがマルウェアをシステムに侵入させるために何らかの操作(例:リンクのクリック、添付ファイルのダウンロード、USBドライブの挿入など)を行う必要があります。

感染: マルウェアがインストールされ、攻撃者がターゲット環境にアクセスできるようになります。この段階で攻撃者はターゲット環境に深く入り込み、リモート管理ツールやバックドアをインストールして、継続的なアクセスを確保しようとします。

抽出: 攻撃者はターゲット環境からデータを抽出します。

暗号化: 攻撃者はマルウェアを使用してターゲット環境内のデータを暗号化し、システム管理者がデータにアクセスしたり復旧したりできないようにします。

身代金: 攻撃者がターゲットに金銭を要求します。

クラウドにコピーを取っておくことがなぜ重要か

 あらゆる企業は、遅かれ早かれランサムウェア攻撃のターゲットになる可能性があることを認識する必要があります。残念ながら、マルウェア攻撃のターゲットとなる確率をコントロールすることはできません。しかし企業は、自社が攻撃を受けた場合どの程度の脆弱性があるかを見極め、脆弱性を軽減するための対策をあらかじめ講じることができます。

 ランサムウェアを軽減する最も効果的な方法は、まずは「感染しないこと」です。①ソフトウェアやオペレーティング・システムの定期的なアップデートとパッチ適用、②ファイアウォールや侵入検知システム、エンドポイント・セキュリティ、マルウェア対策セキュリティなどの導入、③データの適切な管理とサイバーセキュリティに対する従業員の意識向上トレーニング――といった、サイバーセキュリティに関する標準的なベスト・プラクティスに従うことで、リスクを軽減することができます。

 またランサムウェア攻撃は、ユーザーをだましてマルウェアをダウンロードさせたり、マルウェアを自動的にダウンロードする悪意のあるウェブサイトにアクセスさせたりするフィッシングメールから始まることが多いため、不審なメールや添付ファイルを見極めるよう周知することで、攻撃の成功確率を大幅に下げることができます。

 しかし、すべての予防策が失敗した場合はどうなるでしょう? ランサムウェアによる暗号化攻撃を受けた後、企業がデータを復元するためには、多額の身代金を支払って攻撃者から暗号化キーまたは復号プログラムのいずれかを入手せざるを得ない、といった状況に追い込まれてしまいます。しかし、データをバックアップしていれば、身代金を払うことなくデータを復元できます。

 優れたバックアップ・ソリューションは、ランサムウェア攻撃によるビジネスへの影響を防ぐために不可欠ですが、バックアップデータはマルウェアに感染しない場所に保管し、保護する必要があります。バックアップデータ保護には「3-2-1ルール」があります。データのコピーを「3つ」、「2つ」の異なる媒体に保存し、「1つ」をオフサイトに保管するというものです。クラウドストレージは、オフサイトコピー保管において事実上の標準ソリューションとなっていますが、クラウドでさえランサムウェアと無縁ではありません。犯罪者は、現在はランサムウェアの被害者が簡単にデータを復元できないように、意図的にバックアップ・コピーをターゲットにしています。

 しかし企業は、バックアップをほかのネットワークからエアギャップ(物理的に隔離)することで、攻撃者がバックアップデータにアクセスし暗号化することを不可能にすることができるのです。

 従来のエアギャップは、デバイスをネットワークから外し別の部屋や建物に置いて、システムのほかの部分から物理的に隔離された状態で作られます。ネットワークから切り離されたデバイスは、マルウェアからは保護されますが、自然災害による影響を避けられるというわけではありません。

 さらに、非常に多くのデバイスがインターネットに接続されているため、アクセスできない保護領域にエアギャップされていると思われていたシステムがネットワークスキャンに表示されてしまうこともよくあります。これは、たとえエアギャップされたデバイスであっても、ユーザーがデータを追加・削除・変更できるように物理的なアクセスポイントが必要となるためです。

 これに対してクラウド ストレージ プロバイダーは、攻撃者に対するデータの暗号化と、データを不変なものとするハッシュ化によって論理的なエアギャップを作ることで、この問題を解決します。イミュータブル(不変的)なバックアップデータは、ユーザーによって設定された所定の時間が経過するまで、悪意のあるユーザーを含め誰も削除や変更ができないため、データを守る最後のとりでとなります。

 Wasabiは、真のデータ イミュータビリティを実現する唯一の方法は、①イミュータブル バケットにあるデータを誰も破壊できないようにすること、②本番システムに誰も匿名で触れることができないようにすること――だと考えています。イミュータブル バケットに書き込まれたデータは、ユーザーによって定義された特定の保存期間中、システム管理者を含めた誰からでも、削除や改ざんをされない安全なものでなければなりません。役割ベースのアクセス制御と組み合わせることで、イミュータブル クラウド ストレージの論理的なエアギャップは、物理的なエアギャップと同じかそれ以上のリスク軽減を実現することができます。

必要に応じた柔軟なスケーラビリティ

 情報セキュリティに関する規制や方針が変われば、保存しなければならない情報量も変わります。クラウドストレージは、データ容量を必要に応じて、簡単に増やしたり減らしたりすることができます。これはオンプレミスのストレージにはない大きなメリットです。クラウドストレージを活用すれば、必要なデータを必要な期間だけ、確実に保護することができます。

 安全性の確保は、単純な作業ではありません。徹底した計画と定期的な再評価や点検が必要です。もちろん、クラウドストレージですべてを解決できるわけではありません。フィッシングメールの見分け方やデータへのアクセス権限の更新など、サイバーセキュリティのベストプラクティスに関する定期的なトレーニングが重要です。また、もしもの時に備えてランサムウェア攻撃をされた際のリカバリー演習を行っておくことも大切です。これらは、あわせて定期的に行うことをお勧めします。