加速する企業へのランサムウェア被害。感染した場合の対策に「バックアップ」の取得・保全の見直しを！

• ランサムウェア対策
• バックアップ
• クラウド管理

2024.5.29

この記事のポイント

• 過去数年でランサムウェアの被害が増加している
• 今すぐできる対策に「バックアップ」の取得＆保全を推奨
• ctcのサポートで的確なランサムウェア対策を

近年、急増しているランサムウェア被害。警察庁をはじめとしたさまざまな機関より発表されている報告や統計においても、その深刻さは明らかです。

ランサムウェア攻撃者の手口は日々進化を続けており、ゲートウェイ対策やエンドポイント対策による感染予防だけでは、おのずと限界があります。感染してしまった場合の対策として、バックアップ環境整備や各種ログの保全にも留意することが肝要でしょう。

ほとんどの組織が何らかの形でバックアップやログを取得しているものの、情報システム部門の担当者からは「万が一攻撃を受けた際、バックアップやログをちゃんと利用できるか不安」「有事の調査・復旧を社内のリソースだけで行うことが難しい」といった悩みが多く聞かれます。
ctcでは、有事においても迅速かつ的確に復旧を行えるよう、バックアップやログの在り方について、時代に合わせて見直しすることをおすすめしています。

今回の記事では、ランサムウェア対策に有効なバックアップを行うことができる「ctcマネージドクラウド」と、調査・復旧に有効なログ管理サービス「マネージドsyslogサーバー」をご紹介します。

ランサムウェアとは、日本語で「身代金要求型ウイルス」と訳されるマルウェア（悪意のあるソフトウェア）の一種です。その実態や脅威について考える前に、改めてランサムウェアについておさらいをしておきましょう。

ランサムウェアによる被害は決して他人事ではありません。警察庁への報告を見ると、被害にあった企業の業種はさまざまで、最も多い製造業が（33%）。サービス業（16%）や卸売・小売業（15%）、情報通信業（8%）など、業種を問わず被害に遭う可能性があるのです。

こうした現状を踏まえ、警察庁HPでもランサムウェアに関する「被害防止対策」、「感染に備えた被害軽減対策」などが呼びかけられています。

「今まで一度もサイバー犯罪に遭ったことがない」「一部の業種や企業に対するもの」と高をくくるのではなく、被害に備えて適切なバックアップを取っておくことは、ITと切り離すことのできない現代の企業活動にとって、不可欠な対策なのです。

ランサムウェア攻撃の手口も日々変化を続けています。

かつて主流だった手法は、フィッシングメールを無差別的に発信して添付ファイルを開封させる、あるいはWEBページへ誘導することで感染させる「ばらまき型」というタイプです。「ばらまき型」は不特定多数をターゲットとするため、個々の被害は比較的小規模にとどまる傾向がありました。

ところが近年では、特定組織をターゲットとする「標的型」が多数を占めつつあります。「標的型」は組織深くまで侵入し、PCだけでなくサーバーやシステム全体を侵害することで甚大な被害を生じさせ、多額の身代金を要求します。

また、脅迫の手法も巧妙化しています。従来の一般的なランサムウェア攻撃では、組織のデータを暗号化し、その復旧を条件に身代金を要求するというスタイルでした。それに対して最近の攻撃では、データの暗号化のみならず、機密情報の窃取が広く行われるようになり、データのリークをちらつかせて、さらなる身代金を要求する「二重脅迫」が横行しています。加えて、暗号化を行わずデータのリークのみを脅迫材料とする「ノーウェアランサム」というタイプも増加しつつあります。

ランサムウェア攻撃への対策として、セキュリティソフトの導入やシステムのアップデートといった感染予防はもちろんのこと、万が一感染してしまった場合にも被害を最小限に食い止められるよう、バックアップを確実に取得・保持することが重要です。特に侵入型ランサムウェア攻撃では、バックアップサーバーも攻撃される可能性が高いため、バックアップを取得しているからといって安心できません。周辺のPC・サーバーと切り離された、ランサムウェア攻撃者がアクセスできない場所にバックアップを保持するなど、現在のサイバー環境にあったバックアップ対策が必要不可欠なのです。

このような条件を踏まえ、ランサムウェア対策に有効なバックアップ機能を備える「ctcマネージドクラウド」を紹介します。

「ctcマネージドクラウド」とは、仮想化技術を用いて仮想サーバー(VM)をご提供するクラウドサービス。インターネットおよびイントラネットからの接続が可能で、 共有型サーバーや専有サーバーなどの多彩なラインナップにより、企業や組織の幅広いニーズに応えます。

また、最大7世代の日次バックアップを外部ネットワークから独立した専用環境に取得・保持。攻撃者からアクセスされることのない安心のバックアップ対策を実現します。そして万が一ランサムウェア攻撃やサーバーの異常が生じた際は、ctcがバックアップデータからの復旧支援を行うことも可能です。

もう一つ、ランサムウェア対策に欠かせないのがログの管理です。システムやネットワーク上のアクティビティを記録したログは、分析することで異常や攻撃の早期検知に役立つほか、「攻撃を受けた後の被害状態把握および復旧」においても有用です。

ところが、サイバー攻撃の際、攻撃者は自身の存在を隠すためにログを操作・削除することがあります。ログを消されてしまうと、攻撃者の挙動を検知しづらくなるほか、データやシステム被害に対する全容把握ができずに復旧が困難となります。

警察庁が発表したデータによると、ランサムウェア被害を受けた企業・団体などのログの保全状況は「一部使えなくなっていた」と「全て使えなくなっていた」を合わせて66%もの割合でログが損なわれています。そして、その原因として「暗号化された」が約4割、「犯人による削除」が3割にも上っています。

「ctcマネージドsyslogサーバー」でログ管理を適切に管理することで、このような問題を解決することが可能です。

「ctcマネージドsyslogサーバー」とは、お客さまのセキュリティ機器をはじめとした各種機器のログを保管する「syslogサーバー」をctcのクラウド基盤で提供するサービスです。

ログを一括に管理して蓄積することで、さまざまな機器からログを抽出する手間が軽減され、インシデント調査やシステム監査をスムーズに行うことが可能に。また、クラウド基盤を利用することで、syslogサーバーを24時間365日監視して障害時の復旧対応を行ったり、容量追加で長期間のログを収集したりすることもできます。

今やITリスク対策は、円滑な企業活動はもとより、企業の成長にとって欠かすことができません。しかしながら、巧妙化かつ複雑化するランサムウェアをはじめとしたあらゆるサイバー攻撃に対し、常に目を光らせてその対策に追われることは、大きな業務負担となります。

そんな中、有効な選択肢の一つとなるのが、ITの専門知識と経験豊富な外部の専門家にワンストップで任せるという方法です。

ICTに関するサービスをワンストップで担うctcなら、豊富な経験と多角的な事例をもとに、情報漏洩対策はもとより、万が一リスクにあった時にも被害を最小限に食い止め、企業活動を継続するための最適な方法をご提案させていただくことができます。また、お客さまのIT環境や状況に合わせ、関連ソリューションと組み合わせることで最適なDX化や企業活動の発展を総合的にサポートすることも可能です。ぜひお気軽にご相談ください。

▼出典

警察庁／ランサムウェア被害防止対策

警察庁／令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について