はじめに
「ランサムウェア」という言葉をニュースで見ない日はありません。2024年の国内ランサムウェア被害公表件数は過去最大の84件に達し、警察庁の報告では年間222件と高水準で推移しています。
「大企業の話でしょ?」と思われるかもしれませんが、実は被害の64%は中小企業が占めています。しかも、中小企業の被害件数は前年比37%増加しており、むしろ狙われやすくなっているのが現状です。
「うちみたいな小さい会社は狙われない」と思っていませんか?実はそれが一番危険な考え方です。攻撃者は「セキュリティが甘いところ」を効率よく狙っています😱
この記事では、社内SEの視点から「ランサムウェアの最新手口」と「今すぐ取り組むべき4つの対策」について、具体的なアクションまで落とし込んで解説します。
ランサムウェアとは?
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染するとパソコンやサーバーのデータが暗号化され、「元に戻してほしければ身代金を払え」と要求されます。
IPAが発行する「情報セキュリティ10大脅威」では、ランサムウェアによる被害が9年連続で1位に選ばれており、最も警戒すべきサイバー攻撃の一つとなっています。
9年連続1位って、もうずっと「最大の脅威」ってことですね。それだけ対策が難しく、攻撃者も進化し続けているということです。
最新の攻撃手口を知る
ランサムウェアの手口は年々巧妙化しています。従来の「不特定多数にメールをばらまく」手法から、より狙い撃ちの攻撃へと進化しました。
二重脅迫(ダブルエクストーション)
現在主流となっているのが「二重脅迫」と呼ばれる手口です。警察庁の調査によると、手口を確認できた被害の約8割がこの二重脅迫型でした。
従来型は「データを暗号化して身代金を要求する」だけでしたが、二重脅迫型では以下の流れで攻撃が行われます。
- 企業のネットワークに侵入し、機密データを盗み出す
- データを暗号化して業務を停止させる
- 「身代金を払わなければ盗んだデータを公開する」と脅迫する
つまり、身代金を払わなければ「業務停止」と「情報漏洩」の二重の被害を受けることになります。盗まれたデータがダークウェブで公開・販売されるケースも確認されています。
昔は「暗号化されたら終わり」でしたが、今は「データを先に盗まれている」のが怖いところ。バックアップから復旧しても、情報漏洩は防げません💦
VPN経由の侵入が63%
攻撃者はどこから侵入してくるのでしょうか。警察庁の調査によると、感染経路の内訳は以下の通りです。
| 感染経路 | 割合 |
|---|---|
| VPN機器からの侵入 | 63% |
| リモートデスクトップからの侵入 | 18% |
| 不審メール・添付ファイル | 5% |
| その他 | 14% |
テレワークの普及で導入が進んだVPN機器やリモートデスクトップが、主要な侵入経路となっています。これらの脆弱性や弱い認証情報を利用した侵入が全体の約82%を占めています。
メールからの感染は5%だけ!「怪しいメールを開かなければ大丈夫」という時代は終わりました。VPN機器の管理が最優先です。
サプライチェーン攻撃の増加
2024年にランサムウェア被害を受けた国内企業243社のうち、58%が取引先経由の被害でした。自社がしっかり対策していても、取引先が感染すれば被害を受ける可能性があります。
大企業のセキュリティが強固になった結果、攻撃者は「セキュリティの弱い取引先」を踏み台にして本命の企業に侵入する手法を取るようになりました。中小企業こそ対策が急務です。
国内の被害事例
実際にどのような被害が発生しているのか、公表されている事例を見てみましょう。
事例1:病院(医療業務が停止)
外部ベンダーによるリモート保守用VPN機器の脆弱性が原因で、システム全体がランサムウェアに感染。数百台の端末が暗号化され、電子カルテが使用不能に。救急や外来診療を含む医療業務が長期間停滞しました。
事例2:港湾施設(物流が停止)
保守業務に用いられるVPN経由でランサムウェアが侵入し、ターミナルシステムの全サーバーが暗号化されました。コンテナの搬出入作業が一時停止に追い込まれ、物流に大きな影響を与えました。
事例3:製造業(工場が停止)
取引先のシステムがランサムウェアに感染し、サプライチェーン全体に影響が波及。大手自動車メーカーの工場が操業停止に追い込まれました。直接攻撃を受けていなくても、取引先経由で被害を受けるリスクがあることを示す事例です。
どの事例も共通しているのは「VPN機器」が入り口になっていること。そして復旧に数週間〜数ヶ月かかっている点です。他人事じゃないですね…
共通する教訓
- VPN機器の脆弱性が主要な侵入経路
- 一度侵入されると被害は全社に広がる
- 復旧には数週間〜数ヶ月かかることも
- 取引先経由の被害も多い
対策①:ネットワークの分離設計
ランサムウェアに感染した際、最も深刻なのは「一部の感染が全社に広がる」ことです。感染を局所化するためには、ネットワークを適切に分離する設計が重要です。
なぜ被害が全社に広がるのか
多くの中小企業では、社内ネットワークが「フラット」な構造になっています。つまり、一度社内ネットワークに侵入されると、どのサーバーにもアクセスできてしまう状態です。
攻撃者はこの構造を悪用し、侵入後にネットワーク内を探索(ラテラルムーブメント)して、バックアップサーバーや基幹システムまで暗号化していきます。
「フラットなネットワーク」は管理が楽な反面、一度侵入されたら全滅です。最低限、バックアップサーバーだけでも分離しておきましょう!
社内SEができる対策
- ネットワークセグメントの分割:部門ごと、用途ごとにVLANを分ける
- アクセス権限の最小化:必要な人に必要な範囲だけアクセスを許可
- 管理者権限の厳格化:ドメイン管理者アカウントの使用を制限
- バックアップサーバーの隔離:通常のネットワークから切り離す
完璧な分離は難しくても、「基幹システム」「バックアップ」「一般業務」を分けるだけでも効果があります。万が一感染しても、被害を最小限に食い止められます。
対策②:BCP・復旧体制の構築
ランサムウェア攻撃を100%防ぐことは不可能です。「感染することを前提」に、いかに早く復旧できるかが重要になります。
ランサムウェアを想定したBCPとは
従来のBCP(事業継続計画)は、地震や火災などの自然災害を想定したものが多いですが、ランサムウェア攻撃にも対応できるよう見直しが必要です。
ランサムウェア被害の特徴として、以下の点を考慮する必要があります。
- バックアップも暗号化される可能性がある
- 復旧に数週間〜数ヶ月かかることがある
- 感染に気づかないまま数日経過していることがある
- 復旧後も再感染のリスクがある
地震と違って「いつ感染したか分からない」のがランサムウェアの厄介なところ。1週間前のバックアップも感染済みかもしれません😰
復旧手順書に含めるべき項目
- 初動対応:感染端末のネットワーク隔離、関係者への連絡
- 被害範囲の特定:どこまで感染が広がっているか調査
- 侵入経路の特定:どこから侵入されたか、原因を調査
- 復旧作業:クリーンな環境での再構築、バックアップからの復元
- 再発防止:脆弱性の修正、パスワード変更など
手順書を作るだけでなく、定期的な訓練も重要です。実際に復旧作業を行う担当者が、手順を理解していなければ意味がありません。
対策③:VPNの脆弱性対策
感染経路の63%を占めるVPN機器は、最優先で対策すべきポイントです。
なぜVPNが狙われるのか
VPN機器が狙われやすい理由は以下の通りです。
- 外部に公開されている:インターネットから直接アクセスできる
- 脆弱性が頻繁に発見される:Fortinet、Pulse Secureなど主要製品で重大な脆弱性が報告されている
- パッチ適用が遅れがち:業務影響を恐れて更新を後回しにするケースが多い
- 認証情報が弱い:初期パスワードのまま、または簡単なパスワードで運用
警察庁の報告によると、脆弱性に対するパッチ未適用が約半数にのぼっています。
「業務止まるかもしれないから更新は週末に…」と後回しにしている間に侵入されるケースが本当に多いです。脆弱性情報が出たら即対応!
今すぐやるべき対策
- パッチの即時適用:脆弱性情報が公開されたら最優先で対応
- 多要素認証の導入:ID・パスワードに加え、ワンタイムパスワードや物理キーを併用
- 認証情報の定期変更:過去に漏洩している可能性を考慮
- 不要なポートの閉鎖:使っていないサービスは無効化
- ログの監視:不審なログイン試行がないか定期的にチェック
脱VPNという選択肢
VPNの根本的な問題は「一度認証を通過すると社内ネットワーク全体にアクセスできる」点です。これに対し、ZTNA(Zero Trust Network Access)は、ユーザーやデバイスごとに必要なアプリだけにアクセスを制限する仕組みです。
コストや運用負荷の問題はありますが、中長期的には検討の価値があります。
ZTNAはまだハードルが高いですが、まずは「多要素認証の導入」と「パッチ即時適用」の2つから始めましょう。これだけでもリスクは大幅に下がります👍
対策④:バックアップの正しい運用
「うちはバックアップを取っているから大丈夫」という声をよく聞きますが、実は被害に遭った企業の75%が「バックアップから復元できなかった」と回答しています。
なぜ復元できなかったのか
復元できなかった理由で最も多かったのが「バックアップも暗号化されていた」で、約7割を占めています。
ランサムウェアはネットワーク上のすべてのデータを暗号化しようとします。バックアップサーバーがネットワークに接続されていれば、当然バックアップデータも暗号化されてしまいます。
「バックアップがあるから安心」と思っていたのに復旧できない…これが一番ショックですよね。バックアップの「取り方」が重要なんです。
3-2-1ルールとは
バックアップの基本として、米国国土安全保障省が推奨する「3-2-1ルール」があります。
- 3:データを3つ保持する(本番データ+バックアップ2つ)
- 2:2種類以上の異なるメディアに保存する(例:NASと外付けHDD)
- 1:1つは離れた場所(オフサイト)に保管する
ただし、このルールは20年以上前に提唱されたもので、ランサムウェア対策としては不十分です。
3-2-1-1-0ルールへの進化
現在は「3-2-1-1-0ルール」が推奨されています。追加された要素は以下の通りです。
- もう1つの「1」:1つはイミュータブル(書き換え不能)またはオフラインで保管
- 「0」:定期的な復元テストでエラーをゼロに
特に重要なのは「オフライン保管」です。ネットワークから物理的に切り離された場所にバックアップがあれば、ランサムウェアに暗号化されることはありません。
3-2-1-1-0、覚えにくいですが要は「オフラインで保管」と「復元テスト」の2つが追加されたということ。この2つがランサムウェア対策の肝です!
具体的な運用例
- 日次バックアップ:NASに自動バックアップ
- 週次バックアップ:外付けHDDに手動でコピーし、保管庫に施錠保管
- 月次バックアップ:クラウドストレージにアップロード
- 四半期ごと:復元テストを実施
ポイントは「バックアップ後は必ず取り外す」こと。接続したままではネットワーク経由で暗号化される恐れがあります。
社員教育とルール整備
技術的な対策だけでなく、人的な対策も重要です。
従業員に周知すべきルール
- 不審なメールの添付ファイルを開かない:送信元が信頼できる相手でも、なりすましの可能性あり
- パスワードを使い回さない:外部サービスから漏洩したパスワードが悪用される
- 異変を感じたらすぐ報告:「怒られるから黙っておこう」が被害を拡大させる
- USBメモリの取り扱い注意:出所不明のUSBは接続しない
「何かおかしいと思ったらすぐ報告」の文化を作ることが大切。報告を怒らない、責めない雰囲気づくりも社内SEの仕事ですね😊
インシデント発生時の初動対応
感染が疑われた場合の初動対応を、全社員に周知しておきましょう。
- LANケーブルを抜く(無線の場合はWi-Fiをオフ)
- 電源は落とさない(ログが消失する可能性)
- すぐに上長・IT担当者に連絡
- スマートフォンで画面を撮影しておく
まとめ:明日からできるチェックリスト
ランサムウェア対策は、一度に完璧を目指す必要はありません。優先度の高いものから順に取り組んでいきましょう。
今すぐやるべきこと
- VPN機器のファームウェアが最新か確認
- VPNのパスワードを複雑なものに変更
- バックアップが正常に取れているか確認
1週間以内にやるべきこと
- オフラインバックアップの仕組みを検討
- 多要素認証の導入を検討
- インシデント対応手順の策定
1ヶ月以内にやるべきこと
- ネットワーク分離の計画策定
- バックアップからの復元テスト実施
- 全社員への注意喚起・教育
「明日は我が身」という意識で、今日からできる対策を一つずつ進めていきましょう。
ランサムウェア対策は「完璧」を目指すより「今日できることから始める」が大事!VPNのパッチ適用とオフラインバックアップ、この2つだけでも被害を大幅に減らせます。社内SEとして、まずは足元から固めていきましょう💪
コメント