ランサムウェアとは？③～組織で行う予防対策

インシデント対応体制を整備する

ランサムウェアを含むサイバー攻撃を受けた際に、「誰がどう対応するか」体制を整えておくことが被害の低減に繋がります。専門知識をもつ責任者（CISO、Chief Information Security Officer）と専用チーム（CSIRT、Computer Security Incident Response Team）を配置し、対応フローを策定・社内周知することで、実際に被害が起きた際に迅速に対応を進めていくことができます。

セキュリティ製品を導入する

セキュリティ製品を導入することで、組織のセキュリティレベルを引き上げましょう。製品によってさまざまな機能が搭載されています。例えばＥＤＲ（Endpoint Detection and Response）は、サーバーやクライアントの不審な動きを検知し、（セキュリティチームが）迅速に対応するための詳細な情報を提供します。ＮＤＲ（Network Detection and Response）はネットワーク上の通信を監視・分析して不審な通信を検知し、速やかな対応を可能にします。

ソフトウェアを最新の状態に保つ

ソフトウェアの脆弱性を突いた攻撃を防ぐため、ソフトウェアは常に最新バージョンにアップデートしておきましょう。最新のバージョンには、旧バージョンの脆弱性を解消するプログラムが含まれていることがあり、攻撃を受けるリスクの低減に繋がります。

ちなみに警察庁の公開資料によると、ランサムウェアの感染経路はテレワーク機器の脆弱性や、強度の弱い認証情報などを利用して侵入したと考えられるものが８割以上（ＶＰＮ※機器からの侵入が63％、リモートデスクトップからの侵入が18％）を占めています。

※図中の割合は小数点以下を四捨五入しているため、統計が必ずしも100にならない
「令和5年度におけるサイバー空間をめぐる脅威の情勢等について」p.26（警察庁）をもとに作成

※ＶＰＮ（Virtual Private Network）は、インターネットなどの公開されたネットワーク上に仮想的な専用ネットワークを構築する技術です。組織はＶＰＮを利用して、外部から内部ネットワークに安全にアクセスできるようにします

認証の強化

先ほどご紹介した図「ランサムウェアの感染経路」でも示されたとおり、強度の低い認証情報はランサムウェア被害を受ける原因になります。パスワード自体の強度を高めるだけではなく、多要素認証なども導入することで、攻撃者にパスワードを盗み出される・内部侵入されるリスクを低減しましょう。

データのバックアップを保存する

ランサムウェアによってデータが暗号化され使用不能になった場合、業務が停止するリスクがあります。業務データを定期的にバックアップ保存しておくことで、暗号化されたとしても自力である程度は復旧できます（なお、バックアップデータにまで感染が広がらないよう、社内ネットワークから隔離された外部サーバーにデータを保存しておく必要があります）。

従業員にセキュリティ教育を行う

従業員ひとりひとりがサイバー攻撃の手口と対策を理解することも、重要な予防対策です。

ランサムウェアの感染には、メールの添付ファイルやリンク、Webサイトを経由するケースがあります。これらはランサムウェアに感染させる細工が施されており、知らずに開封したりクリックすると感染してしまいます。他にも、ＵＳＢメモリのような外部記憶媒体を経由して感染してしまうケースもあります。

このような感染を防ぐには、従業員に対して日頃から教育や訓練を行い、以下のような行動をとれるよう、セキュリティ意識を高めておくことが有効です。