アサヒ､アスクル…大企業に頻発するランサムウェア攻撃､何が起きているのか？現代ならでは｢被害が大きくなりやすい｣要因

ランサムウェア攻撃では、脅迫相手のペースに乗らないこと。見えない敵を正しく怖れる態度が求められる。

ここで重要になるのは、システムの実際の侵害状況の把握だ。攻撃者がいつからシステム内の探索を行っていたかの特定は難しい（APT攻撃では侵入から発覚まで数カ月から1年以上が普通である）。また、どのデータがコピーされたのかの特定も簡単ではない。

確実な基準は、リークサイトやアンダーグラウンドマーケットを調べて、自社のデータがあれば漏洩したことになるが、見つからなければ漏洩していないとは、言い切れない。

それでも、ログ情報や外部情報を丹念に調べて、持ち出された可能性のあるファイルをどこまで絞れるかがカギとなる。

異常検知機能の強化が対策の基本

漏洩した、盗まれたとされるデータのサイズだけで、実際の被害インパクトの断定はできない。犯人側の主張や情報に惑わされないのは、被害企業だけでなく一般消費者にとっても欠かせない。

以前のランサムウェア対策は、システムやデータのバックアップが大原則だった。バックアップはシステム復旧に今でも有効だが、暴露型・二重脅迫型では、漏洩データの保護には関係がない。

持ち出されたデータを、インターネット、アンダーグラウンドから消すことは不可能だ。身代金を払ったとして、それが削除される保証はない。実際、身代金の「おかわり」を請求される被害企業も存在する。

漏洩したデータについて、回収が不可能とするなら、事後にできることはそれらの情報を使えなくする、価値をなくすくらいのことしかできない。IDやパスワードならそれらを刷新する。認証システムや業務システムをそっくり入れ替える。といった対応が考えられる。

またランサムウェア攻撃の入り口は、フィッシングメールやリモートワークのためのシステム（VPN装置やリモートデスクトップ環境）がほとんどとされている。そのため、フィッシングメールや不審な外部通信の検知機能を強化するのが対策の基本となる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。