3つの教訓: ランサムウェアがセメントメーカーを襲った事例

サイバー攻撃の現場から

著者: F-Secure Business Security Insider
日付: 2016年06月17日
読了時間: 1 分

*リンク先は、英文のみの閲覧となります

朝起きて、子供を学校に送り出し*、出勤して会社のパソコンの電源を入れる。すると、いつもの光景が一変した。ディスプレイにはパソコンを暗号化し、ロックしたという脅迫文が現れる。誰だかわからぬ相手に身代金をビットコインで支払わなければ、内部のデータはすべて永久に暗号化されるという。

さらに悪いことに、調べてみると自分のPCだけではなく、会社のほぼすべてのPCが感染しているらしい。事の重大さがあなたに重くのしかかり、IT担当者たちが奔走する姿が目に浮かんだ。

これが、実際にランサムウェアの攻撃を受けた、米国のあるセメントメーカーでの出来事である。

最悪の朝

このケースはランサムウェア攻撃の典型例だ。聞いたところでは、ある社員が電子メールの添付ファイルを開封してしまったことで、犠牲者となったそうだ。その後、Cryptowall*という名のランサムウェアがその社員のPCにインストールされ、気が付かないうちに会社のネットワーク全体に拡散。複数の生産システムの重要な経理関連のデータとファイルの暗号化が始まった。翌朝、ある社員が製造ラインの起動に必要な生産関連ファイルにアクセスできなかったことで、サイバー攻撃が発覚したのだ。

生産システムの2日間の稼働停止後に、その会社はシステムの暗号化解除のための身代金の支払いと、ネットワークをクリーンアップするための社外コンサルタントへの依頼を決断した。報道によれば、悲しいことに、身代金を支払ったにもかかわらず経理情報のいくつかが不完全な暗号化により復旧不可能であり、最新のバックアップもなかったという。

その攻撃で受けた金銭的被害は深刻であった。1週間を超える稼働停止とネットワークのクリーンアップ。長期にわたる経理業務の復旧プロジェクト。そして、損失額は非公開だが、契約上の納品の遅延で遅延弁済金も生じた。­

ランサムウェアが身近に迫る

Cryptowallはランサムウェアのほんの一例だが、最も急速に増加しているサイバー犯罪のひとつだ。攻撃対象は一般消費者*個人事業主*から中小企業*まで、そして今や大企業や政府省庁までと幅広い。米国の複数の警察署*が狙われたケースもある。

この種の攻撃は傾向として無作為に行われることが多く、可能性があればどこにでも感染させようとするために攻撃対象が広くなる。不幸にも、規模が小さい企業や個人は、しっかりとしたバックアップやリカバリの体制がほとんど未対応なため、攻撃されるリスクが大きくなる。

ランサムウェア*は、コンピュータ、データやシステム、ときには携帯端末*までもユーザーがコントロールできないようにし、攻撃されたコンテンツやシステムへの正常なアクセスを取り戻すには身代金が要求されるという、マルウェアの一種である。

悲しいことに、身代金が支払われたケースは少なくない。マサチューセッツ州*メイン州*の警察署や、高齢者介護サービス*のケースなど、メディアで報告されている被害例は数多い。身代金の支払い*は攻撃の継続を助長するのは確かだが、今回のセメントメーカーや、年単位に及ぶデータを失う危険があったり、営業停止に追いやられてしまうであろう組織を簡単には非難できない。

ある意味で、支払いはビジネス上の意思決定である。500ドルの身代金を支払わなければ、事業活動の停止による対価を支払わなければならない。そうではあるが、身代金を支払ったからといって、実際にファイルを元に戻せる保証もない。おかしな話だが、ハッカーの「誠意」に頼るしかないのである。

しかし、身代金を支払ってもハッカー側は我関せずを決め込むこともある。マルウェア自体にバグがあり、失ったものを取り戻せるとは限らないのにもかかわらず、ハッカーの「誠意」に身を委ねてしまってよいものだろうか。

同じ500ドルを支払うのであれば、そんな使い方ではなく、上質なバックアップソリューションやリカバリの取り組みに投資すべきであろう。

攻撃から学ぶべき教訓

  1. 基本を正すこと。ランサムウェアは使い古された手口で感染するのであり、最新のセキュリティソリューションや、電子メールやウェブ用の強力な保護ツールを使えば被害を遠ざけることができる。
  2. バックアップのソリューションにきちんと投資し、リカバリ手段を整備すること。堅牢なリカバリ手段が確立しており、最新のバックアップソリューションを活用し、かつそれらを頻繁にテストしている企業であれば、ランサムウェアの攻撃を無傷でかわすことができる。単に感染した端末を除去し、バックアップから復元すれば済む話なのだ。
  3. ネットワークにセキュリティをかけること。Cryptowallがセメントメーカーの社内ネットワークで拡散した経緯を見れば、ネットワークのセキュリティが不適切だったことは明らかだ。ネットワークのセキュリティで重要となる要件のひとつが、ネットワーク内の水平移動の制限だ。これにより、1台が感染しても、業務全体が停止しないようにできる。
サイバー攻撃の現場から:
この記事は当社Eブック、「サイバーセキュリティの神秘を解明:ビジネスオペレーションのセキュリティを確保(CYBER SECURITY DEMYSTIFIED: Securing Business Operations)」を参考に書かれている。ダウンロードはこちら:Eブックを読む

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中