PCやファイルサーバーに保存されているファイルを勝手に暗号化し、ファイルを元の状態に戻すのと引き換えに金銭を要求するマルウェアが「ランサムウェア」です。
ファイルが暗号化されていると、ファイルを開いて内容を参照したり編集したりすることが不可能になります。また、ファイルを暗号化する際に設定する「鍵」の内容を知らずに、ファイルをもとに戻す(復号化)するのは極めて困難です。
このランサムウェアによって重要なファイルが暗号化されると、事業の継続に支障が生じることにもなりかねません。実際、ランサムウェアに感染した後、攻撃者の要求に屈して攻撃者に金銭を支払った企業は少なくありません。
このランサムウェアの存在を世間に知らしめたのは、2017年に広まった「WannaCry」ですが、その後も新種のランサムウェアが続々と登場しています。さらに攻撃手法も多様化しています。従来は無差別に感染を狙う攻撃が一般的でしたが、昨今では特定の組織をターゲットにして攻撃を仕掛ける手法も使われています。
その一例として挙げられるのが、アメリカのアトランタ市が標的となった、「Samsam」と呼ばれるランサムウェアを用いたサイバー攻撃です。Samsamを用いた攻撃は、まず遠隔操作に使われるRDP(Remote Desktop Protocol)で攻撃対象の組織内にあるPCやサーバーに接続、設定されたパスワードを破って侵入します。その上で組織内にSamsamを拡散してファイルを暗号化、身代金を要求するという流れです。
なおアトランタ市は要求された51,000ドルの身代金の支払いを拒否しましたが、システムの復旧に多額のコストを費やすことになりました。
ファイルではなく、データベースなどを暗号化するランサムウェアも登場しています。セキュリティベンダーであるトレンドマイクロは、2020年5月7日のブログへの投稿において、台湾の複数の企業を狙った標的型攻撃に「ColdLock」と呼ばれるデータベースやメールサーバーを暗号化する機能を備えたランサムウェアが使われていたと報告しています。
重要システムのデータベースやメールサーバーが暗号化されて利用不可能な状態に陥れば、事業継続に大きな支障が生じることは想像に難くありません。今後もランサムウェアには十分な注意が必要でしょう。
ランサムウェア「Samsam」感染の流れ
このようなマルウェアによる被害を防ぐ上で重要となるのは、ウイルス対策ソフトの適切な利用です。ただ、昨今ではウイルス対策ソフトでは検知できないマルウェアも多く、それだけでは十分な安全を確保することはできません。そこでセキュリティ対策の新たなトレンドとして広まっているのが、さまざまなポイントでセキュリティ対策や監視を実施する「多層防御」と呼ばれる考え方です。
具体的には、不正侵入の挙動の検知や感染防止、社内での拡散防止、ネットワーク上の異常な振る舞いの検知など、複数のセキュリティ対策を組み合わせます。その上で異常な通信やマルウェアの侵入などを検知した場合には迅速に対応を図り、被害を最小化するというものです。
NTTコミュニケーションズでは、クラウド上のサーバーを保護する多様なセキュリティサービスを提供する「Enterprise Cloudセキュリティオプション」や、セキュリティ専門家が企業のリスクマネジメントをさまざまな形で支援する「WideAngle」、未知のマルウェアを検知して被害を最小化する「マイセキュア ビジネス」などを提供しており、マルウェアや標的型攻撃への多層防御による一元的な対策を可能にしています。
ランサムウェアだけでなく、標的型攻撃やサーバーに対する不正アクセスなど、企業を狙ったサイバー攻撃は続発しているのが現状です。少しでも不安があるのであれば、大きな被害を受ける前に対策を見直すべきでしょう。
※Enterprise Cloudは2021年5月26日に「SDPFクラウド/サーバー」に名称変更しました。