Security NEWS TOPに戻る
バックナンバー TOPに戻る
ランサムウェアの脅威は近年増しており、企業に甚大な被害をもたらしています。本記事では、ランサムウェアの脅威や被害の実態を紹介し、サイバーレジリエンスの重要性や、リスクの可視化の重要性と対応策について解説いたします。また、リスク可視化ツールの紹介や、企業が守るべき情報資産とその保護方法についてもご紹介します。
ランサムウェアの脅威
ランサムウェアは、データを暗号化することで使用できなくし、その復旧(復号)のために身代金を要求するマルウェアの一種ですが、昨今では「ノーウェアランサム」と呼ばれる新たな攻撃の手口が登場しました。従来のランサムウェアのようにデータを暗号化するのではなく、窃取したデータを公開すると脅し、データの公開を防ぎたければ対価を支払えと要求するものが増えてきています。このように高度化・多様化し続けるランサムウェアは、いまやサイバー空間における主要な脅威の一つと化しています。今年(2024年)も、多くのランサムウェア関連のインシデントが発生しており、大手企業、中小企業問わず多くの企業が被害を受けています。そして、ランサムウェアの脅威が増大する中、それに対応するサイバーセキュリティの取り組みも必須となってきています。
図表19:企業・団体等におけるランサムウェア被害の報告件数の推移
ランサムウェア被害の実態
2023年に発生した名古屋港の名古屋港統一ターミナルシステム(NUTS: Nagoya United Terminal System)が攻撃を受けた事例では、日本一の取扱量を誇る名古屋港で、輸送コンテナの積み下ろしができなくなるなどして、日本社会に非常に大きなインパクトを与えました。今年2024年も多くのランサムウェア攻撃が話題になっていますが、中でも大手出版グループがランサムウェア攻撃を受けた事例では、情報漏洩やサービス停止、物流機能や経理機能が停止するなど、様々な被害をこうむりました。同グループは2024年4~6月期連結決算で、特別損失20億円を計上しています。
2024年のランサムウェアインシデント例
| 時期 | 概要 |
| 5月頃 | 自治体や企業から印刷業務などを請け負っている企業がランサムウェア被害を受けたことで、複数の委託元組織の情報を漏洩した*1 |
| 5月頃 | 医療機関が被害を受け、電子カルテを含めた総合情報システムが停止し、患者情報も漏洩した*2 |
| 6月頃 | 大手出版グループが被害を受け、個人情報漏洩、サービス停止、社内システムの停止といった被害を受けた*3 |
| 6月頃 | 大手電機グループの関連企業がランサムウェア攻撃を受け、情報漏洩の疑いがあると発表した*4 |
| 7月頃 | 大手保険企業が、委託先の税理士法人がランサムウェアに感染したことで、契約者や元社員ら計約2万7800件の情報が外部に漏洩した恐れがあると発表した*5 |
サイバーレジリエンスの考え方
サイバー攻撃の手法は高度化・多様化しており、ランサムウェア攻撃について、完全に防ぐことは難しいと言わざるを得ません。そこで、攻撃を未然に防ぐことだけに依存するのではなく、レジリエンスを高める考え方へとシフトする必要があります。レジリエンスとは、システムや組織が攻撃や障害に直面した際に、その影響を最小限に抑え、迅速に復旧する能力を指します。これには、事前にリスクを評価し、予防策を講じることに加え、攻撃に備えた対策を整えることが含まれます。
具体的には、データの定期的なバックアップ(物理的にネットワークから切り離して保管することが望ましい)を実施することで、攻撃を受けた場合でも迅速にデータを復旧できるようにすることが重要です。また、従業員に対する教育や訓練を通じて、攻撃の兆候に気づき、適切に対応できるスキルを持たせることもレジリエンスの一環です。
加えて、事後対応として、攻撃を受けた際の対応手順を明確にし、迅速な復旧を図るための計画を策定しておくことも重要です。これにより、攻撃による業務停止やデータ流出のリスクを最小限に抑え、被害を軽減することが期待されます。レジリエンスを高めることは、サイバー攻撃が避けられない現代において、組織が安定して事業を継続させるために重要な戦略です。
リスク可視化の重要性
ランサムウェア対策において、その被害の影響範囲を事前に把握しておくことは非常に重要です。システム内の脆弱性を悪用されると、攻撃によってどのような影響が生じるかを理解し、リスクを可視化することが求められます。こうしたリスクの明確化・現状把握が、効果的なセキュリティ対策を実施するうえで欠かせない要素です。
まず、リスクの明確化とは、システム内のどこに脆弱性が存在し、その脆弱性が攻撃された際にどのような被害が発生するかを具体的に理解することです。これにより優先順位をつけて脆弱性対策を実施することが可能になります。また、リスクを明確にすることで、有効なセキュリティ対策を適切に実行することが可能となり、限られたリソースを効果的に活用することができます。これらの取り組みが、有事の被害を最小限に抑えるための体制を整えること、ひいては、組織全体のセキュリティレベルを向上させることにつながります。
リスク可視化ツール
システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。リスクの棚卸しによる現状把握で、優先順位をつけて対策を講じることが可能になります。
伊藤忠サイバー&インテリジェンス株式会社からは、「ICIリスクアセスメントツール」が無料公開されています。このようなツールを利用することで、客観的な視点で組織のセキュリティ状況を俯瞰的に評価することができ、内部の盲点や見過ごされがちな脆弱性を明確にし、組織が直面するリスクの全体像を把握することができます。
“なに”を守るか、“どう”守るか
情報セキュリティのリスクに関して、最も重要であり、確実に保護しなければならないのは、「重要情報(データ)」です。リスクの洗い出しを行う際には、最初に保護すべき資産が“なに”であるかを明確にし、その次にそれらを“どのように”守るべきかという視点で考える必要があります。情報セキュリティリスクにおいて、保護すべき最も重要な資産は「情報(データ)」であり、これが適切に管理されなければ、企業にとって大きな損失となる可能性があります。リスクの洗い出しは、まず「保護すべき資産」を特定することから始まります。そして、その資産がどのように攻撃される可能性があるのか、またどのような影響を受ける可能性があるのかを把握します。さらに、以下のようなステップを通じて、保護すべき情報を特定し、効果的なセキュリティ対策を構築していくことが重要です。
セキュリティ対策は専門家に相談を
組織が直面するリスクは、業種や規模、サプライチェーンの特性、取り扱う情報の性質、システム環境の状況、そしてセキュリティ対策の度合いなど、さまざまな要素によって異なります。特に近年では、ランサムウェアによる攻撃が大きな脅威となっており、企業に甚大な被害をもたらす可能性があります。リスクを効果的に管理するためには、まず自組織が内包するリスクを客観的に見極め、ランサムウェアを含む各種リスクに対して優先度に応じた対策を検討することが重要です。
このプロセスにおいては、第三者視点でのリスクの検知と評価が不可欠です。特に、専門的な知識を持つセキュリティベンダーの協力が有効です。専門家の助言を受けることで、組織が持つ特有のリスクへの具体的な対策を講じ、リスクを最小限に抑えることが可能となります。信頼できるセキュリティベンダーと協力体制を築くことで、ランサムウェアをはじめとするサイバー攻撃から組織を守り、安全性を確保しましょう。
BBSecでは
ブロードバンドセキュリティでは、企業組織のランサムウェア対策のレジリエンスを評価するために下記サービスをお勧めしております。
また、従業員への教育サービスとして以下もご用意しております。
標的型攻撃メール訓練
ウェビナー開催のお知らせ
「CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024」
【好評アンコール配信】
「ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-」
【好評アンコール配信】
「ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~」
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
- ツール診断と手動診断の比較 –」
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る
