ウイルス感染を体験した情シスが提案する「5つのランサム対策」 KADOKAWAの二の舞を避けよう

25万人分の個人情報が漏えいしたKADOKAWAへのサイバー攻撃は、記憶に新しい方も多いでしょう。今回はランサムウェアへの備えとして、私が過去に対応したセキュリティ事故の話や体験なども合わせてお話していきます。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　25万人分の個人情報が漏えいしたKADOKAWAへのサイバー攻撃は記憶に新しい方も多いでしょう。記事によると、従業員のアカウント情報が奪取された後に社内ネットワークに侵入されたことが発端とのことです。この話題のピークは世間的には2024年8月だったと記憶していますが、皆さまの企業ではこれを受けて対策はされましたでしょうか。

　私は2000年当たりからウイルス感染したPCを処置し、ゼロデイ攻撃を受けた際は復旧作業に至るまでの対応に追われたこともあります。今回はランサムウェアへの備えとして、私が過去に対応したセキュリティ事故の話や体験なども合わせてお話していきます。

ランサムウェアへの5つの事前対応

　まずはシステム的な事前対応です。感染を防ぐだけでなく、被害を最小限にするという観点が必要です。

多層防御

　複数の防御層を設置することで機密情報を守るというものです。一般的には次の3つの対策が挙げられます。

　1つ目は「入口対策」で具体的にはウイルス対策ソフトやファイアウォール、IDS/IPSなどが挙げられます。2つ目は「内部対策」でして、ログ監視や社内データの暗号化、EDRがあるでしょう。3つ目は「出口対策」で、不審な通信のブロックやサンドボックス型標的型攻撃対策ツール、WAFなどです。

　従来の社内インフラは入口対策のみで十分とされていました。しかし、テレワークやBYODの普及から汚染された端末が社内ネットワークにつながれるリスクも増加し、内部対策や出口対策を講じる必要性も高まっています。

ゼロトラストセキュリティモデル

　内部対策の一つとして、ゼロトラストセキュリティモデル（以下、ゼロトラスト）も有効です。

　ゼロトラストでは、全ての内部通信を敵対する通信の可能性があるものとして扱い、通信には常に承認が求められます。ランサムウェアをはじめとするマルウェアがインストールされても、そのマルウェアの通信が承認されないと社内向けの通信ができなくなるため、被害拡大を防げます。

権限管理

　被害拡大を防ぐために、各ユーザーのファイルやフォルダへのアクセス権を最小限にしておくという対策もあります。

　権限管理が甘かった20年前は、各人がAdministratorで仕事をしている組織が多くありました。各人が好きなソフトウェアをインストールしたいという理由でこうした管理者権限の利用が許容されていましたが、マルウェアに感染するとCドライブ全体が消えてしまうことも頻繁にありました。さらには、ネットワークマウントしたファイルサーバの中身も消えるという事態が発生することも。

　現代はこのような状況はまれですが、「社長が全ドライブにアクセスできるようにする」といった要件を見かけることはまだあります。アクセス権の見直しすることは重要です。

バックアップ

　ランサムウェアによってファイルが暗号化された場合、頼るべきはバックアップです。バックアップにも幾つか重要なポイントがあります。

• 1．バックアップ頻度：　バックアップの頻度が一日に一度のなのか一週間に一度なのかによって、復元時に救えるデータの量が変わります。従業員の作業量に応じて、頻度を調整することが重要です。
• 2．世代管理：　クラウドストレージの普及により、リアルタイムバックアップに慣れた組織も多いと思いますが、ウイルスにより暗号化されたファイルがリアルタイムでバックアップされてしまうリスクもあります。世代管理で複数のバージョンを保管することが重要です。
• 3．復元テスト：　バックアップはあるが復元できなければ意味がありません。定期的に復元テストを実施し、実際にデータを回復できることを確認しましょう。
• 4．復元時間：　復元時間もビジネスへの影響を最小限にするために重要です。復元に何日もかかるようでは業務が止まってしまうため、どの程度の時間で復元できるかを事前に確認し、対策を検討することが求められます。

ユーザー（社員）教育

　ランサムウェアでは、標的型攻撃が一般化しています。打ち合わせのためのツールと称し、マルウェアが仕込まれたアプリケーションをダウンロードするよう誘導されるケースもあります。多要素認証が導入されていても、偽のワンタイムパスワード入力フォームによって突破される事例も少なくありません。

　システム対応だけでなく従業員教育も不可欠です。ランサムウェアや標的型攻撃が身近な危機であることを理解させ、電子メールの内容やファイルの受け渡しに注意を払うように教育する必要があります。

身代金の支払い是非

　私は2000年当たりからウイルス感染したPCの処置をしてきました。ランサムウェアに関しては、従来のウイルスとは異なるイメージをユーザーが抱いている点に違和感があります。

　KADOKAWAの大規模なランサムウェア被害を受け、大きな争点の一つは「身代金を支払うべきかどうか」でした。以下の記事にもあるように、一般的には身代金は支払うべきではないとされています。半社会的な組織に自社の資金が流れることになりますし、一方的な要求に対してお金を払ったとしても、復号される保証はありません。さらに、復号された後のファイルが安全である保証もありません（ゼロデイ攻撃を踏まえると、全てのファイルを検査しても安心できるとは限りません）。

　ランサムウェアが流行し始めたときから、「身代金」という言葉には「要求に応じれば元に戻る」という前提があることに疑問がありました。また、窃取したデータの公開をやめるということについても確証が得られない点は同様です。

　従来のマルウェアであれば、ファイルは容赦なく削除されて終わりでした。対策としては、こうした「徹底的に削除するタイプのマルウェア」を前提にして対応する方がよいのではないでしょうか。全てのファイルが不可逆な状態になる、いわゆるタコやイカの形に変わってしまう「タコイカウイルス」のように、データがもう戻らないという最悪の事態を想定するのが、より適切なのではないかと考えています。

筆者の経験から考える、手順書の作成と連絡の重要性

　昔、私が管轄していたIT環境において、ウイルス感染者が出たときの話をお伝えします。

　ランサムウェアが流行する直前だったかと思います。当時はウイルス対策ソフトウェアを導入していたものの、ゼロデイ攻撃に遭ってしまいました。電子メールの添付ファイルをクリックしたことにより、対象者が感染したのです。

　にわかには信じられなかったのですが、ほぼ同じタイミングで2人の従業員が、メーリングリストに添付された同一の電子メールをクリックしてしまいました。内容を確認すると、自然な日本語で「業務上困っているので助けて欲しい」という文章が書かれており、二人とも「困っている人がいる」と思い、クリックしてしまったのです。

　このとき私が気付いたのは、「100人程度の規模の会社なので、一度にウイルス感染するのはせいぜい一人くらいだろう」という読みの浅さでした。自然な文面の電子メールが複数名が加入しているメーリングリストに流れると、複数名が同時にクリックしてしまう可能性があるのです。端末の隔離から対応、その復旧作業に至るまで、想定以上の時間がかかり、その日は一日中対応に追われていました。

　インシデントは突然起きるものです。余裕がある平時に、インシデント対応手順書を作成しておきましょう。火災避難訓練のように、手順を実際に実施して有効性を確認することが重要です。

　また、こうしたセキュリティインシデントは、特にランサムウェアのようなものであれば、経営層や法務部門への連絡、途中経過の報告が重要です。しっかり手順に落とし込むだけでなく、事前に関係者と共有し、合意を得ておくことが大切です。実際にインシデントに遭遇すると連絡が後回しになりがちです。この点を意識して手順書には連絡についても明記するようにしましょう。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito