企業や組織の重要な情報資産を脅かす存在として、悪意ある第三者によるランサムウェアの脅威は、年を追うごとに増大している。被害の手法やターゲットは多様化しながらも、ランサムウェアは根本的にファイルやデータを人質に金銭を要求するという特徴を持つ。そのため、あらゆる規模の組織や個人にとって、データを安全に守るための効果的な対策は喫緊の課題となっている。ランサムウェアは、一見正当なメールやサイトを装ったソーシャルエンジニアリング技術と、ウイルスやマルウェアと類似した感染経路を持つことが多い。感染すると、被害者の端末やサーバー内のデータが暗号化され、身代金を支払わなければ解読できない状況に追い込まれる。
まず基本となる対策は、データのバックアップの徹底である。定期的にバックアップを取り、それを本システムとは物理的にもネットワーク的にも切り離した環境に保存することで、暗号化されたとしても安全なコピーから復旧することが可能となる。重要なのは、単にバックアップを行うだけでなく、実際にそのバックアップから復元できるか定期的に検証する習慣を取り入れることである。バックアップデータ自体が感染してしまうトラブルも発生しているため、保存環境へのアクセス制御やウイルス対策ソフトによる保護も万全に行う必要がある。エンドポイントの保護も欠かせない。
ウイルス対策ソフトの導入と定期的な更新、そして各種セキュリティパッチの速やかな適用を徹底することが重要だ。脆弱性を狙った攻撃がランサムウェア感染のきっかけになる場合も多いため、日頃からソフトウェアやオペレーティングシステムは常に最新の状態にしておくことが求められる。また、不審なメールを社員が開封しない、怪しいファイルやURLをクリックしないように啓発するセキュリティ教育も対策の一環である。実際、標的型メールや添付ファイルから感染する事例が多く報告されており、人の誤操作による感染拡大のリスクは無視できない。ネットワークの分離やアクセス権限の最小化も有効な防御策の一つといえる。
サーバーや端末を業務ごとのネットワークに分割し、不要なデータやファイルの共有を制限することで、万一一部の端末が感染した場合でも影響範囲を最小限に食い止められる。また重要なファイルやバックアップ領域には、管理者以外はアクセスできない仕組みを構築し、不正な操作やウイルスによる暗号化を防ぐことが推奨される。実際のランサムウェアの被害状況をみると、攻撃は組織のセキュリティ対策の隙間を突いてくるケースが多い。暗号化の標的となる範囲も多岐に渡り、データベースや業務用ファイルだけでなくクラウドストレージ内のデータが被害に遭う場合も目立ってきている。そのほか、ネットワークを利用した感染拡大も特徴的で、連携している複数の拠点や子会社などにも被害が及ぶ事例が増えている。
そのため、ひとつの対策だけでなく、複数の手段を組み合わせて多層防御を構築することが理想とされる。被害の発生後は、決してすぐに身代金の支払いに応じてはいけない。背景には、支払ったとしてもデータが復元されない、もしくは情報そのものが闇市場で売買される例もあることが挙げられる。まずは感染拡大の防止策としてネットワークの切断や感染端末の隔離などの初動対応を取り、できる限りのデータ復旧や業務継続計画を遂行することが求められる。外部の専門機関やセキュリティベンダー、警察などへの相談も正しい判断につながることが多い。
客観的な第三者の分析により、より安全かつ的確な初動対応が促進されるからである。また文書やデータの取り扱い規定を設けておくことや、外部ストレージやUSBメモリの持ち込みを制限するといった日常的な制度設計も重要である。ウイルス耐性を高める意味で、個々のデータファイルに対しても適切な暗号化を施すとともに、必要最小限のデータだけを保持し、不要になったものは速やかに廃棄する「情報の断捨離」も積極的に行うべきだとされる。こうした管理体制の徹底により、万一暗号化による消失や漏えいが起きた場合の被害を抑止できる。今後もランサムウェアの技術はさらに巧妙化すると考えられ、既存のウイルス対策では防ぎきれない攻撃手法も登場するだろう。
人工知能など新たなテクノロジーの活用やセキュリティアプライアンスの導入など、組織の性質や業務内容に応じた柔軟かつ多層的な対策が求められている。そして何より、データの重要性を再認識し、自組織のリスク評価にもとづいた継続的な改善活動が現場レベルで根付き、対策の実効性を継続的に検証し続ける姿勢が被害防止のカギとなる。ランサムウェアは年々巧妙化し、企業や組織にとって深刻な脅威となっている。主にデータを暗号化し、復号のために身代金を要求する手口が特徴であり、被害の対象や手法も多様化している。その対策として最も重要なのは、定期的なバックアップとその検証であり、バックアップデータを本システムから隔離し、安全な場所に保存することが求められる。
また、ウイルス対策ソフトの導入やセキュリティパッチの適用といったエンドポイント保護、不審なメールへの注意喚起を含む社員教育も不可欠だ。ネットワークの分離やアクセス権限の最小化によって、万が一感染が発生しても影響範囲を限定できる。さらに最近では、クラウドストレージや複数拠点間での感染拡大も増えており、単一の対策だけでなく多層的な防御が理想となる。被害発生時は慌てて身代金を支払わず、ネットワーク切断や感染端末の隔離など初動対応を徹底し、外部の専門機関への相談を行うことが重要である。日常的にはデータの取扱い規定の整備や外部デバイスの制限、不要な情報の破棄などの管理体制も必要だ。
技術の進化と共に新たな攻撃にも備え、組織ごとにリスク評価と対策の見直しを継続していく姿勢が被害を防ぐための鍵となる。