ESET/マルウェア情報局

ランサムウェアを用いた詐欺の標的となりやすい中小企業、どのような対策を講じるべきだろうか?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「中小企業はランサムウェア攻撃の格好のターゲット」を再編集したものです。

 世界銀行によると、ほとんどの国において中小企業は経済的に重要な役割を果たしており、全世界の事業の90%、雇用の50%以上の割合を占めている。ここで言う中小企業とは、家族経営のレストランから、設立されたばかりの企業、そして数百名の従業員を擁する企業まで広範囲に及ぶ。

 各国の経済に貢献している一方で、ほとんどの中小企業において、サイバー攻撃への対策が十分ではないという課題も抱えている。サイバー攻撃のリスクは、数時間のダウンタイムや収入減を引き起こすDDoS攻撃から、ランサムウェア関連などを含めたマルウェア攻撃にまでわたり、最終的には事業継続を断念せざるを得ない企業が発生する可能性もある。

中小企業がターゲットとなる理由

 大企業を狙ったほうが攻撃者にとって高い収益が見込めそうなものだが、中小企業はサイバー攻撃への備えが十分ではないため、攻撃者にとって魅力的なターゲットとなってしまっている。

 Ponemon Instituteの最近の報告書によると、中小企業が直面する最大の問題は、サイバー攻撃やそのリスク、そして脆弱性に対処できる要員が社内に不在なことだ。次に深刻な問題として、予算に制約があること。そして、サイバー攻撃から自社を防御することについて適切に理解できていないことだ。

 以上のことを踏まえると、中小企業の従業員が潜在的なリスクや攻撃を識別できないのは当然のことかもしれない。Ponemon Instituteの報告では、企業がランサムウェアの攻撃に遭遇した場合の一番多い攻撃手法は、フィッシング詐欺ソーシャルエンジニアリングとなっている。また、二番目にはなりすましのWebサイト、三番目には悪質な広告が挙がっている。

 これらのことから言えるのは、サイバーセキュリティに関する適切なトレーニングを過小評価すると、長期的には企業が損害を被る可能性があるということだ。適切なトレーニングは決して安くない投資ではあるが、ランサムウェアによる攻撃被害に遭遇した場合はそれ以上の費用がかかることになるだろう。

攻撃による被害額

 Dattoの報告によると、マルウェアの中でもランサムウェアは中小企業が直面する最大の脅威であり、5社に1社が、過去にランサムウェア攻撃の被害に遭ったと報告している。攻撃者による平均的な身代金の額は5900ドル(およそ62万円)となっている。しかし、被害金額はこれだけにとどまらないことに注意したい。事業の中断による損失額は2019年に要求された身代金の23倍、14万1000ドル(およそ1500万円)にものぼり、2018年から2019年にかけて、この額は倍増している。

 損失コストとして、例えば攻撃の発見、調査、封じ込め、復旧、そして自社の評判に関する損失なども該当する。さらに、紛失した情報による損失のコストも考慮しなければならないだろう。

 企業によっては、事業中断の時間を最小限にとどめたいと考え、身代金を支払って重要なファイルへのアクセスを確保しようと判断するケースもあるかもしれない。しかし、身代金を支払ったからといってアクセスが確保される保証はどこにもない。ランサムウェアを裏で操る、サイバー攻撃者が身代金の額を引き上げ続ける可能性も否定できない。また、その要求に応えて全額支払った場合でも、すべてのデータを復旧できる保証はなく、損失が残ることに変わりはない。

 ESETのサイバーセキュリティ専門家であるジェイク・ムーア(Jake Moore)は「サイバー犯罪者に身代金を支払うことは、より巨大なサイバー攻撃への資金源となる。そして、支払いが必ずしも問題を解決するわけではないと念を押す必要がある。」とこの件について言及している。

どのような選択をすべきか

 ランサムウェアの被害を防ぐためには、感染予防の対策を重視する必要がある。具体的なものとしては以下の通りだ。

・全従業員に対して定期的にトレーニングを行ない、常に最新のサイバーセキュリティのベストプラクティスを維持させるように努めること。ランサムウェアが仕込まれた可能性のあるメール本文内の不審なリンクをクリックする、あるいはマルウェアを一緒に取り込む危険性がある未確認のUSBメモリーを使用するといったことがないよう、地道な啓蒙を通じ制止しなければならない。

・自社内のOSを常に最新のものにし、パッチがリリースされた場合は速やかにパッチを適用すること。

・常に最悪の事態を想定し、最善を尽くすこと。攻撃による被害に備え、事業継続計画(BCP)を立てておくことも重要だ。事業継続計画には、データのバックアップや、ロックされたシステムを復旧する間に使用できるバックアップインフラも必要となる。

・個人か大企業かに関わらず、バックアップはすべての人にとって必要不可欠なことだ。事業に関する重要なデータは定期的にバックアップし、バックアップが正しく機能しているかどうかを定期的にテストすることで、攻撃に遭ったときに困惑するような状況を生み出さないこと。特に、重要性の高いデータはオフラインでも保管すべきである。

・不要なソフトウェアやサービスを無効化し、アンインストールしておくことで攻撃対象を減らす。特に、リモートアクセスはランサムウェア攻撃の主要手段となっており、インターネット向けリモートデスクトップ(RDP)は完全に無効にするか、インターネットを通じて会社のサービスにリモートアクセスする人数を制限することが推奨されている。

・評価の高い多層防御のセキュリティーソリューションを過小評価しないこと。ランサムウェア「だけ」でなく、どのようなサイバー攻撃による脅威からも防御するための第一の対策となる。また、製品に最新のパッチが適用されているかどうかも確認するようにしたい。

関連記事:Social engineering and ransomware (ソーシャルエンジニアリングとランサムウェア)
代金をランサムウェアの要求通りに支払うべきか否か
ランサムウェア復旧の経済学

[引用・出典元]
Small and medium‑sized businesses: Big targets for ransomware attacks by Amer Owaida 7 Aug 2020 - 11:30AM
https://www.welivesecurity.com/2020/08/07/small-medium-sized-businesses-big-targets-ransomware-attacks/