ランサムウェア対策 バックアップだけでなく、もうひとつやるべきことがある(vol.6)

序章

ランサムウェア対策2022年の企業の重要取組みテーマであり、ランサムウェアの被害が広がらないよう手を打たなければなりません。まずランサムウェア対策にはバックアップを取っておくことが大事です。しかしバックアップを取っていても、感染してしまうとシステムとデータが消えてしまうことがあります。ストレージやNASを活用して、どのようなバックアップ方法を取ればよいのでしょうか?

そしてランサムウェア「emotet(エモテット)」は2021年から2022年にかけて、強力に変異しています。アンチウイルス対策やEDRに加えて、企業がやるべきことがもうひとつあるのです。ランサムウェア対策のための切り札とも言えるソフトや会社もご紹介いたします。

2021年から2022に変異するランサムウェア「emotet(エモテット)」

ランサムウェアが2021年から2022年にかけて、企業に対して猛威を振るっています。ランサムウェアとは、コンピューターウイルスの一種であるマルウェアを企業のパソコンに感染させ、社内システムを停止させ被害を与えるウィルスのことです。そして「社内システムを復旧したければ、企業に身代金を出せ」と攻撃者は要求します。企業は攻撃者に身代金を支払い、社内システムを元に戻すか、支払いを拒否すれば、取引情報などの社内機密情報を公開されてしまいます。このような悪質なやり口で、ランサムウェアによって企業は被害を受けているのです。まさに一般企業に対する新しいサイバー攻撃と言えます。

そして2021年から2022年にかけて増えているマルウェアがEmotet(エモテット)です。Emotetはメールを通じて感染していく悪意のあるプログラムです。Emotetに感染したパソコンはメール機能を乗っ取られていまい、自分の名前でウイルスを拡散させていきます。例えば、自らのメールアドレスで、社員の同僚や取引先のメールアドレスにEmotetに感染させるためのメールを送り続けます。日本は添付ファイルでメールを送る習慣が根強いので、知っている人からきた添付ファイルならついつい開いてしまいます。そしてEmotetに感染するのです。

2021年までのEmotetはこのようなメールアドレスを盗み、拡散させていくタイプが主流でした。しかし2022年からのEmotetは機密情報を盗むタイプに変異しているのです。例えば、IDやパスワード、カード番号やカード有効期限を盗むやり口に変わってきています。知っている人のメールアドレスで送信するだけでなく、署名や企業ロゴまで記載し、完全に相手を信じ込ませるのです。

2022年に変異したEmotetに感染した企業は、京セラ、ワコール、積水ハウス、ライオン、日本医師会など、セキュリティ対策をしている有名企業や団体でも感染しています。小さな被害で留まったのか、身代金を支払う大きな被害になったのかは公表されていませんが、2022年型のEmotetの脅威は広がるばかりです。では企業はEmotetに対してどのような対策をすればよいのでしょうか?

ランサムウェア対策にはまずはバックアップを取ろう

企業はアンチウイルスとEDREndpoint Detection and Response)のようなセキュリティ対策をしても、Emotetのようなマルウェアに感染するケースはあるという前提で、ランサムウェア対策の運用を考えなければなりません。まずランサムウェア対策の運用としてやるべきことは、システムとデータのバックアップです。

システムとデータのバックアップはほとんどの企業で取っているはずです。しかしバックアップを取っていても、ランサムウェアに感染したパソコンからアクセスできるバックアップサーバであれば、使用停止に追い込まれます。バックアップサーバはほぼ確実に使えなくなるので、バックアップをしたシステムとデータは消滅します。実際にランサムウェアに感染した企業は、バックアップサーバが使えなくなり、OSやアプリケーションのシステムを再構築し、マスターやデータは再入力をした例がヤマのようにあります。

このような事態を避けるためにバックアップサーバは、社内ネットワークから切り離した場所に構築することをおすすめします。社内ネットワークとは別のプロトコルで通信できるクラウドを使ったストレージやNASのサービスが登場していますので、ぜひ利用してみてはいかがでしょうか。OSやアプリケーションなどを丸ごと保存するシステムバックアップはもちろんのこと、大事なデータバックアップは世代管理をしておきましょう。Arcserveのような長年の実績のあるバックアップソフトを利用したり、テープ管理をしたりする方法も、ランサムウェア対策のバックアップには有効的です。

しかしランサムウェアに感染するケースはあるという前提で、バックアップ対策しなければならないというものの、できればランサムウェアに感染したくはありません。もっと効果のあるランサムウェア対策はないのでしょうか。

代表的なランサムウェア対策は、アンチウイルスとEDRです。しかしアンチウイルスで対策をしても結局は、未知のマルウェアやランサムウェアには対応できず、社内ネットワークへの侵入を許してしまいます。EDRの構築と運用は高いセキュリティ知識を持った専任担当者が必要であり、EDRの運用は一般企業では大変です。

そこでランサムウェア対策の切り札とも言える、ランサムウェアに対応できるソフトと導入をサポートしてくれる会社をご紹介いたします。大手航空会社の3万台のパソコンが、このランサムウェア対策ソフトで防御できているのです。

ランサムウェア対策の切り札 ソフトと会社をご紹介

Emotet」(エモテット)のような2022年型の新しいランサムウェアでは、アンチウイルスで対策をしてもすり抜けて感染してしまいます。EDRのようなで感染した後の監視を強化しても、社内システムが使用停止になるケースがあります。

そこでランサムウェアが侵入・感染することは前提としながらも、「発症はさせない」をコンセプトにしているランサムウェア対策ソフト「AppGuard(アップガード)」という製品をご紹介します。

まず、アンチウイルス製品やEDRとは併用しながら、ランサムウェア対策ソフト「AppGuard(アップガード)」を構築します。アンチウイルス製品は検知型ですので、既知のマルウェア対策として機能します。EDRは社内ユーザーのパソコンやサーバ等の不審な挙動を監視・検知するために機能します。しかし、前述した通り、アンチウイルス製品でも未知のマルウェアはすり抜けてしまい、EDRで監視・発見したとしても、すでに社内や取引先は膨大なEmotetによる感染メールを送ってしまうことがあります。

そこでアンチウイルス製品やEDRはそれぞれの役割を果たしながら、AppGuardは防御型のランサムウェア対策ソフトとして機能します。具体的な役割としてはOS環境を守るエンドポイントソリューションですので、もしランサムウェアに感染しても、クライアントやOS環境を防御します。つまり、ランサムウェアに感染した瞬間にパソコンのプロセスやフォルダ、ファイルやメモリ、設定値のOS環境を止め、悪質な動作をさせないのです。そのパソコンはEmotetに感染はしたとしても、社内外に広がっていないので発症を防ぎます。ランサムウェアに感染するケースはあるという前提で、危険なプロセスが発生しても、パソコンそのものを動作させないしくみを作れるのが、AppGuardなのです。

そしてAppGuardは(株)電通国際情報サービス(以下、ISID)が導入をサポートします。アンチウイルス製品やEDRの導入に比べ、AppGuardはセキュリティポリシーのナレッジが導入設定時に求められます。OS環境そのものを動作させないためのアプリケーションナレッジや回避策、運用担当者の負荷を下げるナレッジなどのノウハウが必要なのです。ISIDではこれまで数多くのAppGuardの導入実績からセキュリティポリシーのナレッジを持っています。

ISID社では、全日本空輸(ANA)社の3万台の導入サポート実績があります。「ISID社だからこそ、AppGuardでセキュリティ対策が構築でき、グループ全体の事業力を強化できた」とANA社は導入事例インタビューで語っています。下記URLの導入事例記事をぜひご覧ください。まさにランサムウェア対策の切り札とも言える、ソフトと会社ではないでしょうか。

全日本空輸(ANA)社の導入事例PDF 無料ダウンロード

https://itsol.isid.co.jp/appguard/casestudy/

まとめ

「ランサムウェア対策 バックアップだけでなく、もうひとつやるべきことがある」と題しまして、ご紹介してまいりました。ランサムウェア「emotet(エモテット)」は2021年から2022年にかけて、機密情報を取得するメール型に変異していることがわかりました。もちろん、ランサムウェア対策にはバックアップが重要です。感染時に使用停止にならないために、社内ネットワークから切り離したストレージやNASサービスの利用を検討しましょう。

そしてアンチウイルス製品やEDRと併用することで、ランサムウェア対策の切り札になれるランサムウェア対策ソフト「AppGuard(アップガード)」の存在を知ったと思います。ランサムウェアが侵入・感染することは前提としながらも、「発症はさせない」をコンセプトにしているソフトですし、ISID社という会社が数多くの導入事例から得たナレッジを、みなさまの導入サポートに提供してくれます。

ランサムウェア:emotet(エモテット)の脅威は2022年だけでなく、2023年以降も続きます。「うちがランサムウェアにやられるわけはないだろう」という楽観的な考えは、そろそろ捨てるべきです。公表されている企業だけでなく、公表していないランサムウェア被害件数はもっとあると言われています。ランサムウェアの被害を受けていても、「表に出せない企業」がいるのです。

そこで「ランサムウェア対策」と「emotet(エモテット)対策」について学習できる資料があります。

弊社ではランサムウェア対策やEmotet(エモテット)対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。