6月5日の基調講演では、日本ハッカー協会・代表理事の杉浦隆幸氏が「中堅・中小企業も狙われている!ランサムウェア被害にあう会社とあわない会社」と題して講演した。
日本ハッカー協会
代表理事 杉浦隆幸氏
杉浦氏はまず、ランサムウェアを「データを暗号化して身代金を要求するマルウェア」と定義した上で、「ランサムウェアを使わずに身代金要求をする手口もあるので、それも含めた総称としてランサム攻撃と呼ぶことが多い」と解説した。年間の被害件数は、世界で6000件以上、国内でも100件ほど。これらは届け出があった件数なので、実数はその3倍程度になるとみられる。
では、なぜ企業・団体は攻撃されるのか。杉浦氏によれば、脆弱性がある機器をインターネット(特にIPv4)に接続していれば、どんな企業・団体でも被害の可能性はある、という。
ただ、“被害にあう会社”と“あわない会社”があるのは確かだ。被害にあう会社の特徴として杉浦氏が挙げるのは「VPNを使用」「ファイルサーバーあり」「業者にリモート保守を許している」の3点。さらに、「VMware ESXi」などの仮想化基盤があったり、オフラインバックアップ(WORMを含む)を取っていなかったりすると、被害はより大きくなる。
一般に、ランサム攻撃は「侵入」→「アクセス権限を拡大」→「ファイルを外部に送信」→「ファイルを暗号化」→「脅迫文を表示・印刷」→「対外公表」と進行していく。業務用のファイルが暗号化されると業務が数カ月止まってしまうことは珍しくないし、社会的信用の失墜から企業倒産に至ることもあり得る。
もっとも危険な要因として、杉浦氏は「脆弱性のあるVPN機器の使用」を挙げる。特に、IPv4からアクセス可能になっているものは要注意だ。また社内ネットワークでの横展開(感染)を防ぐには、各機器の出荷時にベンダーが設定しているIDやパスワードを削除し、ファームウェア類を定期的に更新することも必要。外部への送信には一般的なツールが使われ、送信先はストレージサービスであることが多い。暗号化されてしまってもデータを回復できるようにするには、バックアップをオフラインメディア(磁気テープなど)や、WORMメディアに保管するのが鉄則だ。
被害にあった企業・団体がまずしなければならないのは、被害の実態を把握すること。次に、システム担当者、役員、広報担当者、ランサムウェア対策の専門家などを招集して対策や対外発表の方法を検討しなければならない。
「セキュリティーとのトレードオフになるのは、利便性ではなく、コストとシステム安定性」と杉浦氏。セキュリティー対策には十分なコストをかけ、セキュリティー更新によってシステムが不安定になる恐れがあれば、セキュリティーとシステムの専門家に相談することを勧めた。
