最初に申し上げておきたいのが、ランサムウェアによる攻撃はすべての個人・法人が標的となっているということです。図1

企業のセキュリティ対策状況全般について、当社が実施した調査では、官公庁・民間企業を含めた従業員99名以下の組織の51.8％、2社に1社が、何らかのウイルス感染やサーバーへの被害があったと回答しています。それらの被害のうち、2014年に発生した大手通信教育会社の情報漏洩事案のように、漏洩したデータが悪用されたことによる顧客との関係悪化といった2次・3次被害が出ていると回答したのは24.5％、4社に1社にのぼりました。情報システムご担当者や経営者の皆さまには、中小企業に限定してもこれだけの被害が発生しているということを知っていただきたいと思います。

2015年から日本でも被害が増えているランサムウェアですが、当社にも「重要なデータを暗号化されてしまい困っている」という問い合わせが増加しています。2016年1～3月の被害件数はすでに2015年1年間の合計を上回っており、まさに猛威を振るっています。図2

ランサムウェアは、2015の3月ごろまではどちらかと言えば個人を中心に狙うサイバー攻撃でした。しかし、4月以降法人ユーザーの被害比率が増加しています。図3に示しているとおり、明らかに法人を狙っているとわかる要素がいくつかあります。

家庭の個人用PCの場合、Wi-Fi接続していても基本的にネットワークを構築するということは少ないので、データの保存も内蔵か外付けのハードディスクというのが主流です。一方、法人ではネットワーク環境が構築され、複数台のサーバーにさまざまな業務データが保存されており、そこには事業の根幹にかかわるようなデータも存在します。ランサムウェアはクライアントPC上のデータも暗号化することはもちろんですが、犯罪者はアクセスできるネットワーク上の共有リソースを探しだし、手当たり次第に暗号化していきます。このような手法は、明らかに法人を狙い撃ちしていると言える要因の一つです。

情報システム部門の方だけではなく、すべての従業員の方々にこういった犯罪が存在していて、「身近に迫っている」ということをご理解いただきたいと思います。

サイバー攻撃で狙われるのは有名企業や官公庁、または首都圏の会社ばかりだと思われている方が多いのですが、それは都市伝説と言ってもいいくらいの誤った認識です。私どもの調査データからも、実際には会社の規模や業種、所在地に関係なく狙われていることがわかります。図4

調査結果を分析していると、過去に何らかの被害に遭ったと回答する割合が多いのは、比較的対策が進んでいる組織だという傾向があります。これは逆に、本当は数字には表れていないところに危険が潜んでいるのではないかとも推察されます。対策が遅れている組織では、「うちには盗まれて困る情報はない」「盗まれたとしてもそんなに影響はない」「うちの会社は狙われない」とおっしゃることが多いのですが、これも間違った認識です。従業員の個人情報や取引先の情報など、どんな組織でも盗まれたら困る情報はいくらでもあるはずです。このような情報セキュリティに関する誤った認識は早急に撲滅していかなければなりません。

個人をターゲットにした場合、身代金の要求額は多くても3～4万円程度ですが、法人をターゲットとすることで身代金の要求額も跳ね上がっています。2016年2月、ランサムウェアの被害に遭ったアメリカの病院は、日本円で約180万円の身代金を攻撃者に支払いました。ランサムウェアの被害を受け、医療システム自体が使用不能となり診療に支障を来しただけでなく、人命にかかわる事態となったため、やむを得ず支払ったとされています。

身代金については、犯罪者へ資金を提供することになるため「絶対に払うべきではない」という意見や、事業継続を考慮して少しでもデータが元に戻る可能性があるならば「支払うことはやむを得ない」という両論があります。これは非常に難しい問題で、被害が自分の身に降りかかったときどう判断するのかという視点で考える必要があります。別の病院の事例では、身代金を支払ったにもかかわらず復旧できたのは一部のデータのみで、その後再び身代金を要求されています。そのほかにも、データが復旧したように見せかけて、実は完全には復旧できていないという事例が多くあります。セキュリティ対策ツールをご提供する私どもから言えるのは、「犯罪者の資金源になるため支払うべきではない」ということに加え、「身代金を払ってもデータが完全に復旧する保証はない」ということです。ランサムウェアによる攻撃は、身代金目的の誘拐と同じだと考えてください。

トレンドマイクロにも、「もしも被害に遭ったら身代金は払うべきなのか」というお問い合わせが多数寄せられていますが、被害に遭う前から身代金のことを考える前に、「被害に遭わないためにはどうするべきか」ということに資金や組織内のリソースを使っていただきたいと考えています。ランサムウェアの被害については、身代金の支払いに注目が集まりますが、それよりも、万が一の事態に備えて重要なデータは定期的にバックアップを取るなど、いかに被害を最小限に抑えるかということを検討してください。

図5に記載している「国内における被害事例②」の企業は、「CryptoLocker」と言われる凶悪なランサムウェアにより、クライアントPC上のデータだけでなく、ファイルサーバー上のデータが暗号化されてしまいました。この企業では被害発生直後からデータの復旧に奔走され、ようやく一段落したと思われたのもつかの間、再び被害に見舞われ、二度三度もランサムウェアの被害に遭っています。

なぜ何度も同じ被害に遭遇してしまったのか。それは、感染原因を特定し対処していなかったためです。データとシステムを復旧することには注力されたのですが、感染原因を放置してしまったことで、立て続けに被害に遭ってしまったわけです。感染原因を調べるためにはログの解析が必要です。詳細な原因の把握にはデジタルフォレンジック^※1調査が必要となりますが、これは専門的な知識が必要となるため、ほとんどのケースで調査を外部委託されます。しかし、企業によっては費用面の懸念から、調査を断念される組織もあります。

もし、そのように調査が難しい状況なら、主な侵入経路であるメールやWebサイトへのアクセスに対して対策を講じることが必須です。このところ増加しているメールによる侵入では、不正プログラムをメールに添付して、受信者に添付ファイルを開かせて感染させるタイプのものが主流です。ある程度ITリテラシーが高い従業員の方であれば、添付ファイルの拡張子が「.exe」になっているなど不審なファイルであることを判断できると思います。しかし、メールの不審点に気づけない従業員の方々のために、はじめからそういったメールにできる限り触れることがない環境を作る（受信者に判断させる機会自体を減らす）ことが重要です。

ランサムウェアなどのサイバー攻撃は100％防ぐことが難しいため、侵入されたことにいかに早く気づいて対応できるかが肝となります。侵入の痕跡を早期に発見できる対策の導入もぜひご検討いただきたいのですが、自分たちで運用するのが難しい場合には、外部の監視サービスを活用するという方法もあります。当社でもサービスを請け負っていますので、お問い合わせいただければと思います。

サイバー攻撃対策においてもっとも重要な考え方は、「この製品を導入したから、またはこの対策を行っているから絶対に大丈夫」と言える対策はないということです。さまざまな対策を複合的に行う多層防御でリスクを減らしていくしかありません。情報セキュリティ対策は0か100かではなく、いかにリスクを少なくしていけるかです。例えば、住宅の防犯対策でも、ピッキングされにくい鍵を使った上で2箇所に鍵をかけたり、複層の窓ガラスにさらにシャッターを取りつけたりするのと同じです。

また、サイバー犯罪者は人の心の隙を狙ってくるため、従業員の方々にランサムウェアのような犯罪が存在することの周知も重要です。この話をすると、「従業員教育に必要な資料やツールを作るためのリソースが足りない」とおっしゃる方もいますが、当社やセキュリティにかかわる官公庁の外郭団体などのWebサイトから教材をダウンロードしていただくこともできますので、うまく活用いただければと思います。特別なことをしなくても、朝礼や定例の会議などで「こういう犯罪が起きているから気をつけるように」と伝えるだけでもそれなりの効果は期待できます。組織全体の情報セキュリティ意識の底上げに取り組んでいただきたいです。図6