ランサムウェアの対策！ 未然防止、被害軽減、感染後対策について専門家が解説

ランサムウェアの未然防止対策

ランサムウェアの未然防止対策には、次のようなものがあります。

ウイルス対策ソフトを導入する

ウイルス対策ソフトとは、主にクライアントPCへ導入するセキュリティソフトウェアです。

定義ファイルにマッチしたマルウェアを検知する「シグネチャ検知」や、異常な動きを検知する「アノマリ検知」などを用いてデバイスを保護します。

具体的なウイルス対策ソフトとしては、Windows OSに標準搭載されているMicrosoft Defender、トレンドマイクロが提供するウイルスバスター、ノートンライフロックが提供するノートンアンチウイルスなどがあります。

修正プログラムやパッチ

修正プログラムやパッチとは、OSやソフトウェアの修正や更新を行うものです。

主に脆弱性やバグなどが発見された際に配布され、速やかに適用することが推奨されています。

ランサムウェアを含め、サイバー攻撃の手法は残念ながら日々進化しており、発見された脆弱性は即座に攻撃のターゲットとなります。

そのような危険性から情報資産を守るためにサービス提供元からは都度修正プログラムやパッチが提供されます。

代表的なものにはWindowsアップデートやGoogle Chromeの更新などがあります。

Webフィルタリング

Webフィルタリングとは、業務に不要なWebサイトや、悪意のあるWebサイトへのアクセスを制限する機能やサービスのことです。

具体的には、ギャンブルやアダルト、薬物に関するサイトへのアクセスを禁止するほか、業務に必要なサイト以外へのアクセスはすべて禁止するなどの制限が可能です。

アクセス制限を行う方法として、「URLフィルタリング」や、閲覧できるカテゴリを制限する「カテゴリ（コンテンツ）フィルタリング」があります。

電子メールなどへの警戒

ランサムウェアの感染経路のひとつとして、メールがあります。

攻撃者はマルウェアを添付したメールや悪意のあるWebサイトリンクを含んだメールを送付し、そこからの感染拡大を狙います。

また、従来は明確なターゲットを定めない「ばらまき型」のメールが主流でしたが、近年では標的型メールが使用されています。

一見、組織になじみ深いサイトや送信元から送られたメールに見えても、実はなりすましのメールであり、そこからランサムウェアに感染するという事例が報告されています。

認証情報の管理

近年のランサムウェアは、感染後、組織の内部情報を大量に窃取したり、横展開でほかのPCに感染させたりするケースが増えています。

テキストファイルにIDやパスワードが保存されていると認証情報が奪われてしまい被害が拡大するため、認証情報は厳重に管理してください。

最低限認証情報を記載したファイルには、パスワードや暗号化といった保護を行い、かつ流出した際に不正アクセスを防ぐために、多要素認証を導入するなど認証の強化を行いましょう。

社内のセキュリティ教育を徹底する

従業員向けのセキュリティ教育は、重要なランサムウェア対策です。

ランサムウェアに限らず、マルウェアの感染経路として考えられるメールやWebサイト、外部記憶媒体の取り扱いについて周知を行い、万が一感染してしまった際の報告フローまで教育を行いましょう。

また、教育は定期的かつ継続的に行い、従業員の情報セキュリティに対する認識を保つことが大切です。

また、標的型攻撃メールの訓練などで教育の効果測定を行うことも有効です。

ランサムウェア感染の被害軽減対策

ランサムウェア対策を行っていても、感染の被害に遭ってしまう可能性はあります。

ここでは、被害を最小限に抑えるための方法を見ていきましょう。

アクセス権限の最小化

前述の通り、近年のランサムウェアは組織で横展開する傾向にあります。

感染元のデバイスに必要以上のアクセス権限が与えられていると、組織の重要な情報が保管されているサーバーやサービスにまで被害が拡大する危険性があります。

ユーザーに与えるアクセス権限は必要最低限にとどめ、管理者権限を持つユーザーの数もできるだけ少なくすることで、感染時の被害拡大を防止できます。

データのバックアップを取っておく

ランサムウェアは、データを暗号化し、解除することを条件に身代金を要求する攻撃です。

そのため、定期的にPCやサーバーのファイルをバックアップすることで、ある程度自力で復旧できます。

なお、バックアップはPCやサーバーからアクセス可能な場所に保存しないようにしましょう。

バックアップしたデータにアクセスできる状態になっていると、バックアップも同時に暗号化される危険性があります。

ネットワークを監視する

ランサムウェアを含むマルウェアはC&Cサーバー（攻撃者が指令を出すサーバー）と通信する場合が多いため、通信経路上でネットワークを監視する対策が有効です。

ファイアウォールで不要なポートやアドレスへの通信を遮断しつつ、IPS／IDSを用いてネットワークの監視と遮断を行いましょう。

IPS／IDSは不正アクセスを検知して遮断するネットワーク機器です。

ランサムウェア感染後の対策

ここでは、ランサムウェアに感染した場合に取るべき対策を解説します。

ランサムウェアの種別の特定

感染したランサムウェアの特定には、「No MORE RANSOM」で提供されている「ランサムウェアの特定」が有効です。

暗号化されたファイルを当該サイトにアップロードし、ランサムウェアの特定と復号ツールが提供されていることがわかった場合は、そのツールをダウンロードできます。

アップロードしたデータが一般公開されることはありませんが、機密情報を含むファイルのアップロードなどは避けたほうがよいでしょう。

ランサムウェアからの復旧プロセス

ランサムウェアに暗号化されたファイルの復号（元のデータの復元）は、基本的に不可能です。

バックアップを取得している組織の場合は、そこから復旧する方法が一般的ですが、一部のランサムウェアについては復号ツールが公開されています。

感染したランサムウェアの種類を特定したうえで、該当するランサムウェアの復号ツールが存在するかどうか確認してみましょう。

復号ツールの有無は「No MORE RANSOM」で提供されている、「復号ツール」から確認できます。

ランサムウェアの対策についてのまとめ

ランサムウェアの未然防止、被害軽減などの対策について解説しました。

ランサムウェア対策として有効な方法には、ウイルス対策ソフトの導入や、修正プログラム・パッチの適用などがあります。

しかし、サイバー攻撃の手法は日々進化しており、発見された脆弱性は即座に攻撃のターゲットとなるため、100%感染を防止するのは難しいのが現状です。

本記事を参考に、感染防止対策を施し、感染した場合に被害を最小限に食い止める方法や感染後の対処法を学んでおきましょう。