Emotet感染の急増とともにランサムウェア被害に関する情報を聞かない日はないと言っても言い過ぎではない状況ですが、改めてランサムウェア被害の実情と対策について、警察庁が発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei_sokuhou.pdf
の情報を基にお話します。
被害件数は急増
これまで警察庁に報告されたランサムウェア被害件数は、
- 令和2年下半期:21件
- 令和3年上半期:61件
- 令和3年下半期:85件
と増加を続けており、大手製造業が被害に遭い事業に多大な影響が出たという報道を目にしたかと思います。
令和3年に被害報告された被害に遭った企業団体の規模別報告件数は、
- 大企業:49件(34%)
- 中小企業:79件(54%)
- 団体等:18件(12%)
- 業種別では
- 製造業:55件(38%)
- 卸売、小売業:21件(14%)
- サービス業:20件(14%)
- 建設業:10件(7%)
- 情報通信業:9件(6%)
- その他:31件(22%)
となっており、企業や団体の規模や業種を問わず広範囲に及んでいます。
被害は甚大
記憶に新しい被害事例を挙げると食品メーカーが決算発表を遅らせたもの、医療機関では診療システムの再開までに2か月以上要したものや自動車メーカーが生産ストップするなど非常に大きな被害が出ており、いずれもシステムを復旧させるまでに時間を要したことが原因です。
被害は業務をストップさせただけではなく、システムを復旧させるために多くの時間と費用もかかっており、海外ではさらに大きな被害も報告されています。
令和3年に被害報告された被害に遭った企業団体の被害からの復旧に要した時間は、
- 即時~1週間:32件(30%)
- 1週間~1か月:26件(24%)
- 1か月~2か月:15件(14%)
- 2か月以上:11件(10%)
- 復旧中:24件(22%)
約2割は復旧作業が完了していないという報告が出されています。
また、復旧に要した総額は、
- 100万円未満:21件(22%)
- 100万円~500万円未満:27件(28%)
- 500万円~1,000万円未満:7件(7%)
- 1,000万円~5,000万円未満:34件(35%)
- 5,000万円以上:8件(8%)
という結果になっています。
ランサムウェアの感染経路
コロナ禍の影響でテレワーク等によって自宅などの組織外ネットワークから組織内ネットワークへの接続が増加しました。
セキュリティ対策として多くの企業や団体でVPN接続方式を採用していますがVPN機器のぜい弱性を突いて組織内のネットワークに侵入し、ランサムウェアに感染させる手口が被害の多くを占めています。
令和3年に被害報告された被害に遭った企業団体のランサムウェア感染経路は、
- VPN機器からの侵入:41件(54%)
- リモートデスクトップからの侵入:15件(20%)
- 不審メールやその添付ファイル:5件(7%)
- その他:15件(20%)
となっています。
ランサムウェア感染対策
これらのことからランサムウェアに感染すると事業や業務がストップし人員、金銭的にも甚大な被害を及ぼすことが分かったかと思います。
では、ランサムウェア感染の対策はどうすべきか。
感染経路の多くを占めるVPNに対しては、
- 常に最新のバージョンで運用する
セキュリティパッチは出来るだけ早く適用する、サポート切れの古い機器は使用しない、など。 - アカウント管理を厳格に行う
アカウント削除が発生した場合は迅速に行う、VPNパスワードは複雑なものにする、など。
リモートデスクトップに対しては、
- アクセス制御の強化
接続できるIPアドレス、ポートの制限を強化する、など。 - 認証の強化
多要素認証など認証を強化する、ログイン試行回数制限を設ける、など。
不審メールに対しては、
- 不審なメール、添付ファイルは開かないことを周知徹底する、など。
- セキュリティ対策ソフト、EDRなどの導入、など。
が挙げられます。
今後も攻撃は続くと思われ、攻撃手法や侵入経路などが変化する可能性もあることから、警察や関係団体、セキュリティベンダーなどが発信する情報を参考に対策を実施することをお勧めします。
感染してしまった際には被害状況の内容と範囲の把握を行い、被害を最小限に留め早期復旧のため迅速な対応を行うことが重要です、これらの対応をどのように行うか対応マニュアルを作成し定期的に訓練を行うこともお勧めします。
