Netpress 第2405号 ランサムウェアの事例から学ぶ 中小企業が今日からできる攻撃への対策と対応方法

Point
1.企業に対するサイバー攻撃では、以前は攻撃者にとって価値がある特定の大企業の情報などが狙われていましたが、最近は中小企業での被害が多く発生しています。
2.ここでは、ランサムウェア攻撃について、「なぜ中小企業が狙われているのか」、「ランサムウェア攻撃を受けたときの対応」、「経営層・現場担当者の事前準備」について説明します。


MS&ADインターリスク総研株式会社
デジタルイノベーション本部
スペシャリスト 遠藤 宣孝


1.はじめに

近年、サイバー攻撃に関するニュースが非常に多くなっています。


特にランサムウェア攻撃と呼ばれる、データを暗号化し、さらには機密情報を窃取して、暗号化データの復旧や窃取した機密情報を公開しないことと引き換えに身代金を支払うことを強要する攻撃が被害を甚大化しています。


本年6月に発生した大手出版社グループに対するサイバー攻撃では、その被害内容の大きさや内部情報のリークなどもあり大きな話題となりました。


このようなランサムウェア攻撃ですが、被害企業の過半数が中小企業であるという調査結果(警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」)もある通り、多くの中小企業が狙われています。


このランサムウェア攻撃について、「なぜ中小企業が狙われているのか」、「ランサムウェア攻撃を受けたときの対応」、「経営層・現場担当者の事前準備」について説明します。

2.なぜ中小企業が狙われているのか

中小企業へのサイバー攻撃の被害が多く発生しています。


以前は、攻撃者にとって価値がある特定の大企業の情報などが狙われていましたが、現在は、より効率的に金銭を稼ぐ傾向が強くなっています。


その理由の1つとして、攻撃のビジネス化により、容易にサイバー攻撃を実行できる環境が整ってきていることが挙げられます。これは攻撃側の役割や機能が細分化され、その個別の機能を攻撃者がさらに他の攻撃者に販売するというものです。


具体的には、「被害企業への不正侵入を担当し、その侵入方法を販売する者(Initial Access Brokers)」、「ランサムウェアを作成し、実行環境を販売する者(Developers/Operators)」、「それらを利用して攻撃を行う実行犯(Affiliates)」など、様々な役割に応じて活動しています。


これらの機能をまとめて、より簡単に攻撃を実行できるようにサービス化し、販売している攻撃者も存在しています。これは「RaaS(Ransomware as a Service)」と呼ばれ、数年前から報告されていましたが、現在はこのRaaSを利用した攻撃が多くなっています(下図を参照)。




攻撃の実行犯はRaaSの使用料を払うことで簡単に攻撃を行えるため、セキュリティ対策がしっかりしている大企業よりも、セキュリティ対策が不十分で、手っ取り早く金銭を窃取できそうな中小企業が攻撃のターゲットとなっています。

3.ランサムウェア攻撃を受けたときの対応

万が一、ランサムウェア攻撃などのサイバー攻撃を受けた場合、最初に考慮するべきことは「被害を拡大させない対応(ネットワークの遮断等)」です。


さらにランサムウェア攻撃に特有の対応方針の策定が必要になります。以下、その対応方針について2点説明します。


まず1点目は、「原則、身代金の支払いはしない」ということです。理由としては、身代金を支払ったとしても、必ずしも暗号化されたデータの復旧方法の開示や機密データの公開の中止は保証されず、攻撃者からさらなる身代金の支払いを強要される可能性があるためです。


2点目は、「原則、攻撃者とは直接交渉しない」ということです。時間稼ぎなどのために攻撃者と交渉する事例もありますが、交渉が決裂すると攻撃者により交渉内容をリークされ、自社に不利益となる情報が公開されてしまう可能性があります。どうしても交渉が必要となった場合は、サイバー事故対応事業者や警察等へ相談してください。


なお、身代金の支払いについては経営判断であり、一概に拒否すべきものではないとの議論もあります。実際に、攻撃者も金銭目的で活動していることから約束を守って対応するケースもあります。しかし、違法行為への関与といった倫理的な観点などからも、日本国内では身代金は支払わないという方針が共通認識であり、経済産業省からもそのような対応が推奨されています。

4.経営層・現場担当者の事前準備

ランサムウェア攻撃に備えた事前準備としては、適切なバックアップの取得や脆弱性への対応など様々なものがありますが、体制整備で重要なポイントの1つである「経営層と現場担当者とのコミュニケーション」について説明します。


筆者が複数のランサムウェア攻撃に対応したなかで、担当者からの説明が不足しており、また経営層も現場の理解が足りていないために、余計な負荷をかけてしまうケースが何件かありました。


たとえば、経営層の会議で必要という理由で、調査中のフェーズにも関わらず詳細な報告書の作成を現場に指示したことにより、調査に遅れが発生したケースです。現場担当者としては、平常時から経営層を巻き込みながら体制整備や机上訓練などを行い、緊急時にどのような役割で対応するのか、どのような報告が必要となるのか、双方の理解を深めることが重要です。経営層としては、経済産業省・IPA(情報処理推進機構)の「サイバーセキュリティ経営ガイドライン」などを参考にしつつ、セキュリティ対策は経営課題であるとの認識を持ち、積極的な関与をすべきです。


中小企業には、経営層と現場の距離が近いという大企業にはないメリットもありますので、平時より担当者と共にランサムウェア攻撃に備える体制を整備していただければと思います。



◎協力/日本実業出版社
日本実業出版社のウェブサイトはこちら 
https://www.njg.co.jp/


【SMBC経営懇話会会員限定】
サイバー攻撃への対策に関する無料講習会のご案内
テーマ:サイバー攻撃の最新動向を踏まえたインシデントレスポンスの重要性と
    体制整備について(ライブ配信あり)
講師:MS&ADインターリスク総研株式会社
   デジタルイノベーション本部 スペシャリスト 遠藤 宣孝
開催場所:SMBCコンサルティング東京本社9階セミナーホールC
開催日時:2024年10月11日(金)15:00~16:30(受付開始 14:30)
ご案内兼申込書へ



「Netpress」はPDF形式でもダウンロードできます

SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。

PDF一覧ページへ

プロフィール

SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ

SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。

法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。

https://www.smbc-consulting.co.jp/company/mcs/basic/sodan/


受付中のセミナー・資料ダウンロード・アンケート