急増する「ランサムウエア」とは　最新の対策や復旧方法を分かりやすく解説

最近、「ランサムウエア」による被害をニュースで聞く機会が増えています。インターネットの普及により、生活が便利になった一方で、サイバー犯罪に遭うリスクも高まっています。ランサムウエアとは、どのような攻撃なのか。被害を防ぐためのポイントは何なのか。ランサムウエア対策に詳しい日立ソリューションズの猪股健一さんに話を聞きました。

──そもそもランサムウエアとは、何なのでしょうか。

猪股健一（以下、猪股）：ランサムウエアとは、「ランサム（身代金）」と「マルウエア（悪意ある動作を行うソフトウエア）」を組み合わせた造語です。犯罪集団がランサムウエアを使って、企業や個人のコンピューターに侵入し、データを暗号化することでコンピューターを使用できないようにして、被害者に身代金を要求しています。

2017年ごろ「WannaCry（ワナクライ）」というランサムウエアが流行し、広く認知されるようになりました。昨今では暗号化だけでなく、データを盗み取って「身代金を支払わなければ、データを公開する」と脅しをかけるケースもあります。

以前は不特定多数の個人を対象に、メール本文に記載されたURLをクリックさせる「バラマキ型」が多かったですが、最近は特定の企業を狙い撃ちにするパターンも見られます。

──ランサムウエアの被害は増加しているのでしょうか。

猪股：警察庁の統計によると、日本国内における2022年のランサムウエア被害は230件と、前年比57.5％増加しています。また、大企業（全体の27％）のみならず、中小企業（全体の53％）や団体等（全体の20％）も被害を受けています。

復旧に要した期間をみると、即時または1週間未満で回復できているケース（全体の26％）もありますが、過半数が1週間以上かかっているケースで、2カ月以上も要する場合もありました。また、調査・復旧費用も100万円未満のケース（全体の24％）もありますが、1,000万円以上かかるケースが全体の46％を占めています。

──ランサムウエア攻撃に備えて、日頃から行える対策はあるのでしょうか。

猪股：不審なメールのURLを開かないことや適切なパスワード設定、ウイルス検知ソフトの導入などいくつか対策はありますが、重要な対策として、データのバックアップが挙げられます。ランサムウエア被害に遭っても、バックアップデータによる回復ができれば、ビジネスに必要なシステムが再稼働できます。実際、バックアップ対策している企業は多いです。ただ、警察庁の統計では、被害を受けた83％がバックアップを取得していたにもかかわらず、復元できたのは、19％にとどまります。

復元できないケースとして、セキュリティの観点を意識せず、バックアップデータが保護されていなかったり、複数の世代のバックアップデータを準備していなかったりすることが原因と考えられます。バックアップデータ自体が暗号化されてしまい、元に戻せなくなるなどの被害が起きてしまうのです。

──ランサムウエアの被害に遭ってしまったら、どのように対処すればよいのでしょうか。

猪股：もし感染してしまったら、被害の拡大を封じ込めた上で、被害範囲を特定し、データのリストア（回復・復元）や端末の初期化などを行います。早期に事業を復旧させるには、封じ込めのために、被害範囲をいかに早く特定できるかが鍵を握ります。

多くの企業は、セキュリティ人財の不足で、被害を受けてから、セキュリティベンダーを探し…となると、復旧まで時間がかかります。迅速な対応のために、平時からの監視を勧めます。人財が足りなければ、平時からセキュリティベンダーに委託する方法もあります。

──バックアップや復旧方法としては、どのようなものがあるのでしょうか。

猪股：例えば、日立ソリューションズの「データ回復ソリューション」では、三つの要素から、安全なバックアップと迅速なデータ回復を実現しています。

バックアップデータを厳重に保護し、適切な世代管理（最新のデータのみならず、それ以前のデータも保存するバックアップ方法）を行います。また、日常的な監視により、感染時の早期検知と封じ込めを行います。被害範囲や回復すべきデータを素早く特定し、検証環境で安全性を確認してから回復するまで、ワンストップで支援するサービスです。

──「データ回復ソリューション」の最大の特徴は何ですか。

猪股：感染を検出すると、おおよその感染端末や感染範囲は見えてきますが、そこから一歩踏み込んで、独自技術による調査ツールで被害ファイルを特定します。

ランサムウエアで暗号化されたファイルは、データの並びがバラバラになる特徴があります。調査ツールにより、ファイル内のデータのバラつき度合いを確認することで、暗号化されたファイルを特定していきます。

被害範囲が特定できると、データ全体を復旧するか、部分的に回復するか、システムそのものをつくり直すか…といった意志決定も早く行えるため、結果的に事業復旧までの期間が短縮できます。

──いかに早く被害を検知し、その範囲を特定するかが重要なのですね。

猪股：従来のセキュリティ対策は、社内外のネットワークを厳格に分けることで、外部攻撃を食い止める「完全防御型」でした。しかし、クラウドの普及などで社外ネットワークの活用も増えたため、社内外を問わず通信を信用しない「ゼロトラストセキュリティ」が広がりました。

そして、サイバー攻撃を受けてしまうことを前提に、いかに事業継続を可能にするかを考えるのが「サイバーレジリエンス」です。そこから、データ回復ソリューションが生まれました。

──サイバーレジリエンスを実現するにはどうすればいいでしょうか？

猪股：サイバーレジリエンスの実現のためには、予測力（サイバー攻撃に対する準備と態勢の維持）／抵抗力（サイバー攻撃の被害を局所化・最小化して事業を継続）／回復力（サイバー攻撃の被害を受けても事業を素早く復旧）／適応力（再発防止と組織的な改善）の4種の力が必要です。

今後、技術の進歩とともにサイバー攻撃の高度化・巧妙化が予測されます。どの企業でも、まずは現状のセキュリティを正確に把握し、事業特性やセキュリティポリシーに応じて、どの力が弱いかを判断し、継続的に高めていくことが必要になります。

日立ソリューションズも、独自技術や幅広い人財を生かして、サイバーレジリエンスのそれぞれの力を高めるセキュリティソリューションの拡充に取り組んでいきます。