出版大手のKADOKAWAが攻撃を受け、長期間に渡り「ニコニコ」のサービス停止を余儀なくされるなど、国内でもランサムウエアによる被害が多発している。ウェブでビジネスを手掛ける通販企業にとっても他人事ではない。どんな対策をすべきなのか。そして、攻撃を受けてデータが暗号化されてしまったら何をすればいいのか。ヴィーム・ソフトウェアでソリューション・アーキテクトを務める高橋正裕氏に聞いた。
ーーランサムウエアを巡る最近の動向は。
「どこかの企業や組織を標的とした攻撃というよりは、無差別に狙っているという感じがある。なので、企業の大小はあまり関係ない。攻撃側からすると『侵入できる隙があったから侵入した』ということであり、それが大企業のドアか零細企業のドアかということは、入ってみるまで分からない。鍵のかかっていない入口から侵入され権限奪取、そして自由に攻撃されてしまうというのは、昔からの一般的な攻撃の流儀。最近はVPNのぜい弱性を突かれるケースが多いが、他にも侵入経路は考えられるし、『VPNのセキュリティーには気を付けているから大丈夫』というわけではない。もちろん、メールの添付ファイルを開いたらランサムウエアに感染することもありうる」
ーーバックアップが重要になる。
「ランサムウエア対策でどのくらいの期間バックアップデータを保存しておけばいいかというと、1~2週間ではなく、最低でも1カ月、平均でも40日前のデータから戻さないといけないケースが多い。そのため当社でも『できるかぎり長期間のデータをバックアップとして保存しておいたほうがいい』と助言している。最近はランサムウエアが取り上げられることが多いが、地震や自然災害でデータが失われることもあるので、会社の継続性を踏まえて事前にプランを立てておく必要があるのではないか」
ーー最悪のパターンを想定しておく必要がある。
「東日本大震災の原子力発電所の事故を考えれば分かると思うが、絶対起きないということはない。最悪の事態が起きてしまったときのことを考える必要がある。例えば、通販ならビジネスが止まったら売り上げがゼロになってしまう。その場合、電話やファクスでの注文で乗り切ることを考える必要もあるだろう。バックアップならどこまで保存しておいて、きちんと戻せることを確認しておく。40日間取っておくとしたら、50日前のデータが必要になったとしても、それは想定外なので、次のアクションを考える、などといったものだ」
「ランサムウエアで攻撃されてしまったとしても、バックアップがあるならワンクッション置けるのでクールダウンできる。一番良くないのは、準備を何もせずに攻撃を受けて『どうしよう』となり、変なことをしてシステムが戻せなくなってしまう。もしくは払わなくてもいい身代金を支払ってしまう」
ーーあまりセキュリティー対策に予算を避けない中小の通販企業も少なくない。何をすべきか。
「例えば通販事業者の場合、システムが暗号化されたら商品データや顧客リストも使えなくなり、ビジネスが止まってしまう。攻撃者はそこを引き換えに身代金を要求するわけなので、絶対にバックアップは重要。もう1つ、情報流出に関しては、何かしらの痕跡があるはずなので、監視ツールを入れるべきだろう。ビジネスが止まらないようにすること、そして情報を持ち出されないようにすること、という2点は考慮する必要がある。ただ、近年はサーバーにクレジットカード情報は残しておらず、例えばメールアドレスの流出だけならそこまで大きな問題にはなりにくい。そのため、一番重要なのはバックアップだろう」
ーー攻撃者はバックアップも狙ってくる。
「バックアップデータに関しては、攻撃者がアクセスできないような場所、つまりオフラインで保存しておく必要がある。攻撃された際に、最初に壊させるのはアンチウイルスで、次がバックアップ。なので、すぐにアクセスできる場所以外にも保存しておく必要があるし、できれば『ゼロトラスト(何も信頼しないことを前提としたセキュリティー対策)』の考えに基づき、全く違う認証を使うとさらに安全。社内に通販サイトがあるならクラウドに、クラウドにあるなら別のクラウドに保存したい。また、例えば家に泥棒が侵入した場合、警察が現場検証をするからすぐに現場には入れないわけだ。データセンターも一緒で、暗号化などのトラブルがあったら同様に封鎖されてしまうので、そこにバックアップがあってもすぐには取り出せない」
「データを取っておけば、通販サイトを別に立ち上げて復活できる。ただ、データがあってもそれをきちんと復旧できるかどうかは別。バックアップを取っておくだけで安心しているケースは多い。システムやデータを確実に復旧できることを確認しておけば、復旧までの目安や算段がたつ。当社では、復旧するための予行演習は、その後のプロセスを確認するために『バックアップしたデータは必ずリストアしてほしい』と伝えている」
ーー身代金を支払う企業も少なくないようだが。
「身代金を支払うかどうかは経営判断になる。ただ、支払ったところでシステムを戻せるかどうかは分からない。まずはデータ保護に力と金をかけて、暗号化されたときに身代金を支払うかどうかは、その会社次第ということになるのではないか」
「現場は『データは○日分保護してあり、いつまでに復旧できる』という情報をすぐに出せるようにしておいた方がいい。それが分かれば、上層部も『それなら支払わなくていいか』となるかもしれない。ただ、攻撃されてからそれを調べるのは無理。データをきちんと管理しておいて、平時からこうした情報発信について考えておくべきだろう」
ーーランサムウエアを巡る最近の動向は。
「どこかの企業や組織を標的とした攻撃というよりは、無差別に狙っているという感じがある。なので、企業の大小はあまり関係ない。攻撃側からすると『侵入できる隙があったから侵入した』ということであり、それが大企業のドアか零細企業のドアかということは、入ってみるまで分からない。鍵のかかっていない入口から侵入され権限奪取、そして自由に攻撃されてしまうというのは、昔からの一般的な攻撃の流儀。最近はVPNのぜい弱性を突かれるケースが多いが、他にも侵入経路は考えられるし、『VPNのセキュリティーには気を付けているから大丈夫』というわけではない。もちろん、メールの添付ファイルを開いたらランサムウエアに感染することもありうる」
ーーバックアップが重要になる。
「ランサムウエア対策でどのくらいの期間バックアップデータを保存しておけばいいかというと、1~2週間ではなく、最低でも1カ月、平均でも40日前のデータから戻さないといけないケースが多い。そのため当社でも『できるかぎり長期間のデータをバックアップとして保存しておいたほうがいい』と助言している。最近はランサムウエアが取り上げられることが多いが、地震や自然災害でデータが失われることもあるので、会社の継続性を踏まえて事前にプランを立てておく必要があるのではないか」
ーー最悪のパターンを想定しておく必要がある。
「東日本大震災の原子力発電所の事故を考えれば分かると思うが、絶対起きないということはない。最悪の事態が起きてしまったときのことを考える必要がある。例えば、通販ならビジネスが止まったら売り上げがゼロになってしまう。その場合、電話やファクスでの注文で乗り切ることを考える必要もあるだろう。バックアップならどこまで保存しておいて、きちんと戻せることを確認しておく。40日間取っておくとしたら、50日前のデータが必要になったとしても、それは想定外なので、次のアクションを考える、などといったものだ」
「ランサムウエアで攻撃されてしまったとしても、バックアップがあるならワンクッション置けるのでクールダウンできる。一番良くないのは、準備を何もせずに攻撃を受けて『どうしよう』となり、変なことをしてシステムが戻せなくなってしまう。もしくは払わなくてもいい身代金を支払ってしまう」
ーーあまりセキュリティー対策に予算を避けない中小の通販企業も少なくない。何をすべきか。
「例えば通販事業者の場合、システムが暗号化されたら商品データや顧客リストも使えなくなり、ビジネスが止まってしまう。攻撃者はそこを引き換えに身代金を要求するわけなので、絶対にバックアップは重要。もう1つ、情報流出に関しては、何かしらの痕跡があるはずなので、監視ツールを入れるべきだろう。ビジネスが止まらないようにすること、そして情報を持ち出されないようにすること、という2点は考慮する必要がある。ただ、近年はサーバーにクレジットカード情報は残しておらず、例えばメールアドレスの流出だけならそこまで大きな問題にはなりにくい。そのため、一番重要なのはバックアップだろう」
ーー攻撃者はバックアップも狙ってくる。
「バックアップデータに関しては、攻撃者がアクセスできないような場所、つまりオフラインで保存しておく必要がある。攻撃された際に、最初に壊させるのはアンチウイルスで、次がバックアップ。なので、すぐにアクセスできる場所以外にも保存しておく必要があるし、できれば『ゼロトラスト(何も信頼しないことを前提としたセキュリティー対策)』の考えに基づき、全く違う認証を使うとさらに安全。社内に通販サイトがあるならクラウドに、クラウドにあるなら別のクラウドに保存したい。また、例えば家に泥棒が侵入した場合、警察が現場検証をするからすぐに現場には入れないわけだ。データセンターも一緒で、暗号化などのトラブルがあったら同様に封鎖されてしまうので、そこにバックアップがあってもすぐには取り出せない」
「データを取っておけば、通販サイトを別に立ち上げて復活できる。ただ、データがあってもそれをきちんと復旧できるかどうかは別。バックアップを取っておくだけで安心しているケースは多い。システムやデータを確実に復旧できることを確認しておけば、復旧までの目安や算段がたつ。当社では、復旧するための予行演習は、その後のプロセスを確認するために『バックアップしたデータは必ずリストアしてほしい』と伝えている」
ーー身代金を支払う企業も少なくないようだが。
「身代金を支払うかどうかは経営判断になる。ただ、支払ったところでシステムを戻せるかどうかは分からない。まずはデータ保護に力と金をかけて、暗号化されたときに身代金を支払うかどうかは、その会社次第ということになるのではないか」
「現場は『データは○日分保護してあり、いつまでに復旧できる』という情報をすぐに出せるようにしておいた方がいい。それが分かれば、上層部も『それなら支払わなくていいか』となるかもしれない。ただ、攻撃されてからそれを調べるのは無理。データをきちんと管理しておいて、平時からこうした情報発信について考えておくべきだろう」