事例で学ぶセキュリティインシデント（第1回）端末の隔離など的確な対応でランサムウエア感染拡大を防ぐ

　感染状況によっては長期間の業務停滞が余儀なくされ、システム復旧費用の負担のみならず、機密データの漏えいや取引先への感染拡大などのリスクもある。企業はランサムウエア感染の被害者ではなく、意図せずに加害者になる恐れもあるのだ。

　ランサムウエアに限ったことではないが、セキュリティインシデント対応では、発生した場合の被害をあらかじめ想定し、被害と影響範囲を最小限に抑えつつ、迅速に復旧、再発を防止する取り組みがポイントになる。

　A社は関西に本社を構え、西日本に2カ所の工場がある従業員数80名ほどの企業だ。情報システムやセキュリティの専任部署はなく、本社のITに詳しい技術者が情報システム担当を兼任する。そして、製造現場のシステム化とともにセキュリティ対策にも力を入れてきた。取引先の自動車部品サプライヤーから提供される設計データなどの機密データを取り扱うためだ。サプライヤーからは定期的にセキュリティ対策の報告が求められることもあり、情報漏えい対策には特に配慮してきた経緯がある。

　「ついにうちもランサムウエアに感染してしまったのか。感染被害を広げないよう、今すぐ対策を打たなければ」。設計担当者からパソコンがロックされたとの電話連絡を受けた本社の情報システム担当者は、同業他社の情報システム担当者からもランサムウエアが猛威を振るっていることは聞いていたが、想定外の出来事だった。

　とはいえ、すぐに初動対応をしなければならない。ランサムウエア感染というインシデント発生の中で、「不幸中の幸い」ともいえるのが、感染被害に気付いたのが早く、初動対応も的確だったことだ。情報セキュリティにかかわるインシデント対応では、発生時の検知と報告、ネットワークの遮断・隔離といった初動対応が重要になる。

　まず、情報システム担当者は電話をかけてきた設計担当者にパソコンを社内ネットワークから切り離すように指示。他のパソコンやサーバーに感染被害が広がらないようにするためだ。そして、全従業員に工場のパソコンがランサムウエアに感染したこと、むやみにメールの添付ファイルを開かないこと、メールやSNSに記載されたリンクにアクセスしないことを通知し、注意喚起した。

端末を守る事前対策に加え、検知など事後対策を強化

　そして、原因究明に向けて設計担当者に聞き取り調査を実施した。それによると、海外の工作機械メーカーの新製品を案内するメールが届き、メールに記載されたリンクをクリックしてランサムウエアに感染したようだ。A社では従来から知らない相手からの添付ファイルはむやみに開かないように注意していたが、工作機械メーカーの名称が正しかったこともあり、特に気にも留めずリンクにアクセスしてしまったという。

　情報システム担当者は上司と一緒に経営層にインシデントを報告。そして攻撃者に身代金を支払うかどうか検討した結果、支払いを拒否することにした。ランサムウエアに感染したパソコンが限定的だったことと、攻撃者に身代金を支払っても、パソコンが復元できるとは限らないからだ。また、支払った場合、攻撃者が味を占めて再び攻撃してくる懸念もあった。

　ランサムウエアの復元ツールも提供されているが、A社は情報セキュリティに詳しい人材がいないこともあり、同社のシステムやネットワークの構築・運用を支援してもらっているIT事業者に感染パソコンの復旧と他の端末やサーバーが感染していないどうかの調査を依頼した。パソコン内の設計データなどは社内のファイルサーバーに保存しており、データの復旧はスムーズに進められた。そして、調査の結果、今回の感染は設計担当者のパソコンのみと判明したが、社内ネットワーク上のファイルサーバーなども感染した場合、バックアップデータが暗号化され、復元が難しくなるリスクもある。そこで、オフラインのサーバーにバックアップデータを保管することや、クラウドストレージサービスの活用を検討することになった。

　そして、社内のセキュリティ対策を改めて徹底。パソコンとサーバーのOS(基本ソフト)を最新版に更新することや、パソコンなどエンドポイントセキュリティの強化といった事前対策に加え、インシデント発生時の検知や対処、復旧といった事後対策をIT事業者と検討することとした。併せて、従業員に対してはメールやSNSで送られてくるメッセージのリンクを安易に開かないことなどを伝え、セキュリティ意識の向上を図った。A社は自動車部品のサプライチェーンを担う企業として、ランサムウエア感染を教訓にセキュリティの強化とインシデント対応を徹底していく考えだ。