ランサムウェアの具体的な被害事例(1)
ランサムウェアによる被害事例をご紹介します。
※本記事は実際の事例をもとに作成したフィクションです。実在の人物や団体などとは一切関係ありません。
事例1:メールに添付されたファイルによる被害
○×商事は従業員600名の貿易関連上場企業です。全社のPCにパターンファイルによる検知を行う、いわゆる既存型ウイルス対策ソフトを導入し、日々の業務を行っています。
お客様とのやり取りはメールを使用しているため、先日の朝礼では「最近は迷惑メールも巧妙化しているので、送付元のメールアドレスや添付されているファイルは十分確認してから開くこと」と注意喚起があったばかりでした。
Aさんは経理部に所属しており、常日頃から請求書をメールで受け取っていて、今日も何通かの添付ファイルがついたメールを受信していました。
朝礼で言われていたことを思い出し、念のためお客様のメールアドレスも確認したところ、何度もやり取りをしている担当者のアドレスであり、メールの内容にも一見して不審なところは特になかったため、「請求書」という名前の添付ファイルを開きました(a)。
しかし、そのファイルを開いても請求書らしきものはなかったため、「もしかしたら・・・」という考えが頭をよぎります。しかし、PCにはウイルス対策ソフトがインストールされており、何かあったら反応するだろうと特に対処もせず、ネットワーク管理者へ連絡もしませんでした(b)。
数日後のある日、Aさんが出社してPCを起動させると普段の画面ではなく、「あなたのファイルは暗号化されました」という見たことのない画面が表示されました。
そこには「ファイルを復元するには時間内に1000万円を仮想通貨で支払ってください」と記載されており、支払い期限のカウントダウンが進んでいます。
慌てて社内を確認すると、Aさんだけでなく他の人のPCにも同様の画面が表示されており、ネットワークに接続されているPCはすべて利用が出来なくなっていることがわかりました。さらに、その被害は全社で利用しているファイルサーバにまで及んでいました(c)。
システム管理者が対応を討議している間に、表示された画面ではカウントダウンが進んでいき、とうとう1つ目の期限が来てしまいました。その後、画面には支払額の増額されたメッセージが表示されていました。
最終的に経営判断で身代金を支払わないと決定したため、社内で復旧作業を急ピッチで行うことになりました。
ネットワークから切り離して保存していたバックアップからデータを復旧させることになり、情報システム部門5名だけでは人員不足のため、他部署からも応援を依頼し、合計10名で対応することに。しかし、通常通り業務が出来るようになるまで約1カ月かかってしまいました。
また、発生したのが年度末の時期ということもあり、決算発表にも影響が出てしまい、取引先や株主への謝罪に奔走する事態となりました。
結局、復旧までにかかった人件費や復旧までに業務を行えなかったことによる損害など合わせて約1,000万円の損失が発生しました。
その上、事件が発覚したことや業務停止により取引先に迷惑をかけてしまったことで会社の信用が失墜し、契約解除、取引停止なども発生し、データはどうにか復旧したものの、今後の経営に大きな影響を残すことになりました。
本事例のポイント
被害にあわないために、また被害にあった後の対策を、上記事例でのポイントとなる部分について解説します。
(a)取引先から送られてきたようになりすましたメールに添付されていた「請求書と思われるファイル」を開いたことにより今回の被害が発生しました。
なりすましメールは本物のメールに非常に巧妙に似せて作られているものが増えてきており、一見では判別がつかなくなってきています。添付ファイルを開いた後、通常の動作と異なることがあった場合は、セキュリティソフトウェアのインストール有無にかかわらず、すぐにネットワーク管理者へ連絡しましょう。
新たな脅威について知ってもらうためには、定期的にセキュリティ教育を行うことが大切です。
(b)今回該当する最新のマルウェアは、従来型と呼ばれるエンドポイントセキュリティで配布されていたウイルスデータでは感知することが出来ませんでした。
また、AさんのPCにインストールされているセキュリティソフトウェアは、端末ごとに管理されていたため、最新のパターンファイルに更新されていなかったことも判明しました。利用者がデータの更新を確認しなければならず、今回の事例では気づいていませんでした。
このような事が起きないためにも、セキュリティソフトウェアを一括で管理するといった仕組みが必要です。
(c)添付ファイルに含まれていたプログラムはAさんのPCを踏み台にして、次々とネットワークで接続されている社内のコンピュータを制御し、最終的にサーバ内のデータを暗号化してしまうマルウェアであったことがわかりました。
社内のサーバと端末の間のセキュリティ対策が適切に行われていなかったこと、外部C&Cサーバへのアクセスブロックといった出口対策もされていなかったためファイルサーバ迄被害が及んでしまいました。
端末に対するセキュリティだけでなく、社内外ネットワークに対してもセキュリティ対策が必要となります。
対策
- 社員のセキュリティリテラシー向上(教育・啓蒙活動)、社内セキュリティポリシーの確立・体制の整備
→ セキュリティコンサルティング、外部研修、e-ラーニング等 - 社内端末のセキュリティソフトウェア一元管理(クラウド管理など)
→ Sophos Central - EDR・NDRなどの導入による未知の脅威に対する対策、ネットワークからの隔離
→Sophos Intercept X Endpoint
Sophos Intercept X Advanced with XDR/ for Server
Sophos Firewall XGS(次世代Firewall) - 検疫ネットワークの構築
- バックアップ
セキュリティ対策情報
関連サービス
お気軽にお問い合わせください。応対時間 9:30-17:30 [ 土・日・祝日除く ]
お問い合わせ