ランサムウェア攻撃対策の基本とPhobos
2024.11.22、複数企業の健康保険組合が個人情報漏洩の可能性を発表したとIT系のメディアサイトで大々的に報じらました。これまで何度もランサムウェア攻撃が大々的に報じられてきましたが、中々、ランサムウェア攻撃の被害がなくなりません。そこで、今回は”ランサムウェア攻撃対策”についての基本的な解説から今回ランサムウエア攻撃の前のセキュリティホールとなった「RDP接続」について解説します。
近年、ランサムウェア攻撃による被害が深刻化しています。企業は、顧客情報や機密情報などの重要データを保護するため、ランサムウェア攻撃への対策を早急に強化する必要があります。
ランサムウェア攻撃の未然に防ぐための対策
ランサムウェア攻撃は、様々な経路で侵入してきます。今回、ランサムウエア攻撃の経路となったRDPについては、後程詳しく解説します。主な感染経路としては、以下のものが挙げられます。
- メール添付ファイル: 不審なメールに添付されたファイルを開くことで感染 悪意のあるウェブサイト: 改ざんされたウェブサイトや、悪意のあるウェブサイトにアクセスすることで感染
- ソフトウェアの脆弱性: ソフトウェアの脆弱性を悪用して侵入 リムーバブルメディア: USBメモリなどのリムーバブルメディアを介して感染
これらの経路を遮断し、ランサムウェアの侵入を防ぐためには、多層的な防御策を講じる必要があります。具体的な対策としては、以下のようなものがあります。
1.1. セキュリティ対策ソフトの導入
最新のセキュリティ対策ソフトを導入し、常に最新の状態に保つことが重要です。セキュリティ対策ソフトは、ランサムウェアを含むマルウェアを検知し、感染を防止する役割を担います。
1.2. OSやソフトウェアのアップデート
OSやソフトウェアの脆弱性を悪用した攻撃を防ぐため、常に最新の状態に保つことが重要です。自動アップデート機能を利用することで、最新の状態を維持することができます。
1.3. 従業員教育
従業員一人ひとりがセキュリティ意識を高め、不審なメールやウェブサイトに注意することが重要です。定期的なセキュリティ教育を実施し、ランサムウェア攻撃の手口や対策について周知徹底しましょう。具体的には、以下の内容を教育することが重要です。
- 不審なメールの見分け方
- 不審なウェブサイトの見分け方
- パスワードの管理方法
- ファイル共有ソフトの利用に関する注意
1.4. アクセス制御
重要なデータへのアクセスを制限することで、万が一ランサムウェアに感染した場合でも被害を最小限に抑えることができます。アクセス権限の設定や、多要素認証の導入などを検討しましょう。
1.5. データのバックアップ
定期的にデータのバックアップを取得し、安全な場所に保管しておくことが重要です。万が一ランサムウェアに感染し、データが暗号化された場合でも、バックアップからデータを復元することができます。バックアップは、外部のストレージデバイスやクラウドサービスなどを利用して、複数箇所に保管することが推奨されます。
1.6. セキュリティポリシーの策定
企業全体でセキュリティ対策を推進するため、セキュリティポリシーを策定し、従業員に周知徹底することが重要です。セキュリティポリシーには、パスワードの管理方法、アクセス権限の設定、データのバックアップ方法などを明記しましょう。
ランサムウェア攻撃を受けた後の適切な対応
万が一、ランサムウェア攻撃を受けてしまった場合は、以下の手順で対応することが重要です。
- 感染端末の隔離
- ランサムウェアに感染した端末をネットワークから切り離し、他の端末への感染拡大を防ぎます。LANケーブルを抜く、Wi-Fiを無効にするなどの措置を講じましょう。
- 被害状況の確認
- どの端末が感染し、どのデータが暗号化されているかを確認します。セキュリティ対策ソフトのログなどを確認し、感染経路や被害状況を把握しましょう。
- 専門機関への相談
- 警察や情報セキュリティ関連機関に相談し、アドバイスを受けましょう。専門機関は、ランサムウェアの解析や、データ復旧の支援などを行っています。
- データ復旧
- バックアップからデータを復旧します。バックアップがない場合は、データ復旧業者に依頼することもできますが、復旧できる保証はなく、高額な費用がかかる場合もあります。
- 身代金の支払い
- 身代金の支払いは推奨されません。身代金を支払っても、データが復旧する保証はなく、さらなる攻撃を受ける可能性もあります。
- 再発防止策の実施
- ランサムウェア攻撃の原因を分析し、再発防止策を実施します。セキュリティ対策ソフトの強化、従業員教育の見直し、セキュリティポリシーの改定などを検討しましょう。
ランサムウェア「Phobos」とRDP接続対策
今回の調査で、ランサムウェア攻撃に遭った企業がRDP接続を悪用されたことが判明したと報道されています。
RDP(リモートデスクトッププロトコル)は、リモートからWindows PCを操作するための便利な機能ですが、セキュリティ対策が不十分な場合、攻撃者に悪用されるリスクがあるので、使用する際は十分な注意と対策が必要になります。
ランサムウェア「Phobos」とは
Phobosは、2018年末に確認されたランサムウェアです。感染すると、ファイルの拡張子を.phobosなどに変え、暗号化します。身代金を支払わない限り、暗号化されたファイルを復号することはできません。
Phobosは、主にRDP接続の脆弱性を突いて侵入します。攻撃者は、インターネット上に公開されているRDPポートをスキャンし、脆弱なパスワードを使用しているサーバーを探します。そして、ブルートフォース攻撃や辞書攻撃などを用いてパスワードを cracking し、RDP接続を介してサーバーに侵入します。
侵入に成功すると、攻撃者はランサムウェアを展開し、ファイルを暗号化します。さらに、システム情報を盗み取ったり、他のサーバーに感染を広げたりする可能性もあります。
RDP接続を悪用した攻撃への対策
RDP接続を悪用した攻撃を防ぐためには、以下の対策を講じることが重要です。
- RDPの利用制限
- 業務上必要のない場合は、RDPを無効にする
- 特定のIPアドレスからのみRDP接続を許可する
- VPNなどのセキュアな接続を利用する
- 強固なパスワードの設定
- 推測されにくい複雑なパスワードを設定する
- 定期的にパスワードを変更する
- 多要素認証を導入する
- RDPポートの変更
- デフォルトのRDPポート(3389)を変更する
- ソフトウェアのアップデート
- OSやRDPソフトウェアを最新の状態に保つ
- ネットワーク監視
- 不審なネットワークアクセスを監視する
- 侵入検知システム(IDS)や侵入防止システム(IPS)を導入する
- セキュリティ対策ソフトの導入
- 最新のセキュリティ対策ソフトを導入し、常に最新の状態に保つ
ランサムウェア攻撃は、企業にとって大きな脅威となっています。未然に防ぐためには、多層的な防御策を講じることが重要です。また、万が一攻撃を受けてしまった場合は、適切な対応を迅速に行う必要があります。
また、RDP接続は、利便性の高い機能ですが、セキュリティ対策を怠ると、ランサムウェアなどのサイバー攻撃に悪用されるリスクがありますので、RDP接続を利用する場合は、上記の対策をしっかりと実施し、セキュリティを確保することが重要です。
システム開発にお困りではありませんか?
もしも今現在、
- どのように開発を依頼したらよいかわからない
- どのように開発を依頼したらよいかわからない
- 企画や要件定義の段階から依頼できるのか知りたい
- システム開発費用がどれくらいかかるのか知りたい
- 見積りがほしい
など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやR&D部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。
この記事を書いた人
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
監修
株式会社APPSWINGBY
CTO 川嶋秀一
動画系スタートアップ、東証プライム R&D部門を経験した後に2019年5月に株式会社APPSWINGBY 取締役兼CTOに就任。
Webシステム開発からアプリ開発、AI、リアーキテクチャ、リファクタリングプロジェクトを担当。C,C++,C#,JavaScript,TypeScript,Go,Python,PHP,Vue.js,React,Angular,Flutter,Ember,Backboneを中心に開発。お気に入りはGo。
