EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第3回 莫大な新型ランサムウェアの実害/攻撃グループMazeとは

 前回は新型ランサムウェア(暴露型・破壊型)がどのようなものか事例を交えてご紹介しました。今回は新型ランサムウェアの被害にあった場合、企業が受ける実害についてお話をしたいと思います。

新型ランサムウェアによる被害状況

 まず、以下の図をご覧ください。米国のShadow Intelligence社が業界ごとのランサムウェアによる被害状況をまとめたものになります。ご覧の通り、製造業や流通業の被害が多いことがわかります。さらに詳細を見ていくと、上から順に製造業は原材料、建設、消費財、流通業は小売り、運輸、設備となっています。

(図1)業界ごとのランサムウェアによる被害状況 出典:Shadow Intelligence社ブログ

 これら製造業や流通業の売上規模や従業員数の平均も似通ったものとなっています。もちろん平均なので各社大小はあるでしょうが、中堅サイズの会社が被害にあっていると推測されます。

(図2)ランサムウェア被害企業の規模 出典:Shadow Intelligence社ブログ

 さて、新型ランサムウェアによる実際の被害についてです。第2回で紹介をした弊社の対応事案のケースですが、事案対応として二次被害や再発を防ぐため、パッチ適用、アカウントリセットなど攻撃に対する適切な調査と対処を実施する必要がありました。不審なActive Directory管理者アカウントの調査と不要なアカウントの削除、必要な管理者の端末を固定するなど対応が終了するまでは全システムを停止する必要があり、3日間ネットワークを停止することになりました。また、このケースではVPN装置の脆弱性を突かれて侵入され、Active Directoryが乗っ取られたため、VPN装置のパッチ適用やアカウントリセット、調査・対応が終わるまでは停止する必要があり、コロナ禍でテレワークを実施されていたにも関わらず、社員は作業が終了するまで1週間出社を余儀なくされました。

 この間、情報システム部はもちろん、急遽全社員が出社することになり、総務、人事はその対応に追われ、場合によっては情報漏洩の可能性を考慮し、法務や広報といった関連各部署がそれぞれ対応した工数を考えると非常に大きな犠牲を払ったと言えます。その対応の間企業活動に影響が出たことは否めません。不幸中の幸いでこのケースではネットワークの停止が3日程度で済みましたが(当該企業にとってはそれでも大きな事業インパクトですが)、適切なセキュリティ対策が取られていなかったり、調査に必要な情報(通信経路情報やログなど)が取られていなかったりと、適切な管理がされていないと、社内に入り込んだマルウェアの除去が完全にできるまでインターネット通信を止めなければならず(つまり、インターネット上にある攻撃者のサーバに接続をされたまま情報流出が続いている可能性があるため、通信を遮断する必要がある)別のケースではそれが数週間に及んだ事案もあります。

 このケースでは最終的には情報漏洩は認められませんでしたが、暴露型ランサムウェアの攻撃によって実際に情報が窃取され、攻撃者から情報公開の取り下げと引き換えに身代金を要求されたケースを考察してみましょう。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 村上 雅則(マクニカネットワークス)(ムラカミマサノリ)

    マクニカネットワークス株式会社 第2営業統括部第1部 主幹 1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。 ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の支援を行う。 現在は高度化・多様化するサイバー攻撃に対し、セキュリティ運用の重要性の認知向上や経営課題としての取り組みと解決を優先事項とし、日々の活動を通じ、お客様毎の事情に合わせた課題解決のための仕組みのご提案に従事する。

バックナンバー

連載:経営の脅威となるランサムウェア:その理解と対策
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5