止まるどころかむしろ増加している感さえあるランサムウェア攻撃ですが、最近でもKADOKAWAグループがランサムウェア攻撃を受け、動画配信サービス「ニコニコ動画」や「KADOKAWAオフィシャルサイト」、出版事業の製造・物流機能などグループ全体に大きな影響が出ていると報道されています。KADOKAWAグループだけでなく、金融業界や自治体などの情報処理業務を請け負うイセトーや九州電力のグループ会社であるキューヘンもランサムウェア攻撃を受けたと報道されています。ランサムウェア攻撃による被害は、警察庁が公表している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」にも記載されている通り、企業・組織の規模や業種に関わらず発生しています。
<ランサムウェア被害の報告件数>
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
目次
ランサムウェア攻撃に対するリスク評価の必要性
このような状況を考えると、すべての企業・組織において、ランサムウェア攻撃に対するリスク評価が急務です。リスク評価の先には、BCPの整備や対策の実施がありますが、そのためのベースとなるランサムウェア攻撃に対するリスク評価、つまり「自社・自組織はランサムウェア攻撃を受けたらどうなるのか?」を認識することが必要です。
なお、ランサムウェア攻撃に対するリスク評価を行うためには、ランサムウェア攻撃について理解しておく必要があります。詳細については、以前の記事「急増するランサムウェア攻撃」と「なぜ、ランサムウェア攻撃は続くのか」をご参照ください。
ランサムウェア攻撃に対するリスク評価と言っても確立した手法はありませんが、以下の手順で行うと良いでしょう。
1.想定攻撃範囲の明確化
2.侵害の見積もり
3.バックアップの状況の整備
4.復旧期間の見積もり
想定攻撃範囲の明確化
ランサムウェア攻撃を受けると、複数(場合によっては多数)のシステムに壊滅的な被害が発生し、影響が長期間に及ぶ恐れがあります。それは、攻撃者がVPN機器の脆弱性等を悪用してネットワークに侵入し、攻撃可能な機器(サーバや端末)を手当たり次第攻撃するからです。そのため、ランサムウェア攻撃に対するリスク評価はネットワーク単位に行う必要があります。
同一のデータセンター内にあった場合でもネットワークが分離されている場合は、それぞれのネットワーク毎に考えることができますが、ネットワーク間の行き来が可能である場合は一つで考える必要があります。逆に、他拠点や子会社・グループ会社のネットワークが自社・自組織のネットワークと接続し行き来が可能である場合は、複数のネットワークを合わせて考える必要があります。この単一、もしくは複数の行き来可能なネットワークを「想定攻撃範囲」と言っておきます。
侵害の見積もり
想定攻撃範囲を明確化したら、この想定攻撃範囲について攻撃者に侵入された場合にどの程度の機器が侵害されるかを見積もります。具体的には、主要システム(ビジネスへの影響が大きいシステム)とOA系、その他のシステムについて、下記の観点を参考に見積もります。
<見積りの観点>
以下のいずれかが当てはまる機器は、侵害されるものとします。
1.管理アカウントが初期設定のアカウント(「administrator」,「root」等)でパスワードが類推可能であったり、使い回されていたりしている
2.OSやミドルウェアに対して定期的にパッチの適用を実施していない(特に、仮想環境の管理サーバやドメインコントローラがこの状態だと配下の機器が全て侵害されてしまう)
主要システムは個別にヒアリングしますが、その他のシステムについては概算で結構ですので50%を基準に自社・自組織の状況を踏まえ見積もります。日本の企業・組織は内部だから大丈夫だという「閉域網神話」が根付いており、70%から80%ぐらいの機器が侵害されるという見積もりになってもおかしくないでしょう。
バックアップの状況の整理
続いて、サーバのバックアップの状況を調査します。変更不可のストレージや別の場所での保管等の耐破壊バックアップ(以降「保全バックアップ」「保全BK」)が導入されているサーバを調査します。その他のシステムは概算で見積もりますが、保全バックアップの導入率は日本の企業・組織はまだまだ低く10%から20%ぐらいではないでしょうか。このようにして想定攻撃範囲における侵害とバックアップの状況を整理します。
<ランサムウェア攻撃によって想定される侵害とバックアップの整理例>
想定攻撃範囲 | システム | サーバ数 端末数 |
想定被害数 | うち保全BKがあるサーバ |
本社ネット | A | サーバ 6 業務端末 30 |
サーバ 5 業務端末 24 |
5 |
B | サーバ 4 業務端末 20 |
サーバ 4 業務端末 16 |
0 | |
OA系 | サーバ 10 端末 300 |
サーバ 7 端末 210 |
2(ファイルサーバ) | |
以外 | サーバ 100 端末 100 |
サーバ 80 端末 80 |
8 |
復旧期間の見積もり
整理したランサムウェア攻撃発生時の影響を踏まえ、どれくらいの期間で復旧できるかを見積もります。想定攻撃範囲の規模や被害の状況によりますが、被害事例を見ると、1週間程度で復旧できるのは、ごく一部のサービスで全体の復旧には数ヶ月必要なようです。
ランサムウェア攻撃が発生すると、同時多発的にシステム障害が発生します。OA系も被害を受けていると相当な混乱となります。攻撃が判明した当初は影響範囲がわからず真っ暗闇のような状況です、攻撃が拡大している可能性もありますので、ネットワークを閉塞する等の緊急対処が必要となり、想定攻撃範囲のシステムは全サービスが一時的に停止せざるを得ない状況となります。想定攻撃範囲によりますが、状況が落ち着くまで数日かかることも十分あり得ます。
影響を受けたシステムの復旧ですが、保全バックアップがあればリストア自体は数日でできます。ただし、想定攻撃範囲の安全性が確保されていなければ、再開させた途端、再び攻撃を受ける恐れがあるため、単純に再開する訳にはいきません。保全バックアップがないサーバはシステムを一から再構築する必要があり、かつ、データは回復できませんので手作業で回復させるか諦める必要があります。加えて、影響を受けた機器が多いと作業は順番待ちになります。KADOKAWAグループも復旧に苦戦している様子が伺われますが、これは例外ではありません。警察庁の調べでも多くの企業・組織が復旧に苦戦しています。
<ランサムウェア被害の復旧に要した期間>
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
復旧までの期間は、システムによって1週間、1ヶ月程度、3ヶ月以上に分けられます。先ほどの表に追加してみましょう。
<ランサムウェア攻撃による想定被害と復旧期間の整理例>
ネットワーク |
システム | サーバ数 端末数 |
想定被害数 | うち保全BKがあるサーバ | 復旧期間 |
本社ネット | A | サーバ 6 業務端末 30 |
サーバ 5 業務端末 24 |
5 | 1週間 |
B | サーバ 4 業務端末 20 |
サーバ 4 業務端末 16 |
0 | 1ヶ月(ただし過去データは回復せず) | |
OA系 | サーバ 10 端末 300 |
サーバ 7 端末 210 |
2(ファイルサーバ) |
1週間から1ヶ月(順次) |
|
以外 | サーバ 100 端末 100 |
サーバ 80 端末 80 |
8 | 3ヶ月以上(ただし多くのシステムで過去データは回復せず) |
ランサムウェア攻撃と自然災害、大規模システム障害
ランサムウェア攻撃と自然災害、大規模システム障害とは状況が似ているようでまったく異なります。そのため、自然災害や大規模システム障害を想定した備えではランサムウェア攻撃に対応できません。
自然災害は、言うまでもなく人的・物理的被害が大きいものですが、停電や通信回線の被害による影響はあるものの、データセンターやシステムの機器が動かなくなるようなことはまずありませんし、停電や通信回線は数日から1週間で復旧します。また、被災地域全体が影響を受けているため、事業提供に影響が出ても問題にはなりません。システム障害は基本的にはシステム単位ですし、データセンターの電源障害や通信事業者障害等で複数のシステムに影響が出る場合もありますが、システム障害は通常、1日、長くとも数日で復旧します。
ランサムウェア攻撃を受けると、複数(場合によっては多数)のシステムに壊滅的な被害が発生し、影響が長期間に及びます。他社や地域は通常通りですので、自社・自組織の事業提供における影響がクローズアップされ、信頼低下は避けられません。
最後に
ランサムウェア攻撃を受けた場合の想定被害と復旧期間を整理すると、その影響の大きさに愕然とするかも知れません。しかしながら、実際の被害事例の状況を見ると、決して誇大なものではないのです。これはランサムウェア攻撃を受けた場合の話であって、その発生可能性は低く、リスク(=影響×発生可能性)は大きくないと言われるかもしれません。確かに発生可能性は低いかもしれませんが、発生するとその影響は「影響×発生可能性」ではなく「影響」そのものです。その影響が自社・自組織のビジネスに大きなダメージを与えるほど大きい場合、発生可能性が低いから脅威ではないと言えるのでしょうか。そして、発生可能性はあなたが考えているほど低くないかも知れません。
北尾 辰也
サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。