ランサムウェアの直撃に耐えられる業務体制になっているのか、真剣な検討を必要としています。個人や小規模事業主の場合で想定してみます。
説明のポイント
- 社内のネットワークに被害があったとして、復旧時間、復旧できる過去のデータを考えておく
ランサムウェアとは
ランサムウェアが猛威を奮っています。一般の新聞記事にも登場するぐらいなので、もはや説明不要とも思われます。
ランサム(Ransom)とは、「身代金」のことです。ランサムウェアに感染すると、パソコンそのものや、内部のファイルが強制的に暗号化されてしまいます。
パソコンや内部のファイルを人質にとるかたちで、暗号化を解除するための「身代金」の支払いを要求してきます。
感染の経路としては、メールに添付されたファイルの閲覧や、脆弱性を抱えたパソコンによる悪質なサイトの閲覧が挙げられます。
よくあるコンピューターウイルスと異なるのは、「暗号化したファイルの鍵情報を犯人に送信し、その鍵をエサに身代金の支払いを要求する」という点でしょう。
「ウヒヒ、世の中を困らせてやろう」というウイルスとは異なり、直接金銭が絡む話であるので、その事態は深刻です。悪名高い国家や組織の名前が、有名なランサムウェアの拡散元として疑われています。
外国企業に比べて、日本企業(大手)ではランサムウェアに感染しても、金銭の支払いに応じるケースは少ないという調査結果もあるようです。
ただし、お金を払わなかっただけで、感染が少なかったという意味ではありません。
参考:ランサムウェアの被害急増も「日本企業はお金を支払わない」、NRIセキュアが実態調査(businessnetwork.jp、2017年3月)
いまの事業体制でランサムウェアに対抗できるか
事業者として当然に気になるのは、自社の事業体制で、ランサムウェアに対抗できるのか? という問題です。
自分は大丈夫と思っていても、複数の人数でいっしょに働いていれば、その知識レベルも様々でリスクも当然に高まります。
ウイルスに対応できるソフトのインストールは当たり前の話で、知識の少ない従業員への教育も必要です。
もっとも重要、かつ複雑なのは、バックアップのしくみです。そこでこの記事では、事業復旧にスポットを当てて、バックアップの必要性について考えます。
筆者は以前の記事で、小規模事業者のバックアップは、
- 従業員任せのバックアップは危ないこと
- NAS(ネットワークに共有のハードディスク)に加えて、外部バックアップとの組み合わせが必要
と述べました。この認識は、ランサムウェアの流行が大規模な今であっても、基本的に変わりません。
ネットワークでつながっているPCも危険
ランサムウェアは、感染したパソコンを経由して、そのパソコンがつながっているネットワークにも感染の手を伸ばします。
このため、バックアップ用にしていた、ネットワーク上のファイルサーバーにも、危険が及びます。
また、クラウドサービスが常時バックアップの仕組みを持っていると、ランサムウェアに感染したファイルまで、同期(上書き)されてしまいます。
引用:ランサムウェアの脅威と対策(IPA、2017年1月)
著名なクラウドサービスで復旧できるのか?
クラウドによる自動バックアップを利用している場合、感染したファイルも自動で同期(上書き)してしまう可能性が高いです。
もし同期してしまっても、過去の履歴に復旧(ロールバック)する機能を持っているか、確認が必要でしょう。
小規模な事業者の場合は、「OneDrive」「Googleドライブ」「Dropbox」などをバックアップ用のクラウドサービスとして活用している事例も多いと考えられます。
標準のOneDriveは、ロールバックできない!
調べてみると、Microsoftが提供している「OneDrive」には、過去の履歴に戻る機能が備わっていないようです。(Office文書だけは履歴機能あり)
「OneDrive」は、Windowsに最初からインストールされていますので、無料のバックアップソフトとして利用している人も多いでしょう。
しかし、ランサムウェアに感染すると、その感染したファイルを同期(上書き)してしまいます。せっかくの自動バックアップが逆効果になり、そのファイルを取り戻す手段がなくなってしまいます。
OneDriveにロールバック機能を持たせるためには、ビジネス向けの「OneDrive for Business」の契約が必要です。(年間契約で1ユーザー月540円から)
参考:OneDrive for Business で以前のバージョンのドキュメントを復元する(Microsoft)
2018年4月、「OneDrive」においてもロールバック機能である「Files Restore」が装備されたと報じられています。
DropboxとGoogleドライブは、ロールバックできる
Dropboxの場合は、ランサムウェアへの感染に関して、次のようにロールバックできることを明示しています。
ファイルを Dropbox に保存していればマルウェアの影響を受ける前の状態にファイルを復元することができます。
注:ユーザーがファイルを前のバージョンに復元できるのは変更を加えてから 30 日 以内ですが、エクステンデッド バージョン履歴機能がある Dropbox Plus または Dropbox Business アカウントのユーザーであれば 30 日を過ぎていても復元できます。
引用:ファイルがランサムウェアによって破損または名前が変更された場合(Dropbox)
Googleドライブも、過去のファイルへのロールバックが可能です。
最近の版をダウンロードする
Google ドライブに保管してある PDF ファイル、画像、その他のファイルの旧版をダウンロードして保存することができます。引用:履歴とファイルの版を表示する(Google ドライブ ヘルプ)
しかし、これらの機能を活用しても、ボタンひとつですべてがパッ! と以前の状態に戻れるわけではありません。ロールバックには手間がかかりますので、復旧までの労力を見込んでおく必要があるでしょう。
自社の体制を見渡して、復旧までの時間をシミュレートしておくことが望ましいといえます。
基本的にバックアップの重要性は変わらない
IPA(独立行政法人情報処理推進機構)の推奨するランサムウェア対策は、次のように書かれています。
引用:ランサムウェアの脅威と対策(IPA、2017年1月)
IPAの推奨する方法を見ると、結局はネットワークから切り離したバックアップが必要になるということです。古典的なバックアップが、もっとも有効ということでしょう。
外付けのHDDについては、バックアップ後はパソコンから取り外すことが重要です。接続しっぱなしにしてはいけません。
こうして見てみると、特段目新しい対策とはいえません。なぜなら、パソコンがクラッシュした場合に備えるべき内容と、ほとんど同じだからです。
ランサムウェアの流行によって、クラッシュに限らない危険性が増しているという話であって、バックアップの内容に変化が生じているわけではありません。
ただし、クラウドに依存した自動バックアップの場合は、ロールバック機能の有無に要注意、という認識が付け加わります。
電子取引のデータも重要です
税理士らしいコメントを付け加えるとすれば、電子取引における記録保存の重要性です。
電子取引における記録は、原則として紙ではなく、データで保存するものとされています。このため、もし電子取引のデータが失われると、取引を明らかにする資料そのものが失われてしまいます。
調査官が来たときに、「資料はウイルスに感染して消失しました」と返答すれば、会社の信頼度はガタ落ちです。
税務に関する資料は、基本的に過去のものがほとんどであり、上書き更新するようなものでもありません。
社外から参照される必要のあるものは除いて、外部メディアに切り離して保存しておくことが望ましいでしょう。
電子取引に関する要件の詳細は、以前の記事を参照してください。
まとめ
ビジネスにおいては、トラブルが発生した場合の「事業継続性」も重要です。
明日、社内のパソコンにおいてランサムウェアに感染した場合、どのような対応をすればよいでしょうか。
- バックアップはどれぐらい過去にさかのぼれるのか?
- そのバックアップは、クラウドか、ネットワークサーバーか、外部ストレージか?
- バックアップは従業員任せか、専任担当者がいるのか?
- 個人情報や顧客情報の管理は、どのパソコンで行われているか? クラウドか?
- 復旧までどれぐらいの時間が必要か?
- セキュリティの堅そうな外部サービスの利用で、リスク減少を図れないか?
古くから、平常時にこそ、危機の時の意識をもつことが重要であるといいます。
万が一のトラブル発生時には、IT担当者のいない都内の中小企業の場合であれば、東京都が用意している「中小企業サイバーセキュリティ相談窓口」に相談できます。
自社で手に負えないレベルはどうするのか、という部分まで想定しておくことも重要です。
参考文献
- ランサムウェア対策としてのバックアップに関するいくつかの誤解(備忘録、2016年7月)
- クラウドストレージがランサムウェアにロックされたら……Dropboxなら大丈夫!?(マイナビニュース、2016年4月)