見出し画像

解説!今から始める中小企業のランサムウェア対策。+事例もあわせてご紹介

QNAP Japan

本稿のテーマは中小企業のランサムウェア対策です。

お手頃かつ最小限の人員で効率的に対策するためのソリューションとして、QNAPのセキュリティ対策用エッジスイッチADRAエードラをあわせてご紹介します。

ランサムウェア被害の半数は中小企業です

警視庁の発表によると、2022年にランサムウェアの被害を受けた企業のうち半数は中小企業だったようです。ニュースでも製造業や医療機関での被害がたびたび取り上げられています。

引用元: 令和4年におけるサイバー空間をめぐる脅威の情勢等についてhttps://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

ランサムウェアの被害は「侵入されて即日に発生」というわけではないのが特徴です。

皆様の会社のネットワークもランサムウェアに侵入されていないと言い切れるでしょうか?

ランサムウェアの侵入から被害が露呈するまで

典型的な企業ネットワークの形としては下記のようになるかと思います。

ネットワークの段数、台数など規模の違いはあるものの、

  • 入り口は1つ

  • ファイヤウォールなどで防ぐ機構があって、

  • 一度侵入してしまった場合はネットワーク間の「関所」がない

という構成です。

一般的な社内ネットワーク

このようなネットワークに対して、犯罪者は個人のメールアドレスにランサムウェアを添付するなどして社内ネットワークに侵入を試みます。

関所がないところにランサムウェアが侵入してしまうとどうなるでしょうか?答えとしては自由に動き回ることができるので、他に感染可能な端末を物色したり、重要なデータが保存されていそうなサーバーを探したりしだします。

内に「関所」がないので移動し放題…

こういった活動によって、重要そうなファイルサーバーを見つけた際に暗号化を行い、金銭の要求を行うことで初めて被害者は「感染していた」ことに気づくわけです。

このような挙動、感染拡大の方法をラテラルムーブメントといい、一般的にランサムウェアが侵入し被害が露呈するまでに30日~180日ほどかかると言われています。長いですよね。

しかも、ランサムウェアにデータを暗号化されてしまった場合、身代金を払ってデータを取り戻した場合であっても、そのあと再度データを暗号化されてしまうケースも存在します。データの暗号化だけでなく、こういった形でネットワークのそこかしこにランサムウェアが潜んでいて、データ復旧後、再度活動を再開するからです。

ランサムウェアがネットワーク内に侵入してきてしまった場合どうすればいいのでしょうか?答えは挙動を検出して徹底的に対応していく。これしか対応方法はありません。

侵入してきたランサムウェアをあぶりだすためには?

では、組織のネットワーク内にランサムウェアが侵入していたと仮定した場合、どうしたらあぶりだすことが可能でしょうか?

説明の通り、ランサムウェアはネットワーク内で感染が可能な端末や重要なファイルが保存されていそうなファイルサーバーを探しますので、不審な挙動を捕まえることができればいいことになります。

関所を通るランサムウェアの挙動を検出できればいい

従来のファイヤウォールでは「外から中」への脅威検出はできますが、イントラネット内(社内ネットワークの内側)の脅威を検出することはできません。

イントラネット内の脅威を検出するためには、イントラネット内にセキュリティスイッチを配備し、パケット*を監視することで、感染の兆候を検出してネットワーク全体を監視管理する必要があります。

*パケット ネットワーク上で情報を通信する小さなまとまりのこと。

そこで便利なQNAPのADRA

ADRAエードラはQNAPが設計開発したNDR* アプライアンスです。

ADRA NDRアプライアンス

ADRAはネットワークスイッチの上で脅威を検出するためのアプリを動作させたり、DPI* によってパケットを監視したりすることで、イントラネット内に侵入してしまった脅威を検出します。関所で荷物の出入りを記録するお役人さんのイメージですね。

関所(=アクセススイッチ)にお役人さん(=ADRA)を置く

* NDR(Network Detection and Response)とは、ネットワークトラフィックを包括的に監視することでネットワーク上の脅威を検知しリアルタイムで対応するソリューションのこと。

*DPI(Deep Packet Inspection)とは、通信するデータの内容に踏み込んで解析することで、「Webアクセスに偽装して内部のファイルを持ち出そうとしている」といった不審な挙動を検知すること。

ADRA導入事例

とある企業様で実際にADRAを導入していただいた事例がありますのでご紹介します。

導入事例 1

企業様のサイズのイメージとしては、

  • クライアントPCが約400台

  • Wireless NetworkのAPが24台

  • Firewall導入済み

  • サーバーファームを10台前後所有

といった感じのサイズ感となります。

こちらのネットワークでADRAを導入いただき、12日後に検出状況を確認しました。確認結果として、ログに残っていた脅威度の件数としては下記のようになっていました。

  • 高レベルの脅威:54,692件

  • 中レベルの脅威:208,211件

  • 低レベルの脅威:18,626件

さらに詳細を確認した結果、

  • 4台がマイニングゾンビに感染していることが判明

  • 2台のサーバーがすでにマルウェアに感染していたことが判明

  • 57台のデバイスがネットワークスキャンを行っており、それぞれのデバイスに感染したマルウェアがネットワークスキャンを行っていたことが判明

  • 870のインターネット上のIPアドレスからイントラネットが攻撃されていたことが判明

という結果でした。

導入事例 2

こちらは

  • リモートからアクセスするユーザーが存在

  • サーバーファームとして4台程のサーバーが存在

  • Active Directoryで全体ネットワークを管理

  • ファイアウォール導入済み

という環境でしたが、導入14日後の状態を確認すると下記のような結果でした。

  • 高レベルの脅威:2件

  • 中レベルの脅威:163,209件

  • 低レベルの脅威:269,554件

  • 3台のクライアントがマルウェアに感染していると思しき挙動

  • 1台のクライアントがマルウェアに感染していると疑わしいインターネットへのアクセスを実施

  • 25台のデバイスがイントラネットのスキャン行為を実施。

ということがわかりました。

導入事例 3(病院)

こちらも簡潔に導入後23日後の結果をご案内します。

  • 高レベルの脅威:23件

  • 中レベルの脅威:68,151件

  • 低レベルの脅威:113,743件

  • 1台のクライアントがマルウェアに感染し、内部サーバーを攻撃していることを検出。架空、或いは疑わしいDNSクエリを実行

  • 1台のクライアントが疑わしいインターネットへのアクセスを行っており、確認の結果脅威に感染していたことが判明

  • 3つのIPからイントラネット内のサーバーをIPスキャンしていたことが判明

  • 1台のクライアントがポートスキャンを実行しており、確認の結果脅威に感染していたことが判明

  • 38台のデバイスがイントラネット内のスキャンを実行。詳細確認を実施

あなたのネットワークも「安全」と言い切れますか?

上記の導入事例に挙がった企業様はみな「うちは感染してないだろう」と考えていらっしゃいましたが、実際にはいくつかの脅威が検出されました。皆様ADRAで脅威を検出し、ネットワーク隔離、駆除など行うことで安全なネットワークに戻ることができました。

あなたが今お使いのネットワークももしかしたら既に感染した端末が存在しており、ランサムウェア被害拡大へのカウントダウンが始まっているかもしれません。また、今は感染していなくとも、将来感染した端末が出てきた場合、一刻も早く感染していることを突き止めることが必要です。

「うちはアンチウイルスソフト入れてるから大丈夫」。それ本当?

EPP(アンチウイルスソフト等)を導入しランサムウェアの感染そのものを防ぐ方法はどうでしょうか?

前提として、EPPとNDRは目的が違うソリューションです。

  • EPP:エンドポイントの感染を防ぐ

  • NDR:ネットワーク内の他の端末への感染を防ぐ

EPPが防げないケースとしては、予期しない端末がWiFiにつながれてそいつが感染している場合や、感染している個体がネットワークコンセントに接続される場合などが予想されます。一方、NDRは挙動を監視することにより予期せぬ感染から他の端末への感染を防いでくれます。

例えるならEPPは各家庭のセコムで、NDRはお巡りさんのパトロール。犯罪に巻き込まれるのを防ぐためには、自宅の防犯も街の治安維持もどちらも大切ですよね。

EDRと比較

EPPの他に、EDR(Endpoint Detective and Response)も人気のソリューションです。EDRはエンドポイント、つまり社員のパソコン1台につき1基の専用機器を設置するタイプのランサムウェア対策となっています。

EDRはハードウェアやソフトウェアに制限があったり、そもそもそれぞれのエンドポイントに導入する必要があるので高額になりがちです。

一方、ADRA NDRはアクセススイッチとして導入するだけでADRAを通して通信するクライアントが監視対象となり、下位ネットワークにある機器を保護できます。セキュリティ対策にたくさんの予算をとれない、という中小企業のお客様にも実現可能なソリューションとなっています。

注意点として、ADRAの場合、インターネットゲートウェイにおいてファイアウォール等の機器でブロックできなかった外部からの不正な通信を検出することはできません。通常上位から下位に対して通信は行わないためです。

最後に

中小企業におけるランサムウェア対策についてご理解いただけたでしょうか。

もしADRA導入をご検討いただけるようでしたら以下よりお問い合わせください。日本支社のスタッフが対応いたします。

QNAP公式ウェブサイトでは、高知県高知市の運送企業丸中運送様にご協力いただき、導入事例をご紹介しております。

運送業はシステムの正常運転が当たり前とされており、ひとたび障害が起こるとビジネスと信頼に直結してしまう一方、構造的に中小企業が多いためセキュリティ対策に大きな設備投資がしにくい、という現状があるようです。そういった状況にフィットするソリューションとしてQNAPのADRAをご導入いただきました。

また、導入事例とは別に、ITMedia PC User様に記事広告を出稿しております。専門ライター様にADRAの強みをとてもわかりやすくまとめていただいております。

本稿が皆様の手助けになれば幸いです。何か気になる点があればコメントでお知らせください。それでは!

世界有数のNASメーカー、QNAP株式会社の公式noteです。