近年、ランサムウェアの被害が急増しており、中小企業も例外ではありません。
2024年5月26日に株式会社イセトーがランサムウェアに感染し、7月5日時点で少なくとも約150万件の個人情報流出が確認されたと発表されました。これについて、徳島県からも約20万人以上の個人情報漏洩の可能性が発表されています。
https://ascii.jp/elem/000/004/208/4208329
徳島県内でも、つるぎ町立半田病院が2021年にランサムウェア被害を受け、元通りの診療業務が可能なるまで約2か月を要しました。このことから、地方企業もランサムウェアの脅威と無関係とは言えません。
そこで、改めてランサムウェアの基本について学び、被害を最小限に抑える方法を見ていきましょう。
ランサムウェアとは何か?
ランサムウェアの基本
ランサムウェアは悪質なソフトウェアで、被害者のデータを暗号化し、解除のために身代金を要求します。
近年増加傾向にあるサイバー攻撃のひとつで、企業はもちろん個人にとっても深刻な脅威となっています。特に、中小企業はセキュリティ対策が不十分な場合が多く、前述のようにランサムウェアの標的にされやすい状況です。
主な感染経路
ランサムウェアは、主にメールの添付ファイルや悪質なWebサイトを通じて広がります。
例えば、偽装メールに添付されているリンク先にアクセスしたり、重要な書類にみせかけたファイルを開いたり、不正な広告をクリックしたりすることで、ランサムウェアに感染してしまうことがあります。
また、脆弱性のあるソフトウェアを利用している場合も、ランサムウェアの攻撃を受けやすくなる原因になります。
被害が広がる原因
よくある原因としては、ソフトウェアのアップデートを怠ったり、セキュリティ対策ソフトを導入していなかったり、パスワードが単純だったり、従業員のセキュリティ意識が低かったりなどが挙げられます。
根本的には、中小企業のリソース不足やリテラシー不足が考えられるでしょう。
ランサムウェア感染の事例
つるぎ町立半田病院の事例
前述の半田病院の事例ですが、決して人口の多くない徳島県の中小企業でもランサムウェアのターゲットになり得る、ということを思い知らされる結果となりました。
詳細は下記にまとめられています。
https://note.com/ipsj/n/n184258249f0d#94d6546d-bdbe-4827-a321-832c8203a92f
ベンダー側の問題とされていますが、病院側もベンダーに任せきりであったり、保守契約がなかったり、責任者の知識不足であったり、セキュリティ意識の低さも薄々感じられます。ベンダー選定を慎重に行うのはもちろん、業者任せではなく自分たちでできることをやろう、という意識が必要だったのではないでしょうか。
株式会社イセトーの事例
2024年7月5日時点で、個人情報の杜撰な扱いが報道されています。プライバシーマークを取得している企業は、使用済みの個人情報を速やかに消去しなければならず、データの保管場所も守らなければなりませんが、そうではなかったようです。どのようなセキュリティ対策だったのか不明ですが、怠ると被害が広範囲に渡ってしまうという教訓になりそうです。
ランサムウェアから中小企業を守るための対策
ソフトウェアアップデートの徹底
ソフトウェアを常に最新の状態に保つことが重要です。
どんなソフトウェアでも、セキュリティ上の脆弱性がわずかながら存在します。脆弱性が発見された場合、開発者はすぐにセキュリティパッチをリリースして修正します。ソフトウェアを最新の状態に保つことで、既知の脆弱性を悪用されるリスクを減らすことができます。
スマートフォンのOSやアプリで、頻繁にアップデートされるのはこのためです。
ファイアウォールの導入
ファイアウォールは、ネットワークへの不正アクセスを防ぐためのセキュリティ対策ソフトです。外部からの不正なアクセスを遮断し、ランサムウェアなどのマルウェアが侵入するのを防ぐことができます。
ウイルス対策ソフトの活用
ウイルスやマルウェアを検知・排除するための対策ソフトを導入し、定期的にスキャンを行うことで、不正侵入したランサムウェアなどを検知して感染を防ぐことができます。
ランサムウェア被害を防ぐための心構え
ランサムウェアの被害を防ぐためには、日頃からの予防と迅速な対応が不可欠です。
ソフトウェアのアップデートを徹底し、ファイアウォールやウイルス対策ソフトを導入するなど、セキュリティ対策を強化しましょう。また、従業員に対してセキュリティ意識を高めるための教育を実施することも重要です。
社員教育の重要性
社員一人一人がセキュリティ意識を持つことが、被害を未然に防ぐ鍵となります。
従業員に対して、ランサムウェアの脅威や感染経路、対策方法などを教育することで、セキュリティ意識を高めることができます。また、疑わしいメールや添付ファイルを開かない、パスワードを適切に管理するなど、基本的なセキュリティ対策を徹底するよう指導しましょう。
最新の技術動向を常にチェック
セキュリティ技術は日々進化しています。セキュリティに関するニュースや情報誌、専門サイトなどを参考に、最新の脅威や対策方法を学びましょう。
また、セキュリティに関するセミナーや研修に参加することで、より深い知識を習得することができます。
他人事ではなく、自分事と捉える
セキュリティが甘い企業によく見られる傾向が、『自分たちは大丈夫だろう』という危機意識の欠如にあります。
いつ何時、ランサムウェアに感染するかわかりません。『もし被害にあったらどうしよう』『お客さんに迷惑をかけるかもしれない』『そうなったとき、どうすればいいんだろう?』と、想像してみましょう。戸締まりと一緒です。
専門家に相談することの重要性
クラウドサービスの利用
セキュリティ対策が施されたクラウドサービスの利用も検討しましょう。
クラウドサービスは、セキュリティ対策が専門の企業によって行われているため、自社でセキュリティ対策を行うよりも安全です。また、クラウドサービスを利用することで、ランサムウェアに感染した場合でも、データが失われるリスクを軽減することができます。
定期的なセキュリティ診断
定期的に専門家によるセキュリティ診断を受けることで、自社のセキュリティ対策を見直す機会を持ちましょう。
セキュリティ診断では、自社のセキュリティ対策の現状を把握し、改善点を見つけることができます。セキュリティ診断の結果に基づいて、適切な対策を講じることで、ランサムウェアなどのサイバー攻撃から自社を守る体制を強化することができます。
信頼できるセキュリティ企業への相談
自社で対応が難しい場合は、信頼できるセキュリティ企業に相談することが重要です。
セキュリティ企業は、ランサムウェア対策の専門知識や経験を持っています。セキュリティ企業に相談することで、適切な対策を講じることができ、ランサムウェアの被害を最小限に抑えることができます。
徳島には、TOKUSHIMA Cyber Security Meetup (徳島県サイバーセキュリティ勉強会)という、徳島のセキュリティ意識向上を目指して設立されたコミュニティがあります。サイバーセキュリティに対して不安のある方・学びたい方はMeetupに参加してみましょう。