見出し画像

大学におけるランサムウエア対策とその監査

小野成志(Seishi Ono)

日本の大学がランサムウエアに狙われる可能性が高くなっている。重要なファイルは適切なバックアップを行い、被害に遭った場合のリスクマネジメント計画を構築しておくべき時が来ている。

※このノートは2021年11月21日に行った講演の一部をメモにしたものです

1 はじめに

ランサムウエアは,身代金請求型のマルウエアであり、組織内に侵入したマルウエアがファイルを全てロックしてしまい,その解除のために金銭的要求を行う.

アンチウィルスソフトなどの水際対策はほぼ回避されてしまうため,侵入されてからの対策が重要となる.特に.ランサムウエアからの復旧のリードタイムは,相当程度を要するため,システムが利用できなくなった場合のリスクマネジメントとBCPは重要な要素となる。 同時に、ランサムウエアは情報の流出を伴うため、流失した場合のマネジメントも準備しておくべきである。

最近は、日本の医療機関が相次いでランサムウエアの被害に遭っており、日本の大学がターゲットとなる脅威が高まっている。

2 ランサムウエアの概況

ランサムウエアは,世界的な規模で膨大な被害を出しており,その中でも,教育機関は小売業に次いで二位となっている.日本の教育機関での大きな被害は報告されていないが,その要因の1つとして,ランサムウエアの手口の1つとなる電子メールの日本語の壁によって攻撃が限定的であったことがあげられる,しかし,最近の攻撃では,この点は日々巧妙化している.

また,日本では,中小企業が主なターゲットとされている.最近は日本の医療機関が狙われているが,この場合でも,小さな医療機関に被害が出ている.大学に被害が発生した場合にも,中小の私立大学がターゲットになる可能性がある

3 身代金

身代金の金額は年々上昇傾向にあるとされ,最近では200万ドル近い額となっている(図1).

図1身代金の平均額
出典:ソフォスホワイトペーパー「 ランサムウェアの現状 」2021 年版

 教育機関が狙われる背景には,教育機関は,この程度の金額であれば,身代金を安易に支払ってしまい,表沙汰にはしない傾向があるからだと考えられている.
日本の中小の私立大学で,ランサムウエアの事例が発生した場合でも,同様に支払いが行われ,表沙汰にならないというケースは十分想定される.しかし,このような傾向には問題がある.
 
第一に,身代金の支払いは,一度ではすまず,侵入しやすい組織と見做された場合には,繰り返し侵入され,同じように身代金が要求される傾向にある.イタリアのヒルトンホテルグループの中に,カードシステムに侵入されたケースでは,同じような手口で三度も侵入され,その都度支払いを行った例がある.また,日本の私立大学は身代金を払う組織だと見做されれば,続けざまに様々の大学が被害を蒙る可能性がある.

第二に, 身代金を支払って鍵を手に入れても,その鍵で復号ができる割合は64%程度という統計がある(図2).

図2  データ復元の割合
出典:ソフォスホワイトペーパー 「ランサムウェアの現状」 2021 年版

第三に,ランサムウエアは,侵入すると同時に,情報の流出もさせるため,学籍データなどの重要な個人情報の流出などは身代金では防ぐことはできない.

安易な身代金の支払いは,避けなければならない.

4 ランサムウエア対策

ランサムウエアに対抗するためには,ファイヤーウォールやアンチウィルスソフトなどによる古典的な水際対策では防げない.そこで,近年の水際対策として「ゼロトラスト」いう仕組みが提案されている.ゼロトラストの導入によって,確かにランサムウエアなどの攻撃は相当程度緩和できるが,経費的にも運用コスト的にも中小の大学には負担が大きい.

このため、ランサムウエアには侵入されるものだとの前提の下に,侵入された後の対策を講じておくことが,最良の対策となる.

4.1 適切なバックアップ

ランサムウエア対策の基本は,バックアップにある.ランサムウエアに感染した場合には,そこからファイルを復元することになる.ただし,通常のバックアップ方式では,不十分であり,ランサムウエアがアクセスできないような対策が必要である.

  • 磁気テープへのバックアップ
    数テラバイト程度のファイルであれば,世代管理をしながら磁気テープへのバックアップを行う方法が無難である.
    大学の場合,成績データなど重要なデータは,このサイズに収まる場合がほとんどである

  • コールドバックアップ
    システム全体などのバックアップは,コールドバックアップをする.コールドバックアップとは,通常業務で運用されているネットワークから切り離され,容易にアクセスできない場所にファイルを保管する方法である.
    ランサムウエアにアクセスされないための運用には,一定の技術力を求められる.

  • クラウドにおける対策
    クラウド上のファイルは,コストをかけて良いなら専用のバックアップサービスがある.また,コールドバックアップの要領で,ランサムウエアのアクセスできない場所への定期的なバックアップを行う方法もある.いずれも運用技術には,ある程度のスキルは必要である.

4.2 リスクマネジメント計画

ランサムウエアにおけるリスクは,以下の2点が考えられる.

  1. 長期間にわたるシステム停止

  2. 情報の流出

このため,システムが利用できなくなった場合のBCPとしてサービス縮退を想定しておく必要がある.
また,復旧に失敗し,身代金を支払うという決断をした場合は,それでも復旧できないことも想定するとともに,説明責任についても予め決定しておく必要がある.

情報の流出についても事前に決定すべき事はある.成績データなどの重要な個人情報が流出することを予め想定し,どのような責任を果たすべきかについても決定しておくことが望ましい.

5 ケース

新聞記事などからの情報に限られるが,2つの事例を紹介しておく

5.1 バックアップの失敗

株式会社ニップンでは,2021年7月7日に関連子会社まで含めてランサムウエアの被害に遭遇し,決算報告の延長を余儀なくされた.

このケースでは,バックアップシステムは,実運用と同じネットワーク上にあったものとみられ,コールドバックアップとなっていなかった.また. バックアップシステムが被害に遭うことは,想定しておらず,BCPも組まれていなかったため,対応に苦慮することになった.ランサムウエアに対する備えに油断があったものと推定される.

5.1 長期間の運用停止

· つるぎ町立半田病院では,2021年10月にランサムウエアの被害に遭ったが,復旧は3か月程度を要し,越年することになった.

6 ランサムウエアの監査

6.1 ランサムウエアへの備えの監査

教育機関の多くでは,ニップンの例のように自分の所は狙われないという根拠のない油断があり,備えが不十分である場合には,被害が大きくなる可能性がある.また,ひとたび大学関係で被害が発生すると,大学関係の中で繰り返されることは,現在の医療機関の被害状況から推察することができる.ランサムウエアに対する備えに対する監査は有意義である

この場合の監査対象は,(1)バックアップがコールドバックアップになっているか,(2)リスクマネジメント計画やBCPが立てられているか,また,その計画に沿った災害訓練は実施されているか,(3)情報流出の場合の備えはできているかである.

6.2 ポストランサムウエアの監査

ランサムウエアの被害に遭った場合には,再発防止に向けて,いくつかの点を見ておく必要がある.

  1. 説明責任
    被害に遭った場合に,その状況をステークホルダーに隠蔽することは避けるべきである.情報流出が懸念される場合にはとりわけ,情報公開が重要である.

  2. 身代金
    身代金は,直接支払いを求められるだけではなく,コンサルタントを名乗るフロント企業が,ロックを解除すると称して,間接的な支払いを求めてくることもある.そうした反社会的な行為が介在していないかについては,監査人として注視しておくべき点である.

  3. 再発防止
    システム的な対策,リスクマネジメント計画の両面から適切にランサムウエア対策が取られたかについての監査は,組織にとって極めて有意義である.

いいなと思ったら応援しよう!