ランサムウェアの脅威は対岸の火事ではない！企業経営層が抑えておきたい手口と対策 [Sponsored]

中小企業でも狙われる!? 改めてランサムウェアの脅威を考える

　「今、ランサムウェアが危険らしい、でもうちは有名な会社じゃないから大丈夫だろう」。会社の舵をとる経営層の人でそう思っている人はいないだろうか?

　ここ数年の一般ニュースにもしばしば登場しているが、改めてランサムウェアとは何かというと、ユーザーがマルウェアを実行してしまうことでディスク上のデータが勝手に暗号化されてしまうというものだ。元のデータを取り戻すには、あるいはそのデータをネットに公開されたくなければ、身代金を払うよう脅迫される。

　本誌読者の記憶に比較的新しいところでは、2020年に株式会社カプコンがランサムウェア被害にあった事例がある。この事件では、同社内の一部でメールシステムやファイルサーバーなどにアクセスしづらい障害が発生し、同時に社内ネットワークの稼働を部分的に見合わせた。

　また、最終的に1万5,649人の個人情報の流出が確認され、最大39万人の個人情報が流出の可能性があると報告されている。ランサムウェアによって企業の業務が止まってしまうほどのダメージがあり、身代金も巨額になると想像される。

　狙われるのは、大規模な商業活動を行なう大企業とは限らない。2021年には、徳島県つるぎ町立半田病院がランサムウェア被害にあい、救急や新規患者の受け入れを一時中止するなど、病院としての機能が事実上一時停止となった。また2022年には、大阪府立病院機構 大阪急性期・総合医療センターがランサムウェア被害にあい、全面復旧まで2カ月を要した。

　さらに中小企業にとって怖いのが、サプライチェーン攻撃だ。中小企業でも、親会社や取引先、そのまた取引先と、どこかで大企業につながっている。そのため、マルウェアによって中小企業の業務が停止すると大企業の業務も停止してしまうこともあるし、取引用のシステムを経由してマルウェアの被害が大企業に波及することもありうる。

　実際、犯罪者が大企業を狙って、比較的セキュリティの手薄な中小企業を攻撃する事例がすでに発生している。大企業が被害にあうと損害も莫大になる。もし、その損害賠償を求められれば、中小企業には払えない金額になってしまうことも想像に難くない。

　国内でもサプライチェーン攻撃は実際に起きている。その事例の1つとして、トヨタ自動車の取引先である内外装部品メーカーの小島プレス工業のケースがある。小島プレス工業は2022年2月にマルウェア被害を受けた。これにより、製造はできるものの納品のためのシステムがダウンし、納入ができなくなったことから、トヨタは3月1日に国内全14工場28ラインの稼働を一時停止することを決定した。

　この事例で、小島プレス工業が被害を受けたマルウェアについては、脅迫文があったと報告されていることから、ランサムウェアによる攻撃と思われる。また被害経路としては、小島プレス工業の子会社が被害を受け、そこから小島プレス工業のネットワークに侵入したことが報告されており、その部分でもサプライチェーン攻撃といえる。

　このように、中小企業といえどもランサムウェアの脅威にさらされており、対策が必須となっている。

セキュリティソフトが仕事の邪魔に? でも、インテルvProプラットフォームなら快適に動作

　ランサムウェアへの対策としては、入口での対策、実行を防ぐ対策、実行してしまったときに広がらないようにする対策、データのバックアップによる対策といった、各段階での対策をとることが求められる。

　その中でも重要なのが実行を防ぐ対策だ。基本は、昔から続いている、PCでセキュリティソフト(アンチマルウェアソフト)を動かしてマルウェアを検出することだ。企業であれば情シスが各PCにセキュリティソフトをインストールし、自動スキャン実行、週に1回程度の頻度でPC全体のフルスキャン実行、定義ファイルの自動更新を有効にしていることが多いだろう。

　ただし、エンドユーザーの中には、セキュリティソフトを快く思わない人もいる。特に性能が高くないPCだと、スキャンが走ることによって負荷がかかり、Wordなど使っているアプリケーションの動作が重くなってしまうからだ。管理の厳しくない職場では、設定を緩くしたり外したりしてしまう人もいる。

　そのようなことを防ぎ、作業の生産性と安全性を両立させるには、セキュリティソフトの影響が小さくなるスペックのPCを導入したい。特におすすめしたいのが、インテルがビジネスPC向けに提供する「インテルvProプラットフォーム」に対応したPCだ。

インテルvProプラットフォームのステッカー

　インテルvProプラットフォームはCPUの単体の機能ではなく、「安全、かつ効率的にPCを使える最新技術の集合体」と言える。その中には、性能や、セキュリティ、メンテナンス機能、安定性といった要件が含まれる。つまり、インテルvProプラットフォーム対応のPCであれば、ビジネスに使うための性能やセキュリティ機能などを兼ね備えているというわけだ。

　具体的に、そのうちのセキュリティ面では、セキュリティ保護をハードウェアで支える「ハードウェアシールド」の機能群をCPUに内蔵している。

　ハードウェアシールドのうち、特にランサムウェア対策に直接関連するところでは、セキュリティソフトのマルウェア検出を支援する「スレット・ディテクション・テクノロジー(TDT)」の機能がある。簡単に言うと、セキュリティソフトを高速かつ低負荷で実行できるようにCPUが支援する機能だ。

　たとえば、スキャンの処理は、ファイルの中身をメモリに読み込んで、その内容をCPUが先頭から末尾まで順にチェックするため、CPUがかかりっきりになってしまう。そこで、その処理をGPUに分担させればCPUの負荷が軽くなるのだ。

Windows 10のWindowsセキュリティを第11世代Coreプロセッサ上で実行しているところ、GPUに負荷がかかっていることが分かる

　さらに、マルウェアの挙動をマシンラーニングによって学習しておき、攻撃と思われる挙動をCPUレベルで検出する機能もTDTに含まれる。いわば、セキュリティソフトが処理していることの一部を、CPU上でハードウェア実行するわけで、それにより処理の負荷が軽くなる。

インテルTDTにより、アプリはもとより、OS、VMより下のレベルで脅威を検知できる ※インテルの資料より抜粋

　こうしたハードウェアシールドの機能は、Windowsに標準搭載されている「Microsoft Defender」などのセキュリティソフトが対応しており、マルウェア検出を効率化してPCの負荷を下げ、ユーザーの本来の作業を妨げないようになっている。

　インテルvProプラットフォーム対応PCは、同じスペックのインテルvProプラットフォーム非対応PCに比べると単価は若干上がる。しかし、ビジネスに莫大な被害を与えるランサムウェアの被害を未然に防ぎ、なおかつその対策によって社員の作業効率を落とさないためには、企業にとって差額以上の効果があると言える。

社員自宅の仕事PCも、インテルvProプラットフォームならいつでも管理

　さて、こうしたランサムウェア対策などPCのセキュリティ対策も、きちんとPCが管理されていればこそだ。

　新型コロナ禍にともなって、テレワークやハイブリッドワークが一気に普及した。これまで仕事で使うPCというと、会社にあるか、外に持ち出すにしても1日に1回ぐらいは会社に戻ってくるものだった。そのため情シスが、社内ネットワーク内で管理し、トラブル時には直接その場に行って対応したりといったことができた。

　しかし、テレワークとなると、仕事で使うPCがオフィス外にずっと置かれることになる。そのため、必要な処置がなされないままPCが使い続けられたり、トラブルが発生したときに情シスもリモートで対応しなければならなかったりする。

　PCに必要な処置の代表例としては、Windows Updateや、アプリケーションのアップデートなど、ソフトウェアを最新の状態に保つことがある。IPAの公開している文書「中小企業の情報セキュリティ対策ガイドライン」でも、「情報セキュリティ5か条」の最初の項目に「OSやソフトウェアは常に最新の状態にしよう」と掲げられている。

　そのため、情シスではなんとか社員全員のPCを最新の状態にすべく工夫をこらしている。アップデートが必ず適用されるようにするほか、仕事の邪魔をしないように人のいない夜中に会社中のPCを自動コントロールしてアップデートを実行することもある。

　この記事の第1回で話を聞いた、Webのマーケティング会社で情シスを担当しているA氏(仮名)の場合は、PowerShellスクリプトを使って社内中のWindows PCを調査し、OSのバージョンやインストールされているソフトなどの情報を収集、自動的に一種の管理台帳を作成している。

　また、Windows Updateも、PowerShellスクリプトで夜中に実行できるようにしている。そのほか、セキュリティソフトの一種で社内のPCでの挙動を解析サーバーで収集して対応するEDR(Endpoint Detection and Response)も導入している。こうした仕組みは、情シスが社員にPCを配布するキッティンッグの際に設定したそうだ。

　しかし、こうした自動化された管理も、社内の高速で安定した回線があってこそ実現できる。テレワークしているPCとなると、VPNで接続していないと社内から接続できず、その回線も社内ネットワークと比べて細くて不安定で、しかも夜中はPCの電源が落ちていて入れることもできない。

　また、トラブル対応や、ちょっとした設定変更もリモートでは難しくなる。Aさんの会社ではWindowsの管理者権限をユーザーに与えていないので、システムのちょっとした設定、たとえば画面を自動ロックする時間を変更するにも管理者が作業してやる必要があり、対応が大変となった。

　そのほか、BIOSにパスワードをかけ、BitLockerでディスクを暗号化していることにより、起動時にユーザーが対応を求められることがあり、テレワークによりその対応も大変だったという。実際の画面を見ればどういう状態かが一目瞭然なのだが、BIOSの段階で止まってしまうためリモート接続によるサポートもできず、画面を言葉で説明したもらったり、スマホで写真を送ってもらったりしてようやく対応した。

BitLockerの回復キー入力は、OS起動前の処理なので、通常のリモートデスクトップ機能では対応できない

　こうした事態にもインテルvProプラットフォームが有効だ。

　インテルvProプラットフォーム対応CPUには、中に管理用のコントローラが入っている。インテルのサーバー型クライアント管理ツール「EMA(Endpoint Management Assistant)」を使うと、このインテルvProプラットフォームの管理用コントローラと通信して、PCがインターネットに接続できる状態であれば、たとえ電源が落ちていてもサーバー側から管理作業を実行できるのだ。

EMAを使うと、社員の自宅にあるPCを外部から管理できる

　そのため、社員の自宅に置かれた業務用PCを一斉に電源オンにしてWindows Updateを実行するといった離れ業もできるようになっている。

　またインテルvProテクノロジーとEMAを使うことで、OSが起動する以前からPCをリモート操作できる。リモートデスクトップなど、アプリケーションやOSの機能でPCをリモート操作する方法はあるが、それらはOSが動いている必要がある。インテルvProテクノロジーとEMAを使えば、BIOS段階でのトラブルでもリモートで画面を確認して対応できるわけだ。

　A氏の場合は、新型コロナ禍が一段落を迎えてリモートワークからハイブリッドワークに移ったことで、管理作業が楽になったという。つまり、在宅勤務をしている企業では、その分の負担を情シスに強いていたことになる。

企業PCにはvProバッジの付いたPCを選ぼう

　インテルvProプラットフォームによって、情シスの負担や、トラブル解決に時間がかかることによる社員の生産性の低下、そしてPCの管理が行き届かないことによるランサムウェア被害などのリスクに対処できることをお分かりいただけただろうか。

　メーカーのPCがインテルvProプラットフォーム対応を名乗るには、CPUが対応しているだけではなく、PC全体で対応し、テストを行ない、インテルから認定を受ける必要がある。この認定を受けたPCは、インテルvProプラットフォーム対応のマークが貼られている。

　ランサムウェアなどの脅威に対応し、かつ従業員の生産性を上げたい経営者は、自社で使っているクライアントPCにそのマークが貼られているかを一度チェックしてみてはいかがだろうか?