サイバー攻撃を受けるとどうなる？対策と再発防止のために出来ること

昨今サイバー攻撃に関するニュースをよく耳にすることがあるでしょう。その際、万が一「自分の会社がサイバー攻撃を受けたら…」と考えたことはあるでしょうか。

サイバー攻撃を受けた直後や、その後の復旧段階や再発防止措置を講じている段階で対応を誤ると、さらなる被害拡大や、情報漏えい、事業の停止等につながる可能性があります。そのため、サイバー攻撃を受けた際の適切な対処法を知っておくことは極めて重要です。

そこで今回はいくつかのサイバー攻撃被害のパターンから、対処法や再発防止策などを紹介したいと思います。

もしもサイバー攻撃を受けたら

サイバー攻撃とは、ネットワークを通じてサーバ、パソコン等の情報端末に対し、システムの破壊やデータの窃取、改ざんなどの攻撃を与える行為です。個人や企業だけでなく公的機関も攻撃の対象とされることがあり、不正アクセスによる金銭の搾取、個人情報の漏えい、Webサービスの停止やシステムダウンなどを目的としています。

サイバー攻撃には多くの手口が存在し、年々巧妙化しています。サイバー攻撃を受けて個人情報の漏えいやWebサービスが停止してしまうと、企業の社会的信用が低下したり大きな損失につながったりするため、サイバー攻撃を受けた直後の適切な対応や再発防止策がとても重要です。

サイバー攻撃を受けてしまった場合、被害を拡大させないために、まず感染したパソコン等の情報端末をネットワークから切り離すことが大事です。その後、セキュリティ担当部署や各関連部署、警察やセキュリティ会社へ連絡して状況を説明し、影響が及ぶ範囲や原因等を調査・分析し、必要に応じて取引先等にも連絡します。その際、見覚えのない連絡先等が表示されても連絡せず、身代金等の金銭の要求には応じないようにしましょう。
また、従業員へサイバー攻撃を受けた場合の対応について正しく周知することも重要です。企業全体で適切な対処方法を共有しておくことで、一早い問題解決につながり、企業の損失を最小限に防ぐことが可能です。

こちらのコラムも参考にしてください。

次の項目では被害事例ごとに、すぐにすべきこと、してはいけないこと、再発防止のためにできることをご紹介します。

被害①：パソコン内のファイルが暗号化されて開けなくなった

パソコン内のファイルが暗号化されて開けなくなった場合、ランサムウェア（身代金ソフトウェア）というマルウェアに感染したことが原因と考えられます。
ランサムウェアに感染すると、画面をロックされたりファイルが暗号化されることでパソコンの動作が制限されます。その上で、制限解除のために金銭を要求する内容の警告メッセージを使用者に向けて表示します。また、暗号化する前に営業秘密等を盗んでおいて「公開されたくなければ金銭を支払え」等と二重に脅迫してくる手口もあります。

こちらのコラムもご参考にしてください。

すぐにするべきこと／してはいけないこと

感染したパソコンをネットワークから切り離す

パソコンをネットワークに接続したままにしておくと、ネットワーク内の他のパソコンにも感染が拡大する可能性があります。被害拡大防止のために、ウイルスに感染した可能性のあるパソコンをネットワークから切り離してください。

警察やセキュリティ会社に相談する

被害に遭った後の対処は自分たちの判断で行わず、必ず警察や専門のセキュリティ会社に相談して、その指示に従いましょう。自分達だけで解決しようとすると、問題解決に時間がかかり被害が拡大することがあるため、必ず警察やプロの専門家に相談するのがおすすめです。

身代金を要求するメッセ―ジが表示されても支払わない

身代金と引き換えにシステム復旧や暗号化された端末やファイルを元に戻すといったメッセージが表示されることがありますが、身代金を支払っても元に戻る保証はありません。ただし、人命に関わるような場合は、警察の指示に従いましょう。

再発防止のためにできること

メールなどへのスキャン・フィルタリング設定

ランサムウェアの手口として多いのが、メールの添付ファイルやリンクを開いてしまうことで感染させる手口です。そのため、外部からの不審なメールに対しては、スキャンや設定によって受信しないようにする・従業員には不用意にファイルやリンクを開かせないという対策が効果的です。

各端末やシステム全体の定期的なアップデート

ランサムウェアの基本的な対策の一つは、各端末のOSやシステムのバージョンを常に最新の状態にアップデートしておくことです。古いバージョンのままだと、脆弱性を狙われてサイバー攻撃に遭う原因となってしまうため、定期的にアップデートする必要があります。

ランサムウェアの侵入および感染を検出できるようなウイルス対策ソフトやシステムの導入

ランサムウェアの被害に遭わないためには、セキュリティ対策ソフトやシステムを導入し、ランサムウェアの侵入・感染を検出できるようにすることが基本です。また、ウイルス対策ソフト等導入後も常に最新の状態に更新しておきましょう。

また、被害軽減対策として定期的にデータのバックアップも行いましょう。ランサムウェアの被害に遭い、ファイルを暗号化されてしまった場合でも、バックアップをとっておくことでデータを復元することが可能です。データがあれば業務停止時間の短縮につながり、全体の損失を最小限に抑えることができるでしょう。なお、簡単に第三者がアクセスできない環境にバックアップをとっておきましょう。

被害②外部から「自社を装った不審なメールを受信した」と連絡を受けた

外部から自社を装った不審なメールを受信したと連絡があった場合、Emotet（エモテット）と呼ばれるマルウェアに感染している可能性があります。
Emotetは感染すると、「正規のメールへの返信を装って、Emotetに感染させる添付ファイルやURL等をばらまく」という特徴があります。この「正規のメールへの返信を装う」というのがとてもやっかいで、見かけ上メールの送信者はこれまでやり取りをしていた相手の名前となっています。そのため、受信者は添付ファイルやURLに対する警戒心が弱まります。
また、2023年3月16日に、MicrosoftOneNote形式のファイルを悪用してEmotetへ感染させる新しい手口も確認されています。攻撃メールに添付されたMicrosoftOneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って操作をすると感染する恐れがあります。

すぐにするべきこと／してはいけないこと

Emotetに感染した際にすぐにすべきことと、してはいけないことをご紹介します。

・感染したパソコンのネットワークから遮断する

感染したパソコンをネットワークに接続したままにしておくと、同じネットワークに接続されている他のパソコンにも感染が拡大する可能性が高まります。ウイルス感染が疑われたらすぐにネットワークから切り離しましょう。

・Emotet感染の有無をチェックする

Emotetに感染した疑いがある場合は、すぐに感染の有無をチェックしましょう。JPCERTコーディネーションセンター（JPCERT/CC）が、Emotet感染有無確認ツール「EmoCheck（エモチェック）」を提供しています。感染が疑われるパソコンで実行して確認してください。

出典：警視庁ホームページ Emotet(エモテット)感染を疑ったら：
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/emotet.html

・他のマルウェア感染の有無を調査する

Emotetは、感染した情報端末にほかのマルウェアを侵入させる役割も持っています。そのため、Emotetに感染してしまった場合、Emotet以外のマルウェアにも感染している可能性がありますので、ネットワーク内すべてのパソコンをウイルス対策ソフトでフルスキャンしてください。

・感染したアカウントのメールアドレスとパスワードを変更する

Emotetはメール経由で外部に感染を拡大させていくため、Emotetに感染したアカウントのメールアドレスやパスワードの変更を行ってください。そのほか、感染が疑われるアカウントもパスワード情報が搾取されている可能性があるため、同様にメールアドレスとパスワードの変更を行いましょう。

・取引先等への周知

Emotetにより、自社を装ったメールが取引先等へ送られて感染を拡大させる恐れがあります。そのため、自社名が記載された不審なメールを受信した際は、メールを開封せず削除するよう注意喚起しなければなりません。できるだけ早く、普段やり取りしている取引先に、自社のパソコンがEmotetに感染したことを連絡してください。

再発防止のためにできること

Emotetに感染してしまった場合、再発防止のために以下のことを行いましょう。

・従業員への教育

Emotetは、取引先等からの返信を装ったメールの添付ファイルやURLを開くことで感染します。自社内だけでなく、取引先等各方面へ影響を与えてしまう恐れがあり、企業の信用問題に関わります。従業員にはEmotetの手口を周知して、不審なメールを受信した場合の対処法について、しっかりと教育しておきましょう。
最新の手口やメール文面例は以下のサイトで紹介されていますので、手口の把握や従業員教育に役立てください。

出典：IPA情報処理推進機構　Emotet（エモテット）関連情報
https://www.ipa.go.jp/security/emotet/index.html

被害③パソコンに「ウイルスに感染したからコールセンターに電話して欲しい」等のメッセージが出た

偽のセキュリティ警告画面で不安をあおり、ウイルス駆除等の見返りに金銭を請求する「サポート詐欺」の可能性があります。また、類似の手口として「ワンクリック詐欺」というものもあります。

特に、この手口では「今すぐ確認してください」「セキュリティシステムが破損しています。すぐにソフトを更新してください」というメッセージを表記して、パソコンの使用者を焦らせるため注意が必要です。

すぐにするべきこと／してはいけないこと

パソコンに不審なセキュリティ警告画面が出た時に、すぐにすべきことと、してはいけないことを解説します。

・表示された連絡先に連絡しない

電話番号やメールアドレスに連絡をすると犯罪者の思うつぼです。あらゆる誘導で個人情報を聞き出されてしまう可能性があります。表示された内容を信用して安易に連絡しないようにしましょう。既に連絡をしてしまって相手から金銭を要求されてしまったり、契約を結んでしまったりした場合は警察に相談してください。

・信頼できるひとに相談する

詐欺師は被害者を孤立させることで心理的な圧力をかけ、冷静な判断を妨げようとします。身近な人に相談することで、このような孤立した状況を防ぎ、客観的な視点から状況を見直すことができます。
企業であれば情報システムを管理する管理者に相談しましょう。

・ウイルス対策ソフトでフルスキャンを行う

偽のメッセージを表示するマルウェアに感染している可能性がありますので、ウイルス対策ソフトでフルスキャンを行ってください。スキャンする際には、特定のファイル及びフォルダのみだと感染していることに気付かないという恐れがあるため、デバイス上のすべてのファイルに対してスキャンを行いましょう。

・ブラウザの通知設定を見直す

ウェブページを閲覧するソフト（ブラウザ）の設定によって、偽の警告画面が出ている可能性があります。このような警告はブラウザの通知機能を悪用した一種の手口ですので、ブラウザの通知設定を確認して心当たりのない不審なURLが登録されている場合は削除してください。

再発防止のためにできること

ここからは、再発防止のためにできることをご紹介します。

・ウェブフィルタリングを導入する

従業員のパソコンから業務に関係ないサイトやセキュリティ上危険と思われるサイトにはそもそもアクセスできないよう、UTM等によるウェブフィルタリングの導入を検討しましょう。

こちらのコラムも参考にしてください。

被害④DDoS攻撃を受けた

DDoS攻撃（Distributed Denial of Service attack）は、悪意のある第三者がウェブサイトやサーバへ大量のデータを送り付けて負荷をかけることで、システムを停止または遅延させる攻撃です。この攻撃によって、一時的にウェブサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりするなどの被害を受けます。その際、複数のコンピュータ機器を踏み台にして攻撃するため、犯人の特定が難しいという特徴があります。

すぐにするべきこと／してはいけないこと

DDoS攻撃を受けた時に、すぐにすべきことと、してはいけないことを解説します。

・サーバーやサービスの再起動を行ってはいけない

再起動によってDDoS攻撃自体は解決されないため、サービスが復旧しても即座に再び攻撃を受けることになります。攻撃はネットワークレベルで継続しているため、単純な再起動では根本的な問題解決にはなりません。
また、再起動によって重要な証拠やフォレンジック情報が失われる可能性があります。メモリ上に残っている攻撃の痕跡や、アクティブな接続情報、リアルタイムの性能データなど、攻撃の分析や対策に必要な情報が消失してしまいます。これらの情報は、攻撃の特徴を理解し、適切な対策を講じる上で非常に重要です

・関係者への適切な通知

DDoS攻撃は防ぐことが困難なサイバー攻撃のひとつです。対応が長期化することも予想されるため、適切な関係者への通知を行います。セキュリティチームやシステム管理者へ即時に報告を行い、経営層にも状況を報告します。状況に応じて、顧客やステークホルダーへ適切な通知を行うことも重要です。

・技術的な対応

WAFやファイアウォールなど、既存で導入しているセキュリティ機器のチューニングで攻撃の軽減ができないかを検討します。状況によってはISPへ支援を要請することも検討します。

再発防止のためにできること

ここからは、再発防止のためにできることをご紹介します。

・インフラの強化

インフラ強化として、DDoS対策専用機器やサービスを導入し、ネットワーク帯域を増強します。さらに、システムの冗長化構成を採用することで耐障害性を高めることが推奨されます。

こちらのコラムも参考にしてください。

その他のサイバー攻撃

ここからは上記以外で考えられるサイバー攻撃をご紹介します。

不正アクセス

不正アクセスは、本来その情報へアクセスする権限を持っていない第三者が、他人のIDやパスワードを盗むといった不正な方法でサーバやシステムの内部への侵入を試みる行為のことです。不正アクセスの被害に遭うと、ネットワークを通じて情報漏えいやウェブサイトの改ざん、他のサイバー攻撃の踏み台に利用されるなどさまざまな被害を受け、企業の信用低下につながります。

こちらのコラムも参考にしてください。

脆弱性を狙った攻撃

ソフトウェアやOSにおける「脆弱性」とは、情報セキュリティ上の問題につながる欠陥のことを指します。システムの不具合や設計上のミスなどが要因とされますが、この脆弱性を狙った第三者によってサーバダウンやウイルス感染といった悪意のある攻撃をされます。たとえば、ウェブサイト上に脆弱性が見つかると、そこへ大量のデータを送って過重負荷をかけるなどし、サービス停止や金銭の搾取などさまざまな被害に遭うリスクがあります。

おわりに