皆様こんにちは。Yubicoで日本を担当している大友です。昨今の世相を背景に、企業に対するランサムウェアによる攻撃が急増しています。今回はランサムウェアに対する効果的な防御についてお話ししたいと思います。
まず、ランサムウェアとは何かを簡単にまとめます。ランサムウェアはその名の通りソフトウェアの一種で、企業内のPCやサーバーにインストールされプログラムとして実行されます。ランサムウェアが起動されると組織内のデータが暗号化されアクセスできなくなり、さらにはハッカーにコピーされてしまう可能性もあります。問題はその後です。ハッカーは暗号化されたデータを人質にして、ビットコインなどで金銭を要求してきます。要求に従えない場合は奪ったデータを公表すると脅してきます。
暗号化されたデータは日々利用する顧客情報であったり、知的財産であったり、教育機関であれば生徒情報であったりと多岐に渡りますが、いずれにしてもインターネットで公開されたり、ダークウェブで取引されると個人情報漏洩や知的財産の侵害に直結し、企業や組織は業務停止、風評被害、訴訟対応、補償金の支払い等、金銭以外にもさまざまなダメージを被ります。もちろん身代金を払ったからといって、盗まれたデータが闇で取引されない保証はありません。被害を受けた組織が生活インフラや医療であれば私たちの命にも関わってきます。
ランサムウェアはどうやって組織内に入ってくるのでしょうか?ハッカーも費用対効果を考えますので、難しい方法は好みません。ダークウェブで闇取引される認証情報や、フィッシングで得たユーザーID/パスワードを使って、企業や組織のメンバーになりすましネットワークに侵入するケースが大半です。自動化ツールを使って複数の企業に複数のアカウントで侵入を試みて効率よく侵入対象を絞っていきます。
ここで重要なのは「認証」を突破することです。認証はシステムにアクセスするための最初の関門で、多くの場合はユーザーID/パスワードになっていると思います。パスワードについては桁数や文字の組み合わせに気を使い、定期的に更新する企業や組織も増えてきました。ある程度の複雑性の担保とライフサイクル管理をすることで、安全性がほんの少し向上していますが、フィッシングで得られたパスワードは、数日内に更新された新しいパスワードの可能性もあります。攻撃を自動化しているハッカーはスピードも早いので、すぐになりすましアクセスに使うことができます。
そこで、「多要素認証」が大事になります。パスワードの桁数が短くても、複雑性にかけていても、しばらく更新されていなくても、多要素認証を取り入れていればなりすましアクセスを実行することは格段に難しくなります。
多要素認証はID/パスワードだけではログインが完了せず、さらに複数の要素がなければ認証が成功しないという仕組みです。YubicoではYubiKeyというセキュリティキーを提供しています。セキュリティキーは物理キーです。内部には電子的な暗号鍵を保存して使うケースが多いです(そのあたりの詳細は別の機会に…)。このYubiKeyをログインプロセスに追加すると、物理キーがないと認証が完了しません。ID/パスワードが盗まれた状態でもYubiKeyをUSBポートに挿して、センサーをタッチしないとログインできないのです。電子的な情報は盗むことができても、個人が持っている物理キーまで盗むのはハッカーの費用対効果を下げることになり、結果的にランサムウェアをインストールするための侵入を防ぐことになります。
IDやパスワードは電子データですので、ネットワークに繋がっていることが一般的な昨今では盗まれる前提で考える必要があります。今後のトレンドとしては諸悪の根源であるパスワードを廃止して、セキュリティキーや生体認証を利用したパスワードレス認証が主流になっていきます。ただし、今はパスワードレス認証への移行期間にあり、あらゆるシステムからパスワードが取り除かれ、FIDO2/WebAuthnといった新しい認証プロトコルに完全に移行するまでには少々時間がかかりそうです。当面はIDとパスワードにYubiKeyをプラスすることで、ハッカーから大事なデータを守りましょう。もちろん、パスワードレスになってもYubiKeyは使えます!
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
