企業の保持するIT関連機器がマルウェアに感染すると、営業の事実上の停止から回復までの出費や人員の確保、取引先への被害の予防、そして、万が一取引先に対しても被害が拡大した場合には謝罪や補償など、大きな影響を被ることがあります。
マルウェアは早急に発見し駆除することが重要ですが、自社の情報セキュリティ専門の技術者が充実しているとは限らず、実際には対応時間も企業によってばらつきがあるようです。そこで、駆除については自社のリソースのみに頼らず、専門家のサービスを受けることも考慮に値します。
予防・検知、そしてマルウェア駆除に力を発揮する専門家サービスの紹介も含め、マルウェアに対する適切な方策とは何かについてご説明します。
マルウェア感染はどこから発覚するのか
マルウェア感染の発覚は、企業内部と外部からの両方が考えられます。
内部からの発覚
例えば、次のような事象に気がついて、故障と識別するための確認後、発覚することが多いようです。
- 意図しないプログラムが勝手に起動・再起動している
- 画面が真っ暗のままになる
- ブラウザの表示が不審である
ブラウザの場合、ブラウザに不審なメッセージが表示される(例:「ウイルス感染警告!」のようなメッセ―ジ)、「お気に入り」が、勝手に書き換えられているといった事象が発覚の端緒になります。とるべき対応としては、ユーザーがIT部門に何が起こっているかを調べてもらうことであると考えられます。
マルウェアの感染が発覚すると、いかなる経路で、いかなる形のマルウェアに感染しているのか、その特定の作業を急がなければなりません。そして、速やかに駆除するための対策を打ちます。
取引先等外部からの発覚 事態はより深刻に
取引先から、「異常なアクセスがあったので、調べてみたら経路に貴社のIPアドレスがあったようだ」あるいは「不正なアクセスについて心当たりがないか」「警察から調査事項照会が来た」などの事象の発生報告により発覚するケースもあります。
こうした場合は、外部に発覚するまでにある程度の時間がたっていることが多く、二次感染、データの悪用などの二次被害に適切な対策をしなかったことを疑われてしまう、あるいは、発覚したときには、すでに取引先だけにとどまらず社会的影響が出ているなど、被害に遭った企業に不利な要因が生じる可能性がより高くなります。
その結果、内部発覚の場合と比べ、対外的な対応により多くの時間や金銭を使う可能性も高くなります。マルウェアに対する直接の対策のほか、被害の程度と態様に応じた謝罪・補償・あるいはプレス対応などが必要となり、企業の負担は大きくなります。
このように、直接の被害企業の被害だけでなく、被害者が加害者に転化し、二次感染・二次被害が広がる可能性があるのが、マルウェアの脅威ということになります。
では、具体的にどのような被害が起こるのか、被害が生じる仕組みとともに、もう少し詳細に見ていきましょう。
マルウェア感染の仕組みと感染の被害の広がり
マルウェアは、不正なプログラムです。ランサムウェア、トロイの木馬、コンピューターウイルスなどの不正なプログラムの実行により、企業に甚大な被害をもたらします。不正なプログラムの目的は以下のとおりです。
- 情報収集
- 企業システムの破壊
- 不正に収集した情報による、詐欺や金融犯罪
被害を受けた企業は、マルウェアの検知・駆除を行い、取引先に迷惑が掛からないように手を尽くさなければなりませんが、マルウェアのなかには、時間をおかずに他のPCに拡散を始めるものもあり、ひとたび感染すると、被害の広がりを抑えられないケースがあります。
企業の責任としては、自社の異常事態を収拾するため、マルウェア駆除を行わねばならないのと同時に、仮に他の企業等に被害が及びセキュリティ体制が十分でないことが明らかになれば、損害賠償請求に応じることが必要となる可能性もあります。
現在はサイバー保険が準備され、他社への被害賠償・補償・回復費用・プレス対応費用などがカバーされますが、損失額全額がカバーされるとは限らず、また、失墜した社会的信用は保険では元に戻りません。
そこで、感染予防のため情報セキュリティ体制の向上を目指すとともに、インシデントがあった場合を想定したレスポンスプランを策定し、日ごろからマルウェア感染に備えておく必要があります。
マルウェア駆除はどのように進められるのか
マルウェア感染は100%予防することは不可能です。というのも、悪意を持った者は、何らかの対策が取られても、次にはそれを破るための方法を考えてくるため、攻撃と防御がいたちごっこのような関係にあるからです。
最新のセキュリティ対策を施し、マルウェア感染を防ぐために技術的に必要とされる措置を施しても、マルウェアに感染する可能性があり、その場合は駆除が第一の課題となります。
ツールを用いた駆除
ツールを用いた駆除のプロセスは以下の通りです。
-
検知
マルウェアの侵入を検知するIDS・マルウェアスキャンソフトなどを用いてマルウェアの存在を突き止めます。
-
通信遮断
IPSなどにより、通信を隔離・遮断して、他の機器等にマルウェア感染が広がらないようにします。
-
駆除
駆除ソフトを用います。あるいはこれに加えて感染を確認・または感染が疑われる機器の使用を止めて除却する、ということで駆除活動が終結することもあります。
ツールを用いた駆除の場合、よく知られているマルウェアの攻撃に関しては、過去の攻撃パターンに基づいた定型的な判断を行うため、正確で迅速です。したがって、ツールによる一連の駆除プロセスは効率的であり、マルウェアの駆除に非常に役に立ちます。企業で時に発生するマルウェア感染事例のうち、定型的に対応できるものは、内部で発覚後、ツールによる駆除で対応は十分と考えられます。
しかし、ツールによるマルウェアの駆除には限界もあります。
人の高度な判断を必要とする駆除
特に外部に被害が出ていて、実損害・影響とも大きい事案においては、原因であるマルウェアが定型的でない場合や未知のものであることも多く、過去にあったマルウェア情報を基に駆除することが大半であるツールのみでは、完全にマルウェアを駆除するのが難しいことがあります。
こうした場合には、人が判断して、攻撃シナリオを解読したり、今起こっている事象から予測をつけたりするなどして、駆除にあたります。
また、駆除にあたっては、事業への影響を考えなければならない場合があります。そうした場面では、業務の一部中止、新しいハードウェア等への入れ替えなど、企業の金銭的負担もあり、どの時点でどこまでの駆除ができるか、という高度な判断が必要です。
駆除を実行するために、事業全体への影響をアセスメントし、いかなる方策をとるべきか、緊急事態において可能な限り速やかに判断をすることになります。
マルウェアによっては、こうした高度な判断が必要になることを認識しておきましょう。
外部の専門部隊の活用は有効
マルウェア駆除に高度な判断が必要とされる際に、専門的知識を持つ人員を社内で簡単に確保することが難しい場合があります。さらに、企業活動への影響の予測も行い、有事の際に陣頭指揮が取れるような人材となると現実的でないところもあるでしょう。
したがって、緊急事態に備えて、高度で的確な判断ができる専門部隊による外部からの緊急対応支援をサービスとして受ける用意をしておくのもまた、マルウェア対策のひとつとして優れた手段といえるのです。
マルウェア駆除:ツールと人の的確な判断により緊急事態に対応
マルウェアへの対策は、攻撃の入り口をふさぐ技術・検知技術・通信を遮断する技術・駆除技術に支えられています。ツールはこれらの技術を実現する役割をします。しかし、状況の的確な判断には人の手も必要です。
未知の攻撃を分析しなければならない場面では、専門家による高度な判断が必要となります。ツールと人、それぞれの強い領域において、役割分担をすることにより、十分なマルウェア駆除が可能となります。
IT人員の全体的な不足に呼応して、マルウェアに強い技術者・専門家も不足している現状では、優れた人材の常時雇用は必ずしも現実的ではないでしょう。
そのため、外部の緊急対応支援サービスを積極的に利用して、マルウェア包囲網をぜひ固めておきましょう。