出典:ソフォスホワイトペーパー「被害から学ぶサイバーセキュリティ」2022年8月
ランサムウェア攻撃の被害者になってしまった場合の対処方法について、被害から学んだ教訓をご紹介します。
今回引用したソフォスホワイトペーパー「被害から学ぶサイバーセキュリティ」には7つの教訓の一つとして紹介されています。
この記事の目次
インシデントレスポンスプランを作成する
インシデントレスポンス(Incident response, IR)プランとは、組織がサイバー攻撃を受けた場合に適切な対応をするための計画です。インシデントレスポンスプランを事前に準備することは非常に重要です。サイバー攻撃を受けた際に必要なアクションについて、次の項目について検討し、計画を立てましょう。
- インシデントの深刻度は?
- 重要なシステムはどこにあり、どのようにして隔離するのか?
- 誰とどのようにコミュニケーションを取るのか?
- 誰に連絡し、どのような行動をとるべきか?
- バックアップはどうするのか?
インシデント対応計画はシンプルで実用的なものにします。そうすることでプレッシャーのかかりやすいインシデント発生時でも簡単に計画を実行することができ、チームは迅速な決断を下しやすくなります。
システム復旧前に専門家の支援を求める
データの復旧作業や身代金の交渉を始める前に、被害状況を把握し、専門家に相談して下さい。インシデント対応 (IR) には専門的なスキルと知識が必要ですが、多くの組織は、インシデント対応ができる専門家を常駐させていません。
大規模な攻撃が発生した場合、インシデント対応依頼が殺到する可能性がります。インシデント対応をサポートしていただける会社は数社リストアップしておきましょう。
ランサムウェア攻撃の場合は、まずエンドポイントのセキュリティベンダーがインシデント対応サービスを提供しているかどうかを確認することをお勧めします。
インシデント対応サービスを提供しているエンドポイントセキュリティベンダーであれば、既にクライアントの状況を把握している可能性があります。
また、EDR/XDR などへのアクセス権限をもち、迅速に修復を行うことができます。インシデントが発生してた場合には、ベンダーから購入した製品の性能が不十分であったと感じるかもしれませんが、実際の原因は、人やプロセスであることが大半です。
以下についても対応を検討してください。
- サイバー犯罪の被害に遭った場合は警察に届け出てください。犯罪として警察が適切に対応できる可能性があります。
- サイバーセキュリティ保険に加入している場合は、保険会社にインシデントを通知してください。
- テクノロジープロバイダーやシステムインテグレーターが自社と連携している場合は、バックアップの復元など、復旧のための支援を受けられる可能性があります。
※2022年4月1日から、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が義務化されています。
攻撃を隔離し封じ込める
自社で可能な限りの隔離と封じ込めの対策を行ってください。
隔離と封じ込めのための行動
- 電源を切る
- インターネットを切断する
- ネットワークケーブルを引き抜く
- ソフトウェアベースの隔離を行う
- すべてのトラフィックをブロックするファイアウォールルールを適用する
- 重要なシステムをシャットダウンする
- ドメインコントローラーがまだ機能している場合は、シャットダウンしたり、ネットワークから切り離したりして、その状態を維持する
- バックアップがある場合は、ネットワークから隔離されていることを確認する
- 漏洩した可能性があるパスワードはすべて変更し、アカウントをリセットする
インシデント対応サービスの多くはインターネット経由で提供されるため、システムや接続をオンラインに戻すためのガイダンスを確認しておきます。ランサムウェアの痕跡を検出した時点で、攻撃は最終段階に入っています。再度の攻撃を防止するために、復旧作業を開始する前に攻撃の主体を排除することが重要です。
身代金を支払わない
身代金を支払うことは、一見簡単な方法のようですが、攻撃者をさらに増長させることになります。500 ドルでシステムを復旧できた時代は遥か過去の話になりました。ソフォスの「ランサムウェアの現状 2022年版」によると、昨年、中規模組織が支払った身代金の平均額は 812,360 米ドルでした。攻撃者は、組織の重要なデータを探し出し、ダーク Web に流出させて販売することも多く、バックアップを削除した上でデータを暗号化します。ソフォスの調査によれば、身代金が支払われた後も、暗号化されたデータのうち復元されるのは 61% のみで、3 分の 1 以上はアクセスできないという結果が出ています。
※ レポートでは「ランサムウェアの現状2021年版」が引用されています。
身代金支払の合法性は、世界各地で異なることに留意してください。組織が活動している国での制限や制約について、常に最新の情報を得るようにしてください。
※ 2022年8月現在。日本ではランサムウェア攻撃者への支払いを禁じる法律はありません。
「身代金メモ」と「検体」を保管する
組織が情報漏えいの被害を受けると、復旧させることに注力してしまい、その過程で多くの情報を破棄してしまうことが多くあります。
しかし、それらの情報が根本原因の解明と情報漏えいの範囲を理解するのに役立つ場合もあります。
その代表例が「身代金メモ」です。侵害されたパソコンには、身代金を支払うまで 暗号化されたファイル にアクセスできないことを伝える、「身代金メモ」が表示されます。
身代金を支払ったり、攻撃者に連絡を取ったりするつもりがなくても、「身代金メモ」がフォレンジック調査で有用となる場合があります。このメモは、インシデント対応チームが直面している相手や、そのグループが使用している一般的な戦術を教えてくれます。また、全く新しいランサムウェアの種類や、攻撃者グループが使用する戦術、技術、手順 (TTP) が明らかになることもあります。
「身代金メモ」は通常、シンプルなテキストまたは HTML 文書であり、簡単に別の場所に保存することができます。
分析のために保管しておくべきもう一つの重要なアイテムは、ランサムウェアやマルウェアの検体です。
業界標準では、これらの検体は「virus 」または「infected」というパスワードを付けたアーカイブファイルに追加され、安全な場所に保管されます。
パスワードで保護した .zip は、必要に応じてアナリストに安全に渡すことができます。マルウェアをリバースエンジニアリングして研究することで、攻撃の手口を発見することができ、インシデント対応の担当者や調査員が被害状況を調べる場所を絞り込むのに役立ちます。
可能であれば、システムや仮想マシンのイメージも保存しておきましょう。万が一、法廷で使用する必要がある場合や、改ざんされていないことを証明する必要がある場合に備えて、すべてのフォレンジック証拠を暗号化して保存し、収集時に SHA256 を記録しておくとさらに良いでしょう。まれなケースではありますが、保険金請求について裁判で争うことになった場合や、政府機関に対して情報開示法に違反していないことを証明する必要がある場合には、このような対応が必要になることがあります。
侵入者の特定は専門家に任せる
多くの場合、ランサムウェアの攻撃の背後には、複数のグループが存在します。
あるグループが、最初に組織にアクセスするための情報を獲得します。このグループはそのアクセス情報を別のグループに売却します。アクセス情報を購入したグループは、さらに別のグループのサービスとしてのランサムウェアを使用して攻撃を実行します。各グループやグループメンバーは、いくつもの国に分散して存在しています。侵入者がどのグループにいるのかを特定することは難しく、もし出来たとしても侵入後の混乱の中ではあまり役に立たないでしょう。
通常、身代金メモから得られる情報や、戦術・技術・手順 (TTP) の共通点から、経験豊富なインシデント対応チームは自分たちが何に直面しているのか、誰に直面しているのかを迅速に把握することができます。
「ハックバック」と呼ばれる報復行動は、決して行わないようにしましょう。違法行為に当たる恐れがあるだけでなく、状況を悪化させかねません。
※ 日本では「ハックバック」は、不正アクセス禁止法で規制されています。
サイバー保険の役割を理解する
サイバー攻撃によりインシデントが発生した場合、保険会社の担当者は、まず外部の法律顧問を雇い、社内外のリソースを整理し、インシデントの解決までの活動を調整するよう指示します。ランサムウェア攻撃の場合、これらのサービス活動には通常次のようなものが含まれます。
- 役割と責任の確立、影響の規模の特定、連絡方法の確立。
- 脅威の調査と分析、被害の防止、セキュリティ侵害の痕跡 (IoC) の特定。
- 必要に応じて、身代金要求の処理と交渉に関する助言を行う専門家を任命する。
- 必要に応じて、データへのアクセス、流出、回復の性質について助言する専門家を任命する。 代金の支払い、復号化、バックアップなどの中から、データを復元するための最も低コストな方法を特定する。
- 予防措置の導入、攻撃者がネットワークで築いたアクセス環境の除去、インシデントのタイムラインの確立。
- 環境の状態、根本原因分析、攻撃の性質、特定された攻撃者の戦術、技術、手順を示した最終報告書の作成。
サイバー保険の契約をする際には、大規模なサイバー攻撃を受けた場合に、どのような対応になるのかを前もって話し合っておくことをお勧めします。
代替コミュニケーション手段を用意しておく
攻撃によって、コミュニケーションは妨害されます。メールシステムはオフラインになり、電子化された保険契約や IR プラン(インシデント対応計画)が暗号化され、攻撃者が通信を監視している可能性があります。このような事態に備えて、インスタントメッセージングアプリケーションなどの代替コミュニケーション手段を用意しておき、チームや関係者と別チャンネルでコミュニケーションを取れるようにしておきましょう。保険の詳細、IRプラン、IR会社の連絡先などは、プリントをして保管しておく必要があります。
教育・訓練がセキュリティ意識を高め維持する
教育・訓練は、ランサムウェアの被害を防ぐ最後の砦です。継続して教育・訓練を行うことで、組織内のセキュリティ意識の高まりを維持することができます。
標的型攻撃メールは、システム的に完全に防ぐことが困難なことから、従業員が不正メールに騙されないためのリテラシー向上や、不用意にメールを開封した際の対処トレーニングの重要性が高まっています。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。