ランサムウェア被害時の初動対応を解説した資料--JPCERT/CCが公開

國谷武史 (編集部)

2022-01-13 11:57

 JPCERT コーディネーションセンター(JPCERT/CC)は1月13日、ランサムウェアによる被害が判明した際の初動対応でとるべき行動や留意点などについて解説した資料「侵入型ランサムウェア攻撃を受けたら読むFAQ」をウェブサイトで公開した

 資料は、(1)ランサムウェアの被害を受けた場合の連絡先となるサイバーセキュリティ専門機関や警察、(2)セキュリティベンダーなどの窓口や相談・報告する内容と、初動対応で行うべき調査や検討のポイント、(3)「身代金を支払うべきか?」といったよくある質問への回答――の3章で構成されている。

FAQの内容構成(JPCERT/CCサイトより抜粋)
FAQの内容構成(JPCERT/CCサイトより抜粋)

 資料の対象は、ランサムウェアの被害に遭った組織のほか、組織のセキュリティ対策部門や担当者、警察や各種業界を所管する官公庁、自治体、セキュリティ製品やサービスの提供企業などとしている。被害組織がネットワーク遮断のために資料をオンラインで閲覧できない場合は、対応を支援するベンダーなどが印刷物などの形で提供してほしいという。

 早期警戒グループの佐々木勇人マネージャーによると、ランサムウェアの攻撃を受けたり、それによって情報が漏えいしたりした疑いのあることを公表した組織の動向を見ると、以下の点から、ランサムウェア被害時の初動対応における課題が見えてくるという。

  • 「情報漏えいは確認されなかった」:暴露サイトに掲載されているが、被害は本当にないのか?(暴露サイトでの掲載が攻撃者のハッタリであるケースも)
  • 「ランサムウェアを検知できなかった」:ランサムウェアは攻撃手法の最終段階であり、そもそも攻撃者に侵入される原因が別にある
  • 「感染原因を特定できなかった」:侵入の原因となった可能性がある部分が調査されていない恐れがある

 佐々木氏によれば、現在のランサムウェア攻撃は、攻撃者(攻撃者グループ)が組織のIT環境の脆弱な部分を突いて侵入し、密かに機密情報の所在などを把握した上で窃取とデータの暗号化を行い、最終的にランサムウェアを使って組織に金銭の支払いを要求(脅迫)する。つまり、ランサムウェアによって脅迫される以前の段階から既に攻撃が開始されており、ランサムウェア自体の駆除や被害に遭った情報資産などを回復させるだけでなく、攻撃のきっかけになった脆弱な部分の対策をしなければ、何度も攻撃される恐れがあるという。

 ただ、一連の攻撃によって端末やデータ、ログなどの調査対応に役立つ攻撃者の痕跡や手がかりといったものが破壊されたり消去されたりしているケースが多く、調査対応が容易ではないという。

 また、昨今のランサムウェア攻撃は、データを暗号化して使用不能させるだけではなく、攻撃者がデータをインターネットのウェブサイトに暴露するとも脅す「二重脅迫」手法が増えており、さらに別の脅迫手法を組み合わせるなど巧妙化している。佐々木氏によれば、ランサムウェア攻撃による暗号化で使用不能になったり、暴露によって漏えいしたりしたデータが個人情報だった場合、4月1日に施行される改正個人情報保護法の対象事案になると指摘する。

 改正個人情報保護法では、個人データが漏えい、滅失、毀損(きそん)などした場合に、当該組織には個人情報保護委員会への報告義務が生じる。報告には、事案を認識してから数日以内(3~5日程度)に行う「速報」と、詳細を原則30日以内に行う「確報」があり、ランサムウェア攻撃で個人情報や個人データに被害に出れば、組織はこれらを実施しなければならなくなる。

 佐々木氏は、ランサムウェアを未然に防ぐ対策や被害後の再発防止策については多数の情報が既にあるため、むしろ被害発生から間もない初動対応を対象にした解説を作成したと述べる。また、多くの被害組織は、データの復旧にとらわれてしまうことが多く、対応をITシステムの保守代行企業だけに依頼しがちで、ランサムウェア攻撃に至ったセキュリティ問題の対応にまで手が回らないことが多いとする。このため攻撃が繰り返されたり、証拠隠滅を図られたりして、攻撃者の思うつぼに陥ってしまう。

 こうしたことからも佐々木氏は、初動対応を適切に行うことができれば、被害の最小化や再発を防ぐ抜本策も講じやすくなると話す。例えば、攻撃の調査が困難でも、検出されたランサムウェアの名称や種類などを頼りに、そのランサムウェアを使う傾向にある攻撃者(攻撃者グループ)を推測し、攻撃者の特徴的な攻撃手法の傾向(侵入で狙うシステムや侵入で悪用する脆弱性など)が分かれば、被害の根本的な原因に迅速な対応を取りやすくなり、結果として被害抑止や適切な法令対応につながるという。

「身代金を支払うべきか?」に対する回答(同)
「身代金を支払うべきか?」に対する回答(同)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]