自社データがランサムウェアに暗号化されたとき

企業がランサムウェア攻撃を受けた場合、その影響を最小限にとどめるには。

皆様はこれまでに、ありとあらゆるサイバー脅威から自社ネットワークを守るための方策を、いくつもいくつも参照されてきたことと思います。しかし、どれだけ対策を講じていても、マルウェアに感染してしまうことはあるものです。そうなったら、冷静に、迅速に、断固とした措置を取るしかありません。そのときの対応次第で、そのインシデントが会社にとって壊滅的な大問題となるのか、それともちょっとした不都合で済むのかが変わってきます。

復旧作業を進めるに際しては、講じた措置をすべて記録してください。社員に対しても、対外的にも、透明性を確保するためです。また、今後自社のシステムが別の悪意あるツールの標的となったときのために、ランサムウェアの痕跡をできる限り保管することをお勧めします。具体的には、後の調査で役立ちそうなマルウェアのログやその他の痕跡を保存しておきます。

パート1:特定し、切り離す

最初のステップは、侵入の程度を見極めることです。マルウェアはネットワーク全体に広がっているのか。複数のオフィスにまで感染が及んでいるのか。

まずは企業インフラ内の感染したコンピューターとネットワークセグメントを特定するところから始めましょう。特定できたら、それらを直ちにネットワークから切り離して感染の拡大を抑え込みます。

社内のコンピューター台数がそれほど多くない場合は、まずアンチウイルス、EDR、およびファイアウォールのログを確認します。コンピューターの数が非常に少ないのであれば、コンピューターを一つ一つ直接チェックします。

コンピューター台数が非常に多い場合は、イベントとログの解析をSIEMシステムで行うのを検討したいところです。以降の情報収集作業が不要になるわけではありませんが、全体像を把握するのに有効です。

感染したコンピューターをネットワークから切り離したら、それらのディスクイメージを作成し、可能であれば調査が完了するまでこれらコンピューターには触らずそのままにしておきます(コンピューターの停止時間があると業務に差し障る場合でも、とにかくディスクイメージは作成し、調査用にメモリダンプを保存しておきましょう)。

パート2:分析し、行動する

影響を受けた範囲の確認が終わった段階で、手元には、ディスク内のファイルがすべて暗号化されたコンピューターのリストと、それらのディスクイメージがあるはずです。これらはすべてネットワークから切り離され、これ以上の脅威をもたらさない状態になっています。ここからすぐに復旧プロセスを開始してもよいのですが、その前に、ネットワークの残り部分のセキュリティを確認しましょう。

ランサムウェアを解析して、どのようにして入り込んだのか、このランサムウェアを使用するのは通常どのグループか、といったことを突き止めます。いわゆる脅威ハンティングの開始です。ランサムウェアは、ただ出現するのではなく、何かを介してインストールされます。例えばドロッパー、RAT、ダウンローダー型トロイの木馬などが媒介として使われますが、そういったものを取り除く必要があります。

そのために、内部調査を行います。ログを精査して、どのコンピューターが最初に感染したのか、そのコンピューターが攻撃を阻止できなかったのはなぜかを解明します。

調査結果を基に、ネットワークに潜んでいる高度なマルウェアを取り除きましょう。その上で、可能であれば業務を再開します。次に、どうすれば未然に防げたのかを突き止めます。セキュリティソフトウェアの観点から何が不足していたのかを見極め、その穴を埋めましょう。

続いて、何が起きたのかを社員に知らせ、どうすればそのような罠に気づいて避けることができるかを手短に伝えた上で、後日トレーニングを行う旨を伝えます。

最後に、以後は更新やパッチがリリースされたら速やかにインストールするようにします。更新やパッチの管理は、IT管理者にとって欠かすことのできない優先事項です。マルウェアが利用する脆弱性は、すでにパッチが提供済みの脆弱性であることが多いものです。

パート3:クリーンアップし、復元する

ここまで、ネットワークに対する脅威に対応し、脅威が入り込んできた穴を手当てしました。ここからは、使用できなくなってしまったコンピューターに対処します。もう調査には必要ないのであれば、ハードディスクを初期化し、最新のクリーンなバックアップからデータを復元します。

バックアップデータがない場合は、ハードディスク内のデータの復号を試みます。Kasperskyのランサムウェア対策サイト「No Ransom」には、さまざまなランサムウェアに対応する復号ツールが公開されているので、自社に入り込んだランサムウェアに対応した復号ツールがあるかどうか確認しましょう。見つからない場合は、サイバーセキュリティ業者に相談してみてください。どんな場合でも、暗号化されたファイルは削除せずに残しておきましょう。後に復号ツールが公開される可能性があります。

個別の事情はどうあれ、要求されたお金は支払わないでください。支払うことで結果的に犯罪行為に資金提供することになりますし、支払ってもデータを復号できる可能性は高くありません。ランサムウェアを操る攻撃者は、データにアクセスできないようにするだけでなく、恐喝に使う目的でデータを盗む場合もあります。また、サイバー犯罪者に金銭を支払うことで、さらに多くを要求される場合もあります。要求額を支払ってからわずか数か月後、同じ攻撃者が再び金銭を要求し、支払わなければ情報をすべて公開すると脅してきた事例がありました(英語記事)。

基本的に、盗まれたデータは公になるものと考え、データ流出に対処する覚悟を持ちましょう。遅かれ早かれ、インシデントについて社員、株主、政府機関、そしておそらくジャーナリストに対して、公式に説明しなければなりません。オープンで誠実に情報を公開することが大切であり、評価も高いものです。

パート4:予防措置を講じる

大規模なサイバーインシデントは大きな問題となることが常であるため、最善の策は予防です。事前に備えを講じましょう。

  • ネットワークエンドポイント(スマートフォンを含む)すべてに、信頼できるセキュリティソリューションをインストールする。
  • ネットワークをセグメント化し、適切に設定したファイアウォールを設置する。新しい脅威に関するデータを自動的に受信する次世代ファイアウォール(NGFW)などの製品を使用するとなお良いでしょう。
  • アンチウイルス製品にとどまらず、脅威ハンティングツールの導入を検討する。
  • 異常が見られたら直ちにアラートを上げるSIEMシステムを導入する(大規模企業の場合)。
  • 社員に対し、双方向のサイバーセキュリティ意識向上トレーニングを定期的に実施する。
ヒント