ランサムウェア攻撃への対処方法

組織が聞きたくないニュースです。ランサムウェア攻撃の被害を受け、次に何をどう行動すればよいか悩んでいる状態だとしたら何をすべきでしょうか。

第一に、あなたは一人ではないということです。17％以上のサーバー脅威はランサムウェア攻撃が関与しています。ランサムウェアとは、被害者がハッカーに身代金を支払わない限り、被害者のデータやデバイスをロックし続けるマルウェアです。最近の調査で調査済みとなった1,350の組織のうち、78％がランサムウェア攻撃の被害を受けています。

ランサムウェア攻撃は、フィッシングのEメールを使って個人を騙して悪意のあるリンクをクリックさせたり、リモートアクセスなどソフトウェアやオペレーティング・システムの脆弱性をエクスプロイトしたりするなど、いくつかの方法（ベクター）を使ってネットワークやデバイスに感染します。サイバー犯罪者は通常、ビットコインやその他の追跡が困難な暗号通貨での身代金の支払いを要求し、被害者に復号化キーを提供してデバイスを解除できるようにします。

幸いにも、ランサムウェア攻撃が発生した場合、どの組織でも攻撃を封じ込め、機密情報を保護し、ダウンタイムを最小限に抑えて事業継続性を確保するために実行できる基本的な手順が存在します。

影響を受けたシステムを分離する

最も一般的なランサムウェアの亜種は、ネットワークをスキャンして脆弱性が横方向に伝播します。そのため、影響を受けたシステムを可能な限り迅速に隔離することが重要です。感染したデバイスまたは感染の可能性があるデバイスのイーサネットを切断し、WiFi、Bluetooth、およびその他のネットワーク機能を無効化します。

考慮すべきその他の2つのステップ：

• メンテナンス・タスクをオフにします。影響を受けたシステムの自動タスク（一時ファイルの削除やログのローテーションなど）を直ちに無効にします。これらのタスクはファイルを干渉し、ランサムウェアの調査と復旧を妨げる可能性があります。
• バックアップを切断します。多くの新種のランサムウェアは復元を困難にするためにバックアップを標的とするため、データのバックアップをオフラインに保ちます。感染を除去するまで、バックアップ・システムへのアクセスを制限します。

身代金要求書の写真を撮ります

他の作業を進める前に、身代金メッセージの写真を撮影し、スマートフォンやカメラなどの別のデバイスで、影響を受けるデバイスの画面を撮影するのが理想的です。写真は復旧プロセスを迅速化し、警察の報告書や保険会社に請求の可能性を提出する際に役立ちます。

セキュリティー・チームに通知する

影響を受けるシステムを切断したら、ITセキュリティー・チームに攻撃を通知します。ほとんどの場合、ITセキュリティーの専門家は、次のステップについて助言し、組織のインシデント対応計画（サイバー攻撃を検知して対応するための組織のプロセスと技術）を有効にすることができます。

影響を受けたデバイスを再起動しない

ランサムウェアに対処する場合は、感染したデバイスを再起動しないようにしてください。ハッカーたちは、これが最初に取りがちな行動を知っており、一部の種類のランサムウェアは再起動を試みると、Windowsに損害を与えたり、暗号化されたファイルを削除したりするようなさらなる被害をもたらします。ランサムウェア攻撃の調査が困難になることもあります。貴重な手がかりはコンピューターのメモリーに保管されており、再起動時に消去されてしまいます。

再起動する代わりに、影響を受けたシステムを休止状態にします。これにより、メモリー内のすべてのデータがデバイスのハードドライブの参照ファイルに保存され、今後の分析に備えて保存されます。

影響を受けたデバイスを隔離したため、デバイスのロックを解除してデータを復旧したいと考えているでしょう。ランサムウェア感染の根絶は、特に高度な亜種の場合、管理が複雑になりがちです。しかし、以下の手順で復旧を始めることができます。

攻撃ランサムウェアの亜種を決定

いくつかの無料ツールは、デバイスに感染するランサムウェアの種類を識別するのに役立ちます。亜種を特定することは、どのように拡散するか、どのようなファイルをロックするか、どのように削除するかなど、いくつかの重要な要因を理解するのに役立ちます。暗号化されたファイルのサンプルをアップロードし、存在する場合は、身代金メッセージと攻撃者の連絡先情報をアップロードするだけです。

最も一般的なランサムウェアは、スクリーン・ロッカーとエンクリプターの2種類です。スクリーン・ロッカーはシステムをロックするものの、支払いまでファイルを安全に保管します。一方、エンクリプター・システムはすべての機密データを検知して暗号化し、身代金の支払い後にのみ復号化するため、対処がより困難になります。

復号化ツールを探す

ランサムウェアの系統を特定したら、復号化ツールを探すことを検討します。No More Ransomなどのサイトを含め、この手順を支援する無料ツールもあります。ランサムウェアの系統名を入力して一致する復号化方法を検索するだけです

幸いにもランサムウェアの感染を除去できたら、回復プロセスを開始しましょう。

まず、システム・パスワードを更新し、バックアップからデータを復旧します。2つの異なる形式でデータのコピーを3つ作成し、1つのコピーをオフサイトに保管することを常に目指してください。3-2-1ルールとして知られるこのアプローチにより、データを迅速に復元し、身代金の支払いを回避することができます。

攻撃後には、セキュリティー監査の実施とすべてのシステムの更新を検討することも必要です。システムを最新の状態に保つことで、ハッカーが古いソフトウェアにある脆弱性をエクスプロイトするのを防ぐことができ、定期的にパッチを適用することで、マシンを最新の状態に保ち、マルウェアの脅威に対抗できます。また、学んだ教訓をもとにインシデント対応計画を改良し、必要なすべての利害関係者にインシデントのことを十分に伝えていることを確認する必要がある場合があります。

ランサムウェアは恐喝であり犯罪であるため、ランサムウェア攻撃は常に法執行機関またはFBIに報告する必要があります。

回復努力がうまくいかない場合、ファイルの復号化を当局が支援できる可能性があります。たとえデータを救えなくても、サイバー犯罪の活動を記録し、他者が同じような被害に遭わないように助けることが重要です。

ランサムウェア攻撃の被害者の中には、ランサムウェア感染を報告することが法的に義務付けられている場合もあります。例えば、HIPAAでは通常、医療機関はランサムウェア攻撃を含むデータ侵害があった場合には、保健福祉省への報告が義務付けられています。

身代金を支払うかどうかを決断することは、複雑な決断です。ほとんどの専門家は、他のすべての選択肢を試しても、データ損失が支払額よりもはるかに深刻な損害をもたらす場合にのみ、支払いを検討するべきだと提案しています。

自分の決定に関係なく、先に進む前に、必ず法執行機関の捜査官やサイバーセキュリティーの専門家に相談する必要があります。

身代金を支払ったとしても、データへのアクセスの回復や、攻撃者が約束を守るという保証はありません。多くの場合、被害者は身代金を支払っても、復号キーを受け取ることができません。さらに、身代金を支払うことはサイバー犯罪者を永続させ、サイバー犯罪にさらなる資金を提供する可能性があります。

Eメール・セキュリティー・ツールやマルウェア対策ソフトウェア、ウイルス対策ソフトウェアは、ランサムウェア攻撃に対する重要なな第一の防御手段です。

組織はまた、ファイアウォール、VPN、多要素認証などの高度なエンドポイント・セキュリティー・ツールを、データ侵害を防御するための広範なデータ保護ストラテジーの一環として利用しています。

ただし、サイバー犯罪者をリアルタイムで捕捉し、成功したサイバー攻撃の影響を軽減する最先端の脅威検知機能とインシデント対応機能がなければ、完全なサイバーセキュリティー・システムは完成しません。

セキュリティー情報およびイベント管理（SIEM）システムなどのツールは、機械学習やユーザー行動分析（UBA）を従来のログとともにネットワーク・トラフィックに適用して、よりスマートな脅威検知と迅速な修復を実現します。