ランサムウェアは、ファイルを暗号化し、ユーザーがコンピューターシステムにアクセスしたり使用したりできないようにする悪質なソフトウェアです。ランサムウェア攻撃は、感染したコンピューター、サーバー、およびファイルを使用不能にし、通常は身代金の要求を伴います。攻撃は身近なものになっています。Veeamの『ランサムウェアのトレンドに関する2023グローバルレポート』によると、85%の組織が過去12ヶ月の間に少なくとも1回、サイバー攻撃を受けていることが判明しました。80%の組織が身代金を支払いましたが、平均で、データへのアクセスを回復できたのはわずか75%で、データを復元できたのは66%でした。ハッカーは、75%の確率で特にバックアップリポジトリを標的にしていました。
一方で、攻撃を受けた組織の16%は、身代金を支払わずにデータを復元しています。これらの組織では、クリーンでイミュータブルな信頼性の高いバックアップを導入し、意図したとおりに機能する統合型のランサムウェア対応戦略を立てていました。肝心なのは、ランサムウェア攻撃に対処するための堅牢な計画があれば、ランサムウェア攻撃から復旧が可能であるということです。
ランサムウェア対応計画の重要なコンポーネント
攻撃は非常に一般的なものとなっているため、ランサムウェア攻撃から迅速に復旧する方法を知ることが不可欠です。ランサムウェアからの復旧計画の重要な側面には、システムの強化、厳格な予防対策、ランサムウェアの検知と対応、復元とリストア対策、関係当局や影響を受ける関係者への通知計画などを含める必要があります。将来の攻撃を防ぐために、常にインシデント後の分析を実施してください。
ステップ1:予防策
ランサムウェア攻撃を防止および軽減するために、いくつかの手段を講じることができます。手段としては、従業員の指導、リスク評価、ハードウェアおよびソフトウェアソリューションの強化、ネットワークのセグメント化、安全なデータのバックアップなどが挙げられます。
従業員の指導:従業員はマルウェア攻撃に対する防御の最前線です。そのため、攻撃を認識できるようにトレーニングし、ランサムウェアの脅威とシステムが侵害された兆候を検出する方法について指導する必要があります。
リスク評価の実施:エキスパートチームを活用してリスク評価を行い、マルウェアやランサムウェアの防御の弱点を特定します。
ポートとエンドポイントの設定の強化:使用していないリモートデスクトップポート(RDP)を無効にし、RDPとその他のリモートアクセスプロトコルポートを信頼できるホストに制限します。同様に、安全な設定でエンドポイントを強化します。
ネットワークのセグメント化とアクセス制御の実施:VPNと物理ツールを使用してネットワークをセグメント化します。ネットワークの顧客向け部分と内向け部分を分離します。アクセス権を付与する際には、ゼロトラストの原則を採用します。
すべてのソフトウェアアップデートおよびパッチの実装:アップデートやセキュリティパッチを細心の注意を払って導入することで、侵入のリスクを制限します。
安全なバックアップおよびデータ冗長化ポリシーの採用:バックアップ戦略は企業の最終防衛線となるため、慎重に計画してください。頻繁にバックアップを行い、変更できないイミュータブルコピーを確保してください。少なくとも1つのバックアップセットを完全にオフラインで保管します。バックアップの整合性を定期的に確認してください。
ステップ2:検知と対応
ランサムウェアインシデントが発生した場合は、速やかに対応することが重要です。適切な監視ツールがあれば、多くの場合、攻撃の進行中に攻撃を中断させることができます。これを行うには、24時間365日体制での監視およびオンラインのランサムウェア検出ツールが必要です。これによって、被害を軽減し、次のようにしてシステムをより迅速にクリーンアップできます。
影響を受けたシステムの特定:影響を受けたシステムを特定し、そのシステムをネットワークの他の部分から直ちに分離します。攻撃によって複数のシステムが影響を受け、その範囲を最初に確認できない場合は、ネットワークをオフラインにします。システムを簡単にオフラインにできない場合は、イーサネットケーブルを抜き、Wi-Fiを無効にして、感染範囲を制限します。
機器の電源を切る:ネットワークからデバイスを切断できない場合は、影響を受けた機器の電源を切ってください。この手順では、揮発性メモリに保持されている証拠が削除される可能性があることに注意してください。
影響を受けたシステムのトリアージ:組織にとって重要なシステムを特定し、組織の優先順位の観点から重要度の高い順にリストします。
ログの確認:システムログを確認して、ドロッパーマルウェア、以前の攻撃、侵害されたネットワークなどの前兆を特定します。
経緯の判断:攻撃に至った一連のイベントおよび攻撃者によるネットワークへの侵入方法を明らかにします。
脅威の特定:ランサムウェアとその亜種、およびシステム上のその他のマルウェアを特定します。
ステップ3:コミュニケーションと報告
インシデントを報告し、影響を受けた当事者に何が起こったのかを明確に伝えます。迅速なコミュニケーションは、信用の喪失や懲罰的損害賠償などの長期的な影響を軽減するのに役立ちます。実行するアクションは次のとおりです。
社内でのコミュニケーション:影響を受けるすべての従業員と部門に直ちに通知し、インシデントを封じ込めるために講じられた手順について連絡します。定期的に最新情報を通知します。
関係当局への通知:地域の条例で義務付けられているように、地方または国の法執行機関に事件を報告してください。特定のプライバシーおよびデータ保護規制に関するすべての法的義務を満たしていることを確認します。
外部とのコミュニケーション:お客様や取引先にこのインシデントについて通知し、被害状況について適切な情報を公表します。犯罪者が機密情報を漏らすと脅迫し、被害者に身代金を支払わせることはよくあることです。
透明性の保持:企業が不利な情報を隠したいと思うのは当然ですが、サイバー攻撃を受けた事実は必ず明るみに出ます。透明性は、評判に対する悪影響を最小限に抑え、調査員を支援し、影響を受けた当事者に機密データを保護するための措置を講じる機会を提供します。
ステップ4:封じ込め戦略
システムからランサムウェアを根絶する手順を実行する前に、感染したすべてのデバイスのシステムイメージと揮発性メモリの内容をキャプチャします。この情報は、フォレンジック調査中に、何が起こったのか、どのようにシステムが侵害されたのかを判断するのに役立ちます。システムメモリ、セキュリティログ、ファイアウォールログバッファに保存されている揮発性情報を保持することが重要です。
連邦法執行機関、Multi-State Information Sharing and Analysis Center(MS-ISAC)、およびセキュリティベンダーに相談して、復号化ツールを開発しているかどうか、またはデータの復号化に使用できる暗号化の脆弱性を特定したかどうかを確認します。これらのリソースでは、影響を受けたシステムを特定する手順や、ランサムウェアのバイナリを無効にする方法に関する追加情報も提供されている場合があります。その他の手順は次のとおりです。
関係するシステムの特定
VPN、クラウドベースおよび公共向けのエンドポイントの無効化
サーバー側のデータ暗号化をオフにする
内部および外部の永続化メカニズムの識別
ステップ5:根絶戦略
根絶戦略の主な目標は、ランサムウェアとマルウェアの痕跡を(データ以外の)システムからすべて除去することです。システムをサニタイズできる場合もありますが、一般的には、テンプレートとクリーンなイメージを使用してシステムを消去し、ゼロから再構築する方が簡単で安全です。手順は次のとおりです。
感染したシステムを全てワイプまたは浄化する
重要なシステムから始めて、社内システムを再構築する
すべてのパスワードをリセットする
特定された脆弱性、Webサイト、マルウェアに対処してブロックする
ランサムウェアの痕跡を根絶し、システムを再構築してランサムウェアインシデントが収束したことを確認した後、指定されたIT当局から発表を行う
ステップ6:復元とリストア
この時点で、データをリストアして業務に戻ることができます。また、ランサムウェア攻撃から迅速に復元するための革新的なソリューションを導入するに至った先見の明が活かせる時です。Veeamは、起動してすぐに実行できる仮想マシンを作成するためのバックアップレプリカなど、いくつかのソリューションを提供しています。復元とリストアの手順は次のとおりです。
セキュアなバックアップを使用してシステムをリストアする
復元中にクリーンなシステムが再感染しないように、バックアップがクリーンであることを確認する
攻撃から学んだ教訓を活かして、セキュリティ対策を強化する
継続的なランサムウェア監視ソリューションを導入する
インシデント事後評価を完了する
ランサムウェアインシデント対応のベストプラクティス
ランサムウェア攻撃は、他のビジネス継続性管理計画と同じカテゴリで考える必要があります。この計画には、重大なインシデント、自然災害、ディザスタリカバリに対処するための戦略が含まれます。
ランサムウェアのインシデント対応計画でまず取り組むことは、徹底的に調査され、文書化された復元計画です。通常、この計画にはすべての利害関係者が関与し、復元目標とコミュニケーション戦略が明確に定められます。この計画では、責任者を特定し、ランサムウェア攻撃を受けたときに取るべき措置を明確に定義します。
考慮すべきポイントは次のとおりです。
対応チーム:対応チームのすべてのメンバーとその責任と機能を特定します。活動の調整を担当するリーダーを任命します。
インベントリ:すべての物理的およびクラウドのハードウェアとソフトウェア資産の完全なリストを、VPN、仮想プライベートクラウド、WAN、APIなどの特別な機能を含めて、相互接続の図とともに作成します。
重要な機能:重要なビジネス機能、アプリケーション、データセット、バックアップをリストアップし、優先順位を付けます。
緊急連絡先リスト:ランサムウェアインシデントの影響を受ける可能性のある全従業員、サービスプロバイダー、サプライヤー、顧客を含めます。
トレーニング:チームメンバー各自の役割と責任に関するトレーニングを行い、ランサムウェア対策キットを使用してインシデントのシミュレーションを行い、各メンバーがそれぞれの役割をしっかりと理解し、役割に慣れることができるようにします。
ランサムウェアアクションプラン:ランサムウェア対応に関する詳細なアクションプランを準備します。
教訓:トレーニング、シミュレーション、および実際の攻撃中に学んだ教訓を文書化します。
これらのランサムウェア対策のベストプラクティスを定形化して採用することで、攻撃を受けた際に迅速かつ効果的に対応し、サービスをリストアして再接続するためのクリーンなバックアップを確保できるようになります。
Veeamを導入する
IT構造を作り直すことはいつでも可能ですが、クリーンなデータにアクセスできなければ、企業はランサムウェア攻撃を乗り切ることはできません。Veeamのオンラインバックアップソリューションであれば、この問題は解決します。Veeamは、多層的なイミュータビリティ、包括的な監視と自動化により、復元に対する完全な制御を可能にする単一のソリューションを提供しています。Veeamでは、一般的なクラウドベースのソリューションのほか、Windows、Linux、Mac用のオンプレミスのソリューションと連携しています。
ランサムウェアデータ復元ソリューションについて詳しくは、営業部門までお電話ください。また、サイバー回復力を実現するためのヒントについては、専用のホワイトペーパー『サイバー回復力のあるデータ復元戦略の構築』をダウンロードしてください。