ランサム攻撃への７つのステップ

ITGovernance Blogにランサム攻撃への７つのステップ（対策）記事が上がっていましたので紹介します。

www.itgovernance.co.uk

1.データをバックアップして攻撃に備える
身代金の支払いを避け、壊滅的な遅れを避ける唯一の方法は、あなたがあなたの機密情報の第二の、感染していないコピーを持っていることを確認することです。このように、詐欺師があなたのシステムを暗号化するとき、心配する必要はありません。彼らに解読者を任せましょう。あなたはそれらのファイルを拭いてきれいな複製をアップロードすることができます。

継続的に新しいファイルを作成し、古いファイルを修正しているため、バックアップは定期的に実行する必要があります。

あなたはすべてを一度にする必要はありません。代わりに、各フォルダを調べて、大幅な変更が行われる頻度を判断してください。より頻繁に追加または修正されるほど、より頻繁にそれらをバックアップする必要があります。

それが決まったら、バックアップスケジュールを設定して、作業を独立したローカルデバイスまたはクラウドに保存します。

2.攻撃がランサムウェアであることを特定する
攻撃を発見した人がそれがランサムウェアであることを知っていると仮定しないでください。

WannaCryのおかげで、攻撃方法はこれまで以上に有名になりましたが、多くの人が攻撃を特定できないでしょう。これは問題を特定する貴重な時間を無駄にしている可能性があることを意味します。

これを回避するには、ランサムウェアについてスタッフに説明し、セキュリティ上の問題が発生した場合に通信路を確立します。このようにして、最初にマルウェアを発見した従業員は、その脅威が何であるかを特定し、対応策を講じることができる誰かに即座に連絡することができます。

3.感染した機器をネットワークから切断する
ランサムウェアに見舞われたと確信したので、影響を受けたデバイスをオフラインにして感染を隔離する必要があります。

これにより、ランサムウェアの拡散が阻止され、部分的な機能と次のステップを実行する時間が与えられます。

4.あなたの従業員に通知する
従業員は何かがおかしいことにすぐに気付くでしょう。自分のコンピュータが感染していなくても、他の人が感染していて、特定のシステムが利用できないことがわかります。

混乱がランサムウェアによるものであることを彼らが認識しているかどうかにかかわらず、スタッフは心配する傾向があります。影響を受けるのは彼らのチームだけですか？彼らはどのように仕事をすることになっていますか？彼らの上司は問題を知っていますか？

そのため、できるだけ早く状況を従業員に説明する必要があります。組織のどの分野が感染しているのか、またその間にどのように対処しようとしているのかを彼らに知らせます。

多くのランサムウェアの被害者は、可能であればコンピュータではなくペンと紙を使用しています。この状況でそれが可能な場合は、できる限り手助けする必要があります。例えば、あなたは彼らにそのようなペンと紙を提供し、彼らが必要とするかもしれない情報のハードコピーにそれらを指示し、手助けをすることができない同僚を連れてくるべきです。

5.身代金メモを撮影する
あなたは警察の報告書を提出するときにこれを攻撃の証拠として使うことができます。

これは無駄に思えるかもしれません - 警察は詐欺師を捕まえるだけでなく、ほぼ確実にあなたのデータを回復することができないでしょう - しかし、攻撃の証拠はサイバー保険の請求を提出するのに必要です。

あなたがまだサイバー保険に加入していない場合は、検討する価値があります。情報セキュリティインシデントに関連する損害賠償は、一般に商業保険契約には記載されていません。つまり、業務の中断などに基づいて請求を行った場合、ほとんどのプロバイダは支払いを行いません。

そのため、サイバー攻撃やデータ侵害に関連するコストから身を守りたい場合は、特定のサイバー保険に加入する必要があります。

6.それがどんな種類のランサムウェアであるか調べなさい
攻撃に使用されたランサムウェアの種類を特定すると、時間と労力を大幅に節約できます。オンラインで入手可能な復号化ツールでひびが入ったものもあれば、実際にデータを暗号化しない偽物もあります。

身代金メモには、それがどの程度のひずみであるかが明示されている場合がありますが、そうでない場合は、識別に役立つ他の手がかりがあります。暗号化ファイルの種類、身代金要求の表現方法、およびID RansomwareなどのWebサイトへのURLをアップロードしてみてください。

7.あなたのデバイスからランサムウェアを削除します。
あなたの攻撃の背後にあるランサムウェアが解読された場合は、オンラインの復号化機能を使って感染を駆除することができます。同様に、あなたが偽物で攻撃されている場合は、悪意のあるファイルを削除するだけで済みます。

しかし、それが本物ならどうしますか？

幸い、それほど複雑ではありません。ランサムウェアを削除する最も安全な方法は、感染したデバイスを工場出荷時の設定に復元することです。Windowsデバイスでは、設定内の[アップデートとセキュリティ]メニューに移動するか、修復画面が表示されるまでF8キーを押しながらコンピューターの電源を入れることでこれを実行できます。

ランサムウェアによって回復画面が表示されない場合は、オペレーティングシステムが保存されているインストールディスクまたはUSBメモリを使用できます。

このプロセスによってデバイスに保存されているすべてのデータが削除されることに注意してください。そのため、バックアップをとることが重要です。

コンピュータが復元されたら、重複したファイルをデバイスに転送することができます。あなたが持っているデータの量にもよりますが、これは数時間から数日の間どこでもかかるかもしれません - だからあなたは完全に森の外にいるわけではありません。

ただし、このプロセスは、詐欺師から復号化プログラムを入手してファイルへのアクセスを回復するよりも時間がかかりません。

（It Governanceブログ記事から引用）※機械翻訳

◆キタきつねの所感

機械翻訳の精度が一部低い所もありますが、大体言わんとしている事はわかるかと思います。対策ステップも当たり前の事が書かれているとも言えますが、ランサム対策、あるいはランサム被害を受けた際のインシデントレスポンスとして何を気を付けなければいけないのかが、よくまとまっているかと思いますので、参考になる点も多いのではないでしょうか。

このステップの中で、何よりも大事なのがバックアップかも知れません。定期的にバックアップを取られていても、それがハッカー（ランサム）がアクセスできるネットワークの先にあったとしたら、せっかく取ったバックアップも暗号化されてしまいます。

そうした意味において、ネットワークから隔離された環境にバックアップデータを置く、例えばテープ保存という事もあるかと思いますし、あるいはネットワークが別なクラウド上にバックアップデータをコピーする事や、一方向のデータの流れに制約した場所にデータを保存する・・・といった事が有効かと思います。

あとは当たり前の事が書いてあるだけという気もしますが、社内のネットワークが落ちている中、従業員に適切に状況を使え、やるべき指示を出すルートというのも重要になってくるのかも知れません。そう考えるとスマホからアクセス可能な社内ポータルと、メールシステムや基幹システム等、ネットワークが分離されている事（セグメンテーション）が重要なのかも知れません。

WannCryでの被害は日本では限定的でしたが、海外から発症するケースばかりではなく、日本で発症した場合、企業やそこで働く従業員がパニックになる事は十分に考えられます。東京五輪を控えて海外からの攻撃は増えていくと想定されていますので、ランサム攻撃に対しても想定プラン（レスポンスプラン）をよく考えておくべきかと思います。

f:id:foxcafelate:20190714142525p:plain