
画像:JPCERTより引用
JPCERTは2022年1月13日、ランサムウェア感染時の初動対応をまとめたノウハウ集を公式ウェブサイトにて公開しました。
発表によれば、今回公開したマニュアルは組織内のネットワークに侵入したのち、情報の暗号化や窃取被害を及ぼすタイプのランサムウェア攻撃に対応したものです。JPCERTでは同タイプの攻撃を「侵入型ランサムウェア」と呼称し、ネットワーク外からの攻撃を仕掛ける他のランサムウェアと異なる位置づけで解説しています。
JPCERTは今回公開したノウハウを、侵入型マルウェアに対する初動対応を3のポイント・合計17の質問に分類しFAQでまとめています。侵入型ランサムウェアはシステムの暗号化による業務妨害や重要データの流出等の重大リスクを起こしかねず、各企業の情報セキュリティ担当者に活用して欲しいと呼びかけました。
被害を受けたら
JPCERTは今回のノウハウ集を3つのポイントにまとめていますが、1つ目となるのが「被害を受けたら」です。
文字通り、各社が被害発生を把握した時点で対応すべき行動をまとめたもので、被害を認識した時点で相談すべき窓口や、被害を受けたか判断がつかない場合の特定方法などを紹介しています。
また、被害対応の主軸となると「被害範囲を把握し最小化を図る、攻撃の原因を解消するために侵入経路を塞ぐ、攻撃者の要求に応じず対処する」という3つ方針にも触れています。JPCERTは上記3つの方針をもとに、調査する過程で浮かび上がる材料から具体的な対策を決定すべきとしています。
被害への対応
2つ目となるのは被害を認知あるいは検知したのちに取るべき「被害への対応」です。
同項目は被害認識後の対応をまとめたもので、システムの切り離しやバックアップの保護など、攻撃段階に応じた被害者側が取るべき対応方法を説明しています。また、被害を受けるに至った原因を特定する方法を紹介したうえで、脆弱性対策やアクセス制御など原因別に実施すべき施策も提案しています。
JPCERTは被害からの「復旧」について、ランサムウェアにより暗号化されたファイルはバックアップなしでの早期復旧は難しいと位置づけ、対策を取るべきとしています。対応手段としては、別の手段による事業継続を検討するなどを推奨。可能性は低いもののセキュリティ専門企業の解析により複合できる可能性についても触れました。
関連情報
関連情報は初動対応に必要な各種知識をまとめたものです。
即ち、感染したランサムウェアの種類を特定する方法や被害を確認するためのリークサイトの実態について説明しています。
また、最も重要となる攻撃者との交渉の是非や身代金要求に対して、攻撃者の信頼性の低さやサイバー攻撃横行の原因になるため「身代金の支払いに応じるべきではない」、「交渉を検討すべきではない」と説明しています。
経産省も身代金の支払いを推奨していないほか、海外では金銭支払いを規制する動きもあることから、被害対応に迷った場合は外部専門機関や捜査当局への相談を行うべきとしています。
〈参照〉侵入型ランサムウェア攻撃を受けたら読むFAQ/JPCERT
