ランサムウェア攻撃は増加しており、アジア太平洋地域だけでも、2021 年のランサムウェア インシデントは前年比で 168% 増加しています (Check Point Research、2020 年)。ランサムウェア攻撃がより一般的になっているだけでなく、大規模な多国籍企業から中小企業 (SME) や新興企業まで、あらゆるセクターと規模の組織を標的にしています。
ランサムウェアの攻撃者は組織のデータを標的とし、暗号化によってデータを人質に取り、データを復元するには支払いを要求します。ランサムウェアは、世界中の何百万もの企業に影響を与えており、現在、組織に対するランサムウェア攻撃の可能性と要求される平均身代金の両方の点で、前例のない速度で増加しています.
身代金の平均要求額は平均 180,000 米ドルであり、ハッカーは常にデジタルの開かれたドアを探しています。あらゆる規模の組織が、直面しているサイバーリスクについて知らされ、回復力を構築することが重要です。この記事では、企業がランサムウェアから身を守る方法と、攻撃を受けた場合の対処方法について説明します。
な
サイバーリスクを軽減する方法
サイバー攻撃のリスクを完全に排除することは不可能ですが、これらが発生する可能性を大幅に減らすための措置を講じることはできます。
たとえば、システムを最新の状態に保つことは、攻撃者がコンピューティング環境の脆弱性を悪用する機会を最小限に抑えるために重要であり、エンドポイントの検出と対応 (EDR) サービスを展開すると、アラートや望ましくない動作を監視するという高度に専門的な責任が課せられます。実績のあるシステムと手順に裏打ちされたプロのアナリストの手にネットワークを渡します。
さらに、ランサムウェア攻撃につながることが多いフィッシングの試みを発見して対応する方法について、企業はスタッフをトレーニングする必要があります。
組織をランサムウェアから保護するための簡単な手順
侵害前のセキュリティは、会社が危険にさらされる可能性を最小限に抑える上で重要です。これは、厳格なセキュリティ対策、ディスク全体の暗号化、多要素認証 (MFA) を含む強力なパスワード ポリシー、および最小特権の原則などの簡単な方法で実現できます。
セキュリティ対策を強化するには、コンピューティング環境ですでに利用可能なすべてのセキュリティ機能を理解して有効にする必要があります。
プラットフォームに関して言えば、パスワードは、パーソナル コンピューターへの不正アクセスに対する最前線の保護です。パスワードが強力であるほど、悪意のあるソフトウェアやハッカーからコンピューターを保護するレベルが高くなります。
ディスク全体の暗号化と並んで、MFA は、自信を持ってユーザーを識別し、ユーザーの個人データと組織データを保護し、個人情報の盗難を防ぐための最もシンプルで効果的な方法です。
MFA の主な利点は、ユーザー名とパスワード以外の方法で ID を認証することをユーザーに要求することで、組織のセキュリティを強化することにあります。ユーザー名とパスワードは重要ですが、ブルート フォース攻撃に対して脆弱であり、第三者によって盗まれる可能性があります。
さらに、企業はすべての企業プラットフォームに最小権限の原則を適用する必要があります。この原則は、必要なジョブを実行するのに十分なアクセスのみを許可することで機能します。 IT 環境では、最小特権の原則を順守することで、攻撃者が低レベルのユーザー アカウント、デバイス、またはアプリケーションを侵害して、重要なシステムや機密データにアクセスするリスクを軽減します。この原則を実装することで、感染源の領域への侵害を封じ込め、システム全体への拡散を防ぐことができます。
最後に、サイバー攻撃が発生した場合に、専門家によるデジタル フォレンジックおよびインシデント レスポンス (DFIR) サービスと管理サポートを提供する優れたサイバー保険ポリシーを含む、明確なインシデント レスポンス (IR) 計画を持つことで、チームは制御された実証済みの方法で対応できます。これにより、攻撃後の貴重な時間とリソースを節約できます。
ランサムウェア インシデント対応
ステップ 1: コンピューティング デバイスを切断またはシャットダウンする
ランサムウェアの攻撃を受けている疑いがある、または知っている場合は、ネットワーク上のすべてのデバイスを切断するか、電源を切ることができます。
影響を受けるコンピューティング デバイスをネットワークから切断すると、マルウェアがネットワーク内の他のデバイスに拡散したり暗号化したりするのを防ぐことができるため、潜在的な損害を制限し、フォレンジック データの最大量を維持できます。
ただし、ランサムウェアは感染したデバイス上のファイルを暗号化し続けます。すべてのデバイスの電源を切ると、ランサムウェアによるさらなるファイルの暗号化が停止します。これは、組織が通常どおりビジネスを継続するために不可欠ですが、フォレンジック情報を失うリスクがあります。ランサムウェアがさらに拡散する可能性があるため、これ以上デバイスの電源を入れないでください。
攻撃を発見した瞬間からのすべての出来事とすべての行動を記録することが重要です。これは次の方法で実行できます。
-
画面に表示される情報について詳細にメモを取る (写真やスクリーンショットが望ましい)
-
主な日時
-
ホスト名
-
ビットコイン口座
-
メールアドレス
このすべての情報は調査中に使用され、イベントの正確なタイムラインを再構築し、最初の既知の侵害を特定し、攻撃者との通信を追跡します。
な
ステップ 2: 信頼できる IR チームに連絡する
IRスペシャリストがライブの危機的状況に介入できるのが早ければ早いほど、攻撃者をうまく打ち負かし、人質データを回復する可能性が高くなります. IRスペシャリストは、侵入の分析、影響の封じ込め、根本原因の調査、最大の効率と最小限のビジネス中断による問題の修復など、タイムリーかつ組織的な方法でインシデントの影響を軽減するように訓練されています.
連絡を受けると、IR チームは、組織の要件、支払いの期待、目標、および業務を再開する期限に関する重要な情報を収集します。その後、スペシャリストは、デジタル フォレンジック調査をサポートするために、最初の既知の侵害とイベントの正確なタイムラインに関する情報を要求します。
ランサムウェア攻撃の最初の数時間はタイムリーな対応が重要であるため、Blackpanda はインシデントの前にすべての対応条件が合意されていることを確認する IR 計画を推奨しています。このような契約は、多くの場合、包括的なサイバー保険 (IR 計画を割引価格で取得できる) の一部として、または保険の資格がない場合は前払いの IR リテイナーを通じて提供するのが最適です。
IR スペシャリストによるランサムウェア防御プロセスは、可能な限り迅速かつ効果的な対応を確保するために、2 つの並行した流れで進められます。一方では、技術チームがシステムを保護し、できるだけ多くのファイルを回復するために取り組んでいます。一方、危機管理者は身代金の交渉を行い、安全な支払いアカウントの作成を支援し、法令順守を保証します。
ステップ 3A: 技術的な対応
Blackpanda のインシデント レスポンダーは、マルウェアを封じ込めて根絶するために、さまざまな非常に複雑な手順を実行します。これらには以下が含まれます:
ネットワークセキュリティー
信頼できるウイルス対策ツールまたは Microsoft Windows Defender を実行することは、単純なウイルス保護とファイアウォールにのみ適しています。ただし、ランサムウェアは高度な脅威であり、さまざまなエントリ ベクトル (既存のソフトウェアの脆弱性、電子メール フィッシングなど) を介してこれらのセーフガードをバイパスする機能を備えています。これを補うには、SentinelOne などのエンドポイントの検出と応答 (EDR) ツールが必要になり、環境のより高度な詳細スキャンを実行できるようになります。重要なのは、企業内のすべてのコンピューターでこの手順を実行する必要があることです。この段階で、IR スペシャリストは、ネットワークの分離、物理デバイスのアクションなどに関して、次に何を行う必要があるかについてガイダンスを提供できます。
根絶と損失の軽減
攻撃の通知を受けると、IR チームは迅速にランサムウェアを隔離し、できるだけ多くのデータとデジタル資産を回復します。次に、デジタル フォレンジックを実施してマルウェアのリバース エンジニアリングを試み、データ回復の取り組みを継続します。当社の経験豊富なランサムウェア スペシャリストは、既知のランサムウェア データベースから解読キーを特定して取得し、攻撃者に料金を支払うことなくデータのロックを解除できる場合もあります。
人生の証明
IR チームは、攻撃者から復号化キーを取得するための措置を講じながら、独自にファイルの復号化を試みます。 2020 年には、身代金支払者の 17% が、暗号化されたデータのロックを解除するための有効なキーを受け取りませんでした。このため、IR チームの作業の重要な部分は、検証済みの「生命の証明」演習を通じて、攻撃者によって提供された復号化キーの信頼性を評価することでもあります。
回復
IR チームは、同じ攻撃者または他の攻撃者が脆弱性を悪用して別のランサムウェアを展開するのを防ぐために、ファイルの復号化と同時にネットワークが保護されるようにします。正しいキーを備えた IR スペシャリストは、すべてのデータの復号化、システムの正常性の回復、およびマルウェアとその根本原因の完全な根絶を支援します。
ステップ 3B: 危機管理
ランサムウェア インシデント対応の重要な部分は危機管理であり、サイバー インシデント対応の財務、法律、PR のすべての側面を含みます。これも:
ネットワーク セキュリティの身代金交渉
一部の組織にとって、ランサムウェアの支払いは何よりもまずビジネス上の決定です。他の人にとっては、迅速な IR が身代金を支払わなければならない可能性を最小限に抑えるための最善の方法であり、これは最後の手段と見なすことができます。 IR チームが単独でデータを復号化できない場合、組織が身代金交渉プロセスを容易にするのを支援できます。交渉の努力は、改善された結果を達成し、組織のリーダーシップが十分な情報に基づいた意思決定を行うために必要な時間と情報を提供するのに役立ちます。
また、多くの組織に対してランサムウェア攻撃を同時に実行している可能性があるため、攻撃者はあまり反応しないことがよくあります。このような状況では、IR スペシャリストは、企業が攻撃者とうまく連絡を取り、交渉を行うのを支援できます。
Blackpanda IR スペシャリストは、さまざまなランサムウェア ツールとテクニック、攻撃の背後にあるアクターと動機、攻撃者の能力について深く理解しています。ネゴシエーション プロセス中、Blackpanda から攻撃者に送信されるすべてのメッセージは、攻撃者の性質を考慮しながら、顧客の文体と口調に合わせて慎重に作成され、最良の結果が得られるようにします。
身代金支払いの円滑化
交渉が合意に達すると、IR チームは身代金の支払い (必要かつ合法的な場合)、組織の暗号通貨支払いアカウントの設定 (時間のかかる複雑なプロセスになる可能性があります) を通じて組織を導き、すべてが確実に行われるようにします。取引は完全に検証され、透明性があり、安全で、監査可能です。
組織は、2020 年 10 月 1 日に、米国財務省の外国資産管理局 (OFAC) が、制裁対象の事業体への身代金の支払いに関して、最大 100 万ドルの罰金と 20 年の懲役を伴う、世界的に強制力のある勧告を発行したことにも注意する必要があります。 . Blackpanda は、意思決定プロセス全体を通じて組織のデュー デリジェンスの取り組みを全面的にサポートし、米国シークレット サービスやシンガポール警察、香港警察などの国際的な法執行機関と緊密に連携して、脅威アクターや制裁対象組織のステータスを特定します。他の政府も、特定の金額を超える身代金の支払いの報告を義務付けることを検討しています[1]。専門家のアドバイスを得るために円滑化サービスを提供し、身代金を支払うことを選択した場合に規制違反の責任を負わないようにします。
風評被害の軽減
サイバー攻撃の犠牲になると、組織の評判が壊滅的に損なわれる可能性があります。攻撃者は、機密情報や企業秘密を公開すると脅迫する可能性があり、攻撃に関する報道により、クライアントは、侵害された組織にとってデータが安全ではないと感じ、将来的には信用できなくなる可能性があります。ランサムウェア攻撃による風評被害を軽減するには、適切な広報活動を直ちに開始することが不可欠です。
Blackpanda の IR チームは、メディアや報道機関とのコミュニケーションにおいて組織を迅速にサポートできる信頼できるパートナーと協力しています。このようにして、侵害された組織がクライアントの情報を保護するために適切な手順を責任を持って実施していることを一般の人々が知ることができます。
報告とコンプライアンス
特定の業界、地域、および関連する規制によっては、当局、株主、および/または顧客に攻撃を報告する必要がある場合があります。また、IR チームは、保険やその他の規制要件 (MAS 報告要件など) に準拠してインシデントの完全な文書化を維持する必要があります。これは、組織が独自に行うには複雑で時間のかかるプロセスになる可能性があります。信頼できる人々と協力することで、この特にストレスの多い段階を乗り切ることができます。誰を巻き込むべきかを把握し、すぐに対応できるようにします。
将来の攻撃から身を守る
IR チームは、信頼できるアドバイザーとしてパートナー企業と連携し、このタイプの攻撃の再発を回避するために必要なすべての予防措置を講じていることを確認します。これには、Managed Detection and Response (MDR) システムの展開と、ライブ ネットワークから切り離されたバックアップの作成が含まれます。それぞれの攻撃から学べる貴重な教訓があります。以下の「保護と防止」に記載されている 7 つのステップに従い、Blackpanda Web サイトのガイドを参照して詳細を確認してください。