2024.08.22
セキュリティインシデント対応(2/2)
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
前回お届けした「セキュリティインシデント対応(1/2)」では、セキュリティインシデントの定義と、実際に発生してしまった時の対応について解説しました。
今回はシリーズ第2回として、被害が絶えないランサムウェア攻撃について、インシデントが発生した場合の具体的な対応手順をお伝えいたします。
1.ランサムウェアとは
あらためて、ランサムウェアについて確認しましょう。
ランサムウェアとは、感染したパソコンをロックしたり、ファイルを暗号化して使用できなくする不正プログラムです。ファイルの復元と引き換えに金銭を要求されることから、「ランサムウェア」(ransom(身代金)とsoftware(ソフトウェア)の造語)と言われています。
最近では、サイバー攻撃の一環として「人手によるランサムウェア攻撃」や、情報を窃取しそれを公開すると脅す「二重の脅迫」の被害も報告されています。
独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」では、10年以上前の2012 年版で既に「ランサムウェア(身代金要求型不正プログラム)」として注意を促しています。
また、警察庁が毎年公表している「サイバー空間をめぐる脅威の情勢等について」では、令和5年に「ランサムウェア被害の件数が197件と高水準で推移するとともに、データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取し対価を要求する手口( ノーウェアランサム )による被害が、新たに30件確認された。」「都道府県警察から警察庁に報告のあった件数は197件であり、令和4年上半期以降、高い水準で推移している。」とあるように、被害件数は年々増加しています。
2.ランサムウェアに感染したら
ランサムウェアに感染すると、以下のような事象が発生します。
(1)ファイルの拡張子が突然変わったり、開けなくなる。
(2)身代金を要求するメッセージが表示される。
(3)コンピュータの動作が急激に遅くなる。
(4)ウイルス対策ソフトが警告を出す。
実際の感染時のデモ動画は、以下のリンクからご覧いただけます。
ランサムウェアは被害が表面化しやすく、業務に大きな影響を与えます。あらかじめ感染時の兆候を理解し、対応を決めておくことが重要です。そうしないと、実際に感染した際に対応に戸惑い、パニックに陥る可能性があります。
また、確実に復旧するためには、バックアップからの復元が唯一の手段です。「今まで何も起きていないから感染したらそのとき考えよう」とか「専門家に任せれば何とかなるだろう」という考えは通用しません。
ランサムウェアの被害は10年以上被害が増加しており、いかなる組織も例外なく被害に遭う可能性があります。感染後の対応も主体的に検討しておきましょう。
3.ランサムウェアに感染した後の対応
| 検知と連絡受付 | パソコンの画面に身代金を要求するようなメッセージが表示された等、前述の事象を 発見したときにはランサムウェア感染の可能性があります。 システム管理者、情報セキュリティ管理者等に報告します。 |
| 初動対応 | 感染したパソコンやサーバーの利用を停止し、ネットワークから切り離します。 【切り離し方】 <有線接続の場合> (1)ネットワークケーブルを抜く ・パソコンやサーバーの背面や側面にあるLANポート(ケーブルの差し込み口)を 見つけます。 ・ネットワークケーブルをこのポートから抜きます。 (2)ネットワーク設定を無効にする Windows等OSの設定でネットワーク接続を無効にします。 <無線接続(Windows)の場合> (1)Wi-Fiを切断する ・タスクバーのネットワークアイコンをクリックして接続済みのSSIDの切断を クリックします。 |
| 第二報以降 | (1)影響を及ぼした取引先や顧客に対して、インシデントに関して報告します。 (2)ウイルス感染による影響によって、業法等で報告が求められる場合は所管の 省庁へ報告します。 (3)IPAの届出窓口※1へ届け出ます。 <IPAコンピュータウイルス・不正アクセスに関する届出について> ■ランサムウェア被害の届出 ランサムウェア攻撃による被害は、ウイルス届出として取り扱われますが、複雑な 攻撃の場合があるため専用の届出様式が用意されています。 下記のコンピュータウイルス届出(ランサムウェア被害)様式に則り、判明している 範囲で構いませんので、被害の状況や対応した内容等を記入のうえ、届出先にメール でご送付ください。 Excel形式の届出様式をご利用の場合は、「(2)ウイルス届出(ランサムウェア被害)」 シートへ記入のうえ届出先にメールでご送付ください。 (様式)コンピュータウイルス届出(ランサムウェア被害)様式 https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/report_ransom_format.txt (届出先) 独立行政法人情報処理推進機構 セキュリティセンター コンピュータウイルス届出窓口 E-mail:virus@ipa.go.jp |
| 調査・対応 | (1)No More Ransom※2等から復号化ツールを入手し、復旧を試みます。 ただし、全てのランサムウェアに対応しているわけではありません。 (2)データ等のバックアップを行っている場合は、復元(リストア)します。 ただし、バックアップ装置・媒体をパソコンに常時接続している場合、 バックアップファイルも暗号化されている場合もあります。 <参考>適切なバックアップ方法 ■原則的にバックアップに使用する装置・媒体は複数用意し、バックアップ時のみ パソコンと接続する、またはバックアップしたファイルのうち1つはオフサイトに 保存する。 また、バックアップの対象がクラウドサービスの場合は、サービスの仕様を確認し、 バックアップがサービスに付帯する場合は頻度、保存先、リストア手順について 把握しておく。 ■バックアップしたファイルは、定期的に復元(リストア)できるか確認する。 復元のテストが難しい場合は、いざというときにバックアップ手順を迷わず実施 できるようマニュアル等を整備しておく。 (3)復号化ツールでも復旧しない場合、バックアップが復元(リストア) できない場合は、感染した機器やデータの復旧を断念し、再構築します。 ※「3-2-1ルール」【3分でわかるセキュリティ用語解説#1】参照 <NO MORE RANSOM> https://www.nomoreransom.org/ja/ (ランサムウェアの特定) https://www.nomoreransom.org/crypto-sheriff.php?lang=ja (復号ツール) https://www.nomoreransom.org/ja/decryption-tools.html <日本サイバー犯罪対策センター ランサムウェア対策について> https://www.jc3.or.jp/threats/topics/article-375.html |
| 復旧 | データの復元(リストア)が正しいことを確認できたら、システムを復旧します。 |
※2 ランサムウェアの被害者が、犯罪者に不当な支払いをすることなく、暗号化されたデータを取り戻すための支援を目的とした国際的なプロジェクトです。
なお、本稿はIPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
次回は、ホームページやネット通販のECサイトの対策について解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
