【専門家が解説】ランサムウェアのインシデントレスポンス5つのポイント

ご存知のように、ランサムウェアは企業や政府機関にとって大きなリスクまたは脅威の一つです。 このようなインシデントにどのように対応するのが最善なのか、多くの組織は常に考えています。 これは、「インシデントレスポンス」「インシデント対応」と呼ばれます。当記事では、NCSC(イギリス国家サイバーセキュリティセンター:National Cyber Security Centre)にて多くの事案に対処した日本サイバーディフェンス社のDougie Grant氏の経験をもとに、被害企業がインシデントに直面したときに陥る間違いや、困難な状況を回避するための方法を5つの観点(ポイント)から共有いたします。

インシデント対応における5つのポイント

ランサムウェアの攻撃は、イギリスにおいても組織にとって最大の脅威です。Grant氏はNCSCで、ビジネスや産業だけでなく政府機関にも影響を与えるような重大なインシデントに年間800件以上対応しました。

ランサムウェアへの対応は、他のサイバー攻撃とは少し異なります。過去の事例から、いくつかの重要なキーポイントを特定しました。その中の5つに絞ってご説明します。

慌ててリカバリーを行う前に状況をしっかり把握する

ランサムウェア攻撃が検出されると、多くの組織がバックアップからのリカバリーをすぐに実行しようとします。

ただし、攻撃がどのように発生したかを正確に把握し、攻撃者が侵入した方法を特定でき、攻撃者がもうネットワーク上にいないか、バックドアが残されていないかが断言できない限りバックアップから迅速にリカバリーしたとしても、再び攻撃が繰り返されることになりかねません。

多くの場合、組織は攻撃者がどのようにネットワークにアクセスしたのか、そのアクセスはきちんと無効化されているかを検証するために時間をかけたり、外部の専門家の支援を得ずに対応しようとしていることが分かりました。リカバリーを実行する前に、攻撃者がネットワークおよびデータやシステムにアクセスできないことを確認しなければ、残念ながら、再び標的にされてしまいます。その場合、リカバリーするバックアップがないため、さらに壊滅的な事態になります。

このポイントをまとめると、インシデントが発生したとき、攻撃がどのように発生したかを確実に理解し、バックアップでリカバリーする前に、攻撃がまだ進行中であるかどうかを必ず確認してください。多くの組織が急いでリカバリーさせようとしますが、残念ながら、それは壊滅的な結果につながってしまいます。

保持データの重要性を理解し、被害を最小化する計画を立てる

ランサムウェアは攻撃の手法を発展させました。以前は単なる暗号化でしたが、今ではそれだけではなく、データを盗みだします。そして、盗み出されたデータは、ダークウェブサイトまたはクリアウェブのいずれかで公開されます。私たちが被害に気づくのは、ランサムウェアの攻撃者が、実際にジャーナリストやサプライヤーや顧客に連絡し、「見ろ、この組織のデータを取得したぞ」と知らせるからです。そして、多額の恐喝を続け、組織に身代金を支払おうとさせます。これが二重恐喝です。

しかし、根本的な問題として、多くの組織が、データがさらされ続けるダメージを最小化する方法を理解していません。過去数年にわたって、センシティブなデータのために人々の命が危険にさらされたケースもありました。しかし、ビジネスや産業のほとんどの場合は、顧客やサプライヤーへの経済的影響に関するものです。そして、私たちは保持しているデータが何であるか、そしてそのデータ漏洩の影響を最小化する方法を理解しない限り、データが漏洩したとき、評判に傷がつき、顧客やサプライヤーへの信頼を失うことになります。

これを怠ると、1つ目のポイントに匹敵する壊滅的な損害を与える可能性があります。金銭的なデータ、知的財産のデータ等、どんなデータであろうと、そのデータがどのような影響を持ち、漏洩したとき、その影響をどのように軽減するのかを把握する必要があります。私たちはデータを分析し、戦略を立てなければいけません。ランサムウェア攻撃者がデータを漏洩したり、公開したり、他者に渡したりした場合に、すでに準備ができていればそのインパクトを減らす戦略が必要です。つまり、これが、保持しているデータの重要性を理解し、計画を立てるという、2つ目のキーポイントです。

脅威アクターのアトリビューションと交渉は専門家の支援を仰ぐ

身代金の要求があった場合、このインシデントを解決したい一心で、身代金を払ってしまいたいと思うでしょう。そして、多くの組織がアクターと直接関わりを持とうとします。

しかし、専門家のアドバイスを受けることなく、被害者が直接アクターと関わりを持つことは推奨できません。

アクターと関わりを持つ場合、最初に行うことの1つは、誘拐や恐喝の事件に対処する際に生存の証拠を示させるようなことです。ここでは、どのようなデータやサンプルを持っているのか示させることです。そして、私たちを騙したり、何らかの方法で、はったりをかまそうとしていないかを確認するべきです。

場合によっては、アクターが実際にはデータを盗み出していなかったり、盗み出したと主張するデータを生成できなかったり、ネットワークからログを削除した可能性があることがわかります。そのため、被害者が本当にデータを盗み出されたかどうかは判断できないのです。単なる詐欺であり、身代金の支払い後にアクターが消えてしまうこともあります。そのような例がたくさんあるのです。ですから、アクターと交渉するのであれば、そのための経験が必要になります。

繰り返しになりますが、被害者は自分でアクターと関わりを持ち、交渉するのではなく、この分野において経験のある専門家の支援を得て、どのように交渉をするのか調整することをお勧めします。もし支払いを行うのであれば、慎重になるべきです。場合によっては、実際にランサムウェアアクターに恐喝要求された身代金を支払ったことで、刑事犯罪に問われる可能性があるからです。自分自身が犯罪者ならないようにする方法を知る必要があります。

「アクターと関わりを持つ」という選択をするのは、そのインシデントを一刻も早く解決するためだと思います。そのときには経験豊富な組織に支援を依頼するべきです。

コミュニケーション・広報の戦略と実施

4つ目のキーポイントは、コミュニケーションと広報の戦略を確実に実施することです。これはインシデントについての適切なコミュニケーションを行うことでもあります。多くのサプライヤーがいる組織の顧客やクライアントの多くは、組織に何かが起こったことにすぐに気付くでしょう。同様に、内部のスタッフも、何かが起こったことに気付くでしょう。適切に業務を実施できず、システムにアクセスできないからです。

インシデントが発生する以前の段階で、最初から明確なコミュニケーション戦略を考えておく必要があります。

インシデントが発生したら、何を、誰に伝えるのか。
単にサイバー攻撃やシステム障害と伝えるのか、ランサムウェアの被害にあっていると言うのか。
もしスタッフに伝えたら、外部に漏れ、他の人も気づくのではないか。
規制当局にどう対応するか。
政府機関や法執行機関はどうか?(事実が公表されると、そのような機関との折衝が必要となります。)

そのインシデントが顧客の信頼と評判にどのような影響を与えるか、極めて迅速に、かつ明確に理解する必要があります。初期段階で行うことが非常に重要です。

多くの組織は残念ながらコミュニケーション戦略に取り組んでおらず、評判や顧客の信頼に大きな打撃を受け、個人情報保護の観点から規制当局の標的になる可能性もあります。影響の範囲が広がる例とも言えます。

サイバーインシデント対応計画の事前準備と演習

最後に最も重要なものがあります。これはすでに紹介した多くのポイントすべてに関わるものです。すなわちそれは、明確な準備と計画です。

これはサイバーインシデント対応の計画を事前に立てておくことを意味しますが、その対応計画は、決してシステムやネットワーク上で保管しないでください。インシデントが発生しシステムまたはネットワークにアクセスできなくなると、対応計画にもアクセスできなくなるため、取るべき対応がわからなくなってしまいます。

オフラインやアクセス可能な場所にインシデント対応計画があることが重要で、また、スタッフ全員がそのプランを理解していることを定期的に確認することが大切です。 経験ある専門家を招き、実際に対応計画が機能するかどうかを確認する演習を行うことを強くお勧めします。

この中で重要なことの1つは、誰に、どのように連絡するかを確実に知っておくことです。
多くの場合、ランサムウェアの攻撃者は、組織にとって最もストレスの多い時期を標的として攻撃を行います。ネットワークディフェンダーや経営陣が効果的に対応できる状況にないと知っているからです。

攻撃は生産の繁忙期やビジネスの繁忙期を狙って行われます。また、最近の例では、感謝祭の休暇中、アメリカの何百もの組織に対して重大な攻撃が行われていることがわかりました。イギリスでは「金曜日の悪夢」と呼ばれる攻撃が大半です。金曜日17時や18時にネットワーク上でランサムウェアを爆発させるのです。人々が不在で、効果的に対応できない時間を狙っています。

多くの組織が、インシデント対応には他社の助けが必要であると感じています。サイバーインシデントの専門会社にインシデントを管理してもらい、対応について助言や指導をしてもらうのです。しかし、事が起こってから専門会社を頼っても、インシデント以前に契約がないと、さまざまな機密保持契約を締結する交渉をするのに、数日、場合によっては数週間かかる可能性もあります。効果的な対応ではありません。

したがって、インシデントが発生する前に、サイバーインシデント対応会社と契約を結んでおくことをおすすめします。そうすれば、インシデント発生時にすぐ、電話で助けを求めることができます。そして、数分、数時間以内の対応が大きな助けとなります。数日や数週間後ではなく、即座にインシデントを把握し、被害を最小化させ、影響を軽減させることができるのです。

Grant氏の講演は弊社YouTubeチャンネルの動画にてご覧いただけます。



▶テリロジーワークスのランサムウェア関連サービス