米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月11日(米国時間)、「Joint CISA-FBI Cybersecurity Advisory on DarkSide Ransomware|CISA」において、Cybersecurity and Infrastructure Security Agency (CISA)と連邦捜査局(FBI)がランサムウェア「DarkSide」に関する共同サイバーセキュリティアドバイザリを公開したと伝えた。
DarkSideは、2020年8月ごろより活動が確認されているランサムウェア。5月7日に米国の石油パイプライン事業者「コロニアル・パイプライン」がサイバー攻撃の影響で操業停止に追い込まれたが、FBIはこの攻撃にDarkSideが使われていたという発表を行っている。
共同セキュリティアドバイザリの全文は以下のページで閲覧することができる。
- DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks | CISA
- JOINT CYBERSECURITY ADVISORY: DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (PDF版)
-
JOINT CYBERSECURITY ADVISORY: DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks
DarkSideを用いる犯罪集団は、リモートアクセス可能なシステムやVDI(仮想デスクトップインフラ)に対してフィッシング攻撃などを利用してアクセス権を取得し、その後DarkSideランサムウェアを展開してデータの暗号化および窃盗を行うことが知られている。一般的なランサムウェア対策が最も有効な防衛策とされており、CISAとFBIによるセキュリティアドバイザリでは、重要なインフラストラクチャの所有者および管理者に対して次のような対策を講じることを要求している。
- OT(Operational Technology)およびITネットワークに対するリモートアクセスに多要素認証を導入する
- 強力なスパムフィルターを有効にしてフィッシングメールがエンドユーザーに届かないようにする
- ユーザートレーニングプログラムとスピアフィッシングのシミュレーションを実施する
- ネットワークトラフィックをフィルタリングして既知の悪意のあるIPアドレスとの通信を遮断する
- OS、アプリケーション、ファームウェアなどのソフトウェアを最新に保つ
- RDPを制限する
- ITネットワーク資産の定期的なスキャンを実行する
- Microsoft Officeファイルのマクロ無効化やアプリケーションの許可リストの実装などを通じて、ユーザーによる不正なプログラムの実行を防止する
さらに、アドバイザリではランサムウェア攻撃に遭った場合のための被害軽減策、現在ランサムウェアによる攻撃を受けている場合に取るべきアクションなどが提示されている。なお、CISAとFBIはランサムウェア攻撃に対して身代金を支払うことは推奨していない。身代金を支払うことで追加でより大きな要求が行われたり、違法な活動に資金を提供したりすることにつながる一方で、被害に遭ったデータが回復される保証はないからだ。
