JPCERTコーディネーションセンター(JPCERT/CC)は1月13日、侵入型ランサムウェア攻撃を受けた時の対応のポイントをまとめた「侵入型ランサムウェア攻撃を受けたら読むFAQ」をJPCERT/CCの公式サイト内に公開した。
同FAQサイトでは、侵入型ランサムウェア攻撃を受けた場合の対応のポイントや留意点、よくある質問など17のコンテンツがFAQ形式で掲載されている(2022年1月13日時点)。なお、各コンテンツは、「1.被害を受けたら」「2.被害への対応」「3.関連情報」の3カテゴリーに分類される。
今後のサイバー攻撃の動向などに即して、攻撃の全体像把握や侵害原因の速やかな特定に資するコンテンが随時追加・更新される予定だ。
1月11日に開催された事前説明会では、JPCERT/CC 早期警戒グループ マネージャー 佐々木勇人氏が、「通常、『標的型』と呼称されることが多いランサムウェア攻撃だが、実態としては攻撃しやすい対象から無差別に近い形で攻撃が行われている事例が多く、ネットワークやサーバなど企業のITインフラの奥深くまで侵入されることから、今回、『侵入型ランサムウェア』という名称を採用した」と、「侵入型ランサムウェア」について説明した。
ランサムウェアの攻撃を受けた場合、調査に必要なサーバやログデータ、調査対象端末などが暗号化によって使えなかったり、調査できなかったりするケースがあるため、フォレンジックを中心とした従前の調査アプローチでは、侵害経路や侵害範囲の調査が難航することがある。
そのため、JPCERT/CCでは、拡張子や脅迫文、アンチウイルスソフトによる検知名など残された痕跡を基にした「ランサムウェアの種別/攻撃手法の絞り込み」と、「侵入原因の推定」という2つのアプローチによるインシデント対応を推奨している。
佐々木氏は、「2つのアプローチから調査を進めることで、侵害範囲と思われる箇所を速やかに推測できると考える。FAQでは調査の観点や進め方のポイントをまとめている」と解説した。
FAQサイトでは、「被害を受けたあとの初動対応」に特化したコンテンツを厳選して掲載している。例えば、「1.被害を受けたら」のカテゴリーでは、効果的な初動対応を後押しすべく、ランサムウェア攻撃の代表的な流れとともに、被害の可能性を示す要素やイベント、各攻撃フェーズで残される痕跡が紹介されている。なお、同コンテンツはJPCERT/CCが日本企業から相談を受けて、実際に原因特定に至ったケースからの知見や、海外の専門機関/専門企業が対応したケースの知見を踏まえた内容となっている。
JPCERT/CC 早期警戒グループ 脅威アナリストの小島和浩氏は、「不必要なネットワーク停止などを最小限にとどめて、必要な対応を促せるようなFAQにしていきたい。ランサムウェア攻撃の被害を認知・検知したら、さまざまなことに対応しなければいけないが、情報が多すぎると混乱を招きかねない。今回のFAQサイトでは、知りたい情報をわかりやすく、正確に、かつ早く理解できるように、イメージ図の活用や章立てを工夫してコンテンツを作成した」と語った。
2022年4月には改正個人情報保護法が施行される。今回の法改正では、個人データの情報漏洩だけでなく、データが使えなくなる滅失・棄損も報告対象になる。企業などで個人データの漏洩、滅失、棄損が発覚した後、概ね3~5日以内に速報を出し、30日以内には確報を出さなければならない。
JPCERT/CCはランサムウェア被害の対応について、被害範囲の特定、攻撃全体の把握、侵入原因の特定に課題があると認識している。ランサムウェアへの感染が発生したことが明らかな一方、情報漏洩の有無の調査が難しく、発生から被害が明らかになるまで数時間~数日とタイムスパンが短いこともあり、セキュリティベンダーなどの専門機関に声をかけるべき案件でも連絡していないケースが散見されるという。
「FAQを参考に適切な対応を進めることで、システム・ネットワークの予防的停止を最小限にとどめ、各方面への報告・連絡を速やかに行えると考える。一方、インシデント対応の初動段階では専門的知見が必要だ。サイバー攻撃の知見を日々アップデートしている専門機関・企業へ相談することを推奨する」と佐々木氏。
JPCERT/CCでは、ランサムウェアの被害を受けた組織のほか、初動対応にあたる運用保守ベンダー、事案対応初期の段階で被害を受けた組織にコンタクトする都道府県警察やITベンダー、情報漏洩の事故報告を受けた所管省庁などでの活用を想定している。今後は、都道府県警察やITベンダー、所管省庁などと連携し、調査が不足している被害組織のFAQへの誘導を進める。