ランサムウェア感染時の
対応は
本当に完璧ですか!?

新型ランサムウェアの実態とその対応方法とは

新型ランサムウェアとは

新型ランサムウェアとは、暴露型ランサムウェア・二重脅迫ランサムウェアとも呼ばれ、個人情報や企業の重要情報を窃取し公開をチラつかせ被害企業に高額の身代金を数度にわたり要求する、極めて凶悪なサイバー攻撃です。

従来のランサムウェア
WannaCryなど
対象
主にクライアントPC、各種サーバ
事象
クライアントPC、サーバの暗号化及び自己拡散
目的
暗号化解除のために身代金要求
業務復旧のための身代金要求
要求額
数万円程度
新型ランサムウェア
REvil/ Sodinokibi/Ryukなど
対象
ファイルサーバ、クライアントPC、制御系システム
事象
Active Directoryを乗っ取り、企業ネットワークの制御を管理下に置いた後にファイルサーバ、クライアントPCの暗号化及び情報窃取
目的
暗号化解除のために身代金要求、さらに窃取情報の公開を止めるための身代金要求
窃取した情報を他社に販売するケースも
要求額
数千万円程度~
窃取された情報が実際に公開された例

2021年初頭にいったん収まるかに見えた新型ランサムウェアの被害は、2021年春以降急激に増加しています。報道されていないものや攻撃者のサイトに公開されていないものを含めると、被害にあった企業は相当数あるものと思われます。また、日本企業の海外拠点の脆弱性を突かれた攻撃が目立つのも直近での特徴となっています。

新型ランサムウェアの手口と被害

新型ランサムウェアの手口は、主にVPNの脆弱性から侵入されるケースと、クライアントPCが不審なメール添付ファイルを開封したために侵入されるケースがあります。その後、①ADが乗っ取られ②重要情報が窃取される③PCないしファイルサーバが暗号化され④情報を公開すると脅迫される、という手口になっています。

VPNの脆弱性については繰り返し言われていることですが、直近でも新たな脆弱性が見つかり、また、そもそも脆弱性の対応をしていないアセットもまだ多く存在します。

一方、メールを使った手口についても、2021年1月にEUROPOL(欧州刑事警察機構)がEmotetのテイクダウンに成功し、Emotetは一時期活動を停止していたものの、2021年11月に活動を再開したことが報じられています。

ランサムウェアの被害にあった時にとるべき対応

攻撃を受けた際には事業復旧だけではなく、その後に再度攻撃を受けないため調査と適切な対応が必要です。

調査するべき内容

  • ランサムウェア特定
    脅迫文、暗号化ファイルの拡張子を確認:ランサムウェアを特定することで新型ランサムウェアであるかの判断ができ、使用する攻撃手法から調査対象の絞り込みや対応を迅速に行う情報が得られる場合があります。
  • 攻撃者の侵入経路
    ADサーバのイベントログ、VPNログ、Proxyログ等のセキュリティ製品以外のログも調査し、侵入経路を特定します。その結果ランサムウェア実行に至る被害範囲や被害詳細の確認、再発防止に向けた侵入箇所のセキュリティ強化の実施が可能になります。

身代金の支払い

攻撃者は復号化キーや情報公開を差し止めるための身代金を要求します。事業復旧を急ぐあまりに攻撃者の要求に応じようと考えたくなるのですが、以下のリスクを考慮する必要があります。

  • データが復旧できるとは限らない
    身代金を支払ったからといって攻撃者が復号化キーを提供する保証はありません。※1また、復号化キーが提供されたものの、復旧速度があまりにも遅く使い物にならなったというケースも報告されています。
  • レピュテーションリスク
    身代金を支払ったという情報が市場に流れると犯罪組織に資金を提供したと見られ、会社の評判を落とす結果となります。
  • さらなる攻撃を呼び込む
    身代金を支払う企業として被害企業が繰り返し攻撃を受ける可能性が生じやすくなります。

※1:Sophosのレポート「The State of Ransomware 2021」によると、2021年1~2月に、調査対象の企業が身代金を払って、暗号化されたデータを全て復元し、取り戻した割合は8%にとどまる。29%の企業は、取り戻したデータの割合が50%以下だった。

事業復旧

  • ランサムウェアの被害にあった時、多くの場合は外部通信を止めるためにインターネット通信を遮断し、暗号化されたサーバやPC類を復旧させるためのデータのリストア作業を行う必要があります。ただし、昨今では暗号化を行わず情報のみを窃取して身代金を脅迫するケースも見られます。いずれの場合も十分な調査と暫定的な再発防止策を施した後に事業を再開する必要があります。その対応を誤ると何度でも標的になる可能性があります。

ランサムウェアの被害にあった場合、専門的な知識や経験を持ち、同時に多くの作業を並行で進めていく必要があります。一方、どの時点で事業復旧が可能となるかチェックポイントを設け、また、対外的に詳細な報告(経過報告を含む)を行う必要もあります。
そのため、これらの迅速な調査と対処を実施する上で、事案に対応した経験と専門的な知識を持つセキュリティ専門家のサポートを受けるのも有効です。

弊社は事案対応は元より、企業の状態を調査し、そもそもランサムウェアの被害に合わないように企業が取るべき対応・対策の支援も行わせていただきます。

サービス紹介

サービス名 支援内容
セキュリティアドバイザリ お客様のセキュリティ対策の充足度や計画についてヒアリングをし、アドバイスをします。また、脆弱性情報や直近で注意すべきセキュリティトピックスをレビューさせていただく定例会を実施します。お客様カルテを作成させていただき、万が一インシデントが発生した場合には優先的に対応をさせていただきます。
Active Directory 診断/監視サービス Active Directoryに必要パッチが適用されているか、有事の際に調査に足るログを取得できる設定になっているかをチェックしレポートします。また、不正なログオンやログオン試行に失敗したものの検知だけではなく、不審なPowershellやタスクの登録を検知し、お客様にエスカレーションあるいは該当の不審な動作を停止させることができます。
Mpression Cyber Security Service™ Attack Surface Management サービス 野良サーバを含む外部公開アセット(サーバやVPN機器等)の発見とリスクの高いアセットに対する対処・是正に向けたアドバイスを提供いたします。

©Macnica, Inc. All rights Reserved.

上へ戻る