ランサムウェア感染時の
対応は
本当に完璧ですか!?

暴露型ランサムウェアの実態とその対応方法とは

暴露型ランサムウェアとは

暴露型ランサムウェアは従来のランサムウェアと異なり、情報搾取と公開をチラつかせ被害企業に高額の身代金を数度にわたり要求する、極めて凶悪なサイバー攻撃です。

従来のランサムウェア
WannaCryなど
対象
主にクライアントPC、各種サーバ
事象
クライアントPC、サーバの暗号化及び自己拡散
目的
暗号化解除のために身代金要求
業務復旧のための身代金要求
要求額
数万円程度
暴露型ランサムウェア
REvil/ Sodinokibi/Ryukなど
対象
ファイルサーバ、クライアントPC
事象
ファイルサーバ、クイアントPCの暗号化及び内部の情報搾取
目的
暗号化解除のために身代金要求、さらに搾取情報の公開を止めるための身代金要求
要求額
数千万円程度~
  従来型のランサムウェアや標的型攻撃 暴露型ランサムウェア
暗号化対策 バックアップを取っておき、リストアする 同左
情報搾取 搾取された情報は公開されないケースが多い 情報が公開される
搾取された情報が実際に公開された例

暴露型ランサムウェアの手口と被害

暴露型ランサムウェアの手口は、主にVPNの脆弱性から侵入されるケースと、クライアントPCが不審なメール添付ファイルを開封したために侵入されるケースがあります。その後、①ADが乗っ取られ②重要情報が搾取される③PCないしファイルサーバが暗号化され④情報を公開すると脅迫される、という手口になっています。

ランサムウェアの被害にあった時にとるべき対応

攻撃を受けた際には事業復旧だけではなく、その後に再度攻撃を受けないため調査と適切な対応が必要です。

調査するべき内容

  • ランサムウェア特定
    脅迫文、暗号化ファイルの拡張子を確認:ランサムウェアを特定することで暴露型ランサムウェアであるかの判断ができ、使用する攻撃手法から調査対象の絞り込みや対応を迅速に行う情報が得られる場合があります。
  • 攻撃者の侵入経路
    ADサーバのイベントログ、VPNログ、Proxyログ等のセキュリティ製品以外のログも調査し、侵入経路を特定します。その結果ランサムウェア実行に至る被害範囲や被害詳細の確認、再発防止に向けた侵入箇所のセキュリティ強化の実施が可能になります。

実際被害を受けたお客様の事例

お客様の認識・対応
  • 事業復旧が優先のため、暗号化された端末やサーバをバックアップから復旧
  • ADサーバ、ファイルサーバのフォレンジックによる被害範囲の詳細調査
矢印
マクニカネットワークスで調査した結果
  • VPNの脆弱性パッチが適用されておらず、VPN経由でADへ侵入し、暗号化対象と推測されるデータのアップロードもVPN経由で実施
  • REvilランサムウェア実行の数ヶ月前にも偵察のためか、侵入した痕跡を発見
従来のランサムウェアによる被害と誤認をして対応・対策を行ったつもりでいると、
二重三重の被害を被ることになります!

暴露型ランサムウェアの被害に合った場合には一連の調査を迅速に行い、重要情報が搾取・公開された場合には謝罪を含めて実施しなければならない場合があります。そのため、迅速な調査と対処が必要で、事案に対応した経験のあるセキュリティ専門家のサポートも有効です。

Active Directory 診断・レポート・監視サービス

弊社では複数の事案対応を行う中で、早期にActive Directoryの乗っ取りを発見・対応する必要があると考えています。下記サービスを提供することで、お客様のActive Directory 診断や監視を支援いたします。

ADへの侵害有無の調査

サービス項目 サービス詳細 費用 備考
Active Directory脅威診断スポットサービス Active Directoryに対する脅威を分析してレポートします。 有償 EVTXファイルをご提供いただき、管理者権限でのログオン情報が正規なものかを分析します。
サービス項目 サービス詳細 費用 備考
Active Directory脅威診断定期レポートサービス Active Directoryに対する脅威を継続分析し、定期レポートとして提供します。 有償 スポットサービスを継続的に実施し、定期でレポートします。不審なアクセスやPowerShellの実行があった場合には速やかにエスカレーションします。

暴露型ランサムウェアの攻撃を受け対処をしたが、根絶しきれたか、再度攻撃を受けないか不安

サービス項目 サービス詳細 費用 備考
Active Directory監視サービス Active Directoryへの攻撃を継続的に監視し、不審な挙動に対し、リモートから対処します。 有償

Active Directoryへの攻撃を継続的に監視するだけでなく、不審な挙動が検出された場合はリモートから対処を実施します。

  • 不審なアカウントの無効化
  • 追加で調査に必要な情報の収集

Copyright 2004 Macnica Networks Corp.

上へ戻る