ランサムウェア攻撃

ランサムウェア攻撃への対応

ランサムウェアの攻撃件数は前年同期を上回り続けています。Verizon 2022 Data Breach Investigation Reportによれば、ランサムウェア攻撃が13%増加し、ランサムウェアが全侵害の25%に関与とされています。

企業がランサムウェア攻撃の被害に遭うと、できるだけ早く再稼働するために、感染したマシンを消去し、データを復元するのが一般的な対応です。そのため、攻撃者はデータをネットワークから抽出した後に、データ侵害の証拠を破壊する手段としてランサムウェアを利用する事が多いのです。

従って、暗号化されたデータを回復できなくても、企業が徹底的な調査を行うことが重要です。

調査の目的は、潜在的な証拠を保存する為、次のようなことを実施します。

• システムがランサムウェアにどのように感染したかを特定
• 機密データがシステムから抽出されているかどうかを特定
• 規制当局に回答を提供し、再発を防止するために合理的な対策を講じたことを示す
• 後日、復号化キーが公開された場合に備えてデータを保持

ランサムウェア攻撃の被害にあった場合、どのように対応すべきか。

• 感染したデバイスを停止しない
• 感染したデバイスをネットワークから切り離す
• ファイアウォール、VPN、アンチウイルスログ、その他の保存可能なログを保存
• ランサムウェア攻撃に関するすべての情報を文書化
  • 要求されたランサムノートやスプラッシュスクリーンの写真またはコピーを保存
  • ランサムウェアの種類がわかればその名前を記録
  • 暗号化されたファイルの拡張子を記録
  • 攻撃が行われた日時を記録
  • 攻撃者によって残されたランサムノート/READMEファイルのファイル命名スキームを記録
  • 攻撃者からの通信に使用されたメールアドレス、URL、またはその他の方法を記録
  • 攻撃者から提供された必要な支払い方法/ビットコインアドレスを記録
  • わかれば要求された身代金の金額を記録