本記事は、サイバーセキュリティの専門家に向けて、情報漏えいの被害者が得た教訓を紹介する特集の 1 つです。それぞれの記事で簡単な推奨事項を挙げていますが、その多くは企業に新たなソリューションの購入を強いるものではありません。
これまでの「被害事例に学ぶ」シリーズでは、実際の被害を事例にしてサイバー攻撃の予防法 について学んできました。今回は、情報漏えいの被害を受けてしまった場合の対処法について説明します。本記事では、被害を最小限に抑え、その被害からいかにして最大限の教訓を得るかについて重点的に紹介していきます。今回はランサムウェア被害に焦点を当てていますが、本記事中の推奨事項の多くは、コインマイナーの蔓延や産業スパイなど、他のタイプの情報漏洩にも応用することができます。
計画を立てる
インシデント対応 ( IR ) 計画は、漏洩が発生した場合に取るべき行動をマッピングするための優れた方法です。インシデントの深刻度は?重要なシステムはどこにあり、どのようにして隔離するか?誰とどのようにコミュニケーションを取るか?誰に連絡し、どのような行動をとるべきか?バックアップはどうするのか?などについて検討して計画を立てましょう。インシデント対応計画はシンプルで実用的なものにします。そうすることでプレッシャーのかかりやすいインシデント発生時でも簡単に計画を実行することができ、チームは迅速な決断を下しやすくなります。SANS の「Incident Handler’s Handbook」に記載されている計画策定方法に関するセクションは一読の価値があります。また、ソフォスのインシデント対応ガイドにも有益な情報が載っていますのでご参照ください。
初期段階から支援を求める
マシンのイメージの再作成や身代金の交渉を始める前に、問題や被害状況を把握し、専門家に相談して下さい。インシデント対応には専門的な能力が必要にもかかわらず、多くの組織は、インシデントは自社では発生しないという希望的観測を行っており、インシデント対応の担当者を常駐させていません。
事前に計画を立て、インシデント対応を支援できる企業の連絡先を数社分用意しておきましょう。 数社をリストアップしておく必要があるのは、影響の大きな大規模な攻撃が発生する場合、インシデントに対応する企業への依頼が殺到しあっという間に人手が足りなくなってしまうからです。ランサムウェアなど、サーバーやエンドポイントへの攻撃の場合は、まずエンドポイントのセキュリティベンダーがインシデント対応サービスを提供しているかどうかを確認することをお勧めします。インシデント対応サービスを提供しているエンドポイントセキュリティベンダーであれば、組織の環境からのテレメトリ情報や、 EDR/XDR などすでにインストールされているツールにアクセスでき、迅速な修復が可能となります。インシデントが発生して影響を受ける場合には、ベンダーから購入している製品が役に立たなかったと思われるかもしれませんが、実際には、セキュリティが侵害される多くの原因は技術ではなく、人やプロセスの不備が原因です。
他にも、以下ついても検討してください。
- 警察に連絡します。犯罪行為が行われている可能性があり、警察は適切に対応できる可能性があります。
- サイバーセキュリティ保険に加入している場合は、保険会社に連絡し、インシデントについて通知します。
- テクノロジープロバイダーやシステムインテグレーターが自社と連携している場合は、バックアップの復元など、現場での復旧を支援できる場合があります。
隔離と封じ込め
自社で可能な限りの隔離と封じ込めの対策を行ってください。隔離と封じ込めのための行動には、電源を切る、インターネットを切断する、ネットワークケーブルを引き抜く、ソフトウェアベースの隔離を行う、すべてのトラフィックをブロックするファイアウォールルールを適用する、重要なシステムをシャットダウンする、などがあります。ドメインコントローラーがまだ機能している場合は、シャットダウンしたり、ネットワークから切り離したりしてください。バックアップがある場合は、ネットワークから隔離されていることを確認してください。漏洩した可能性があるパスワードはすべて変更し、アカウントをリセットしましょう。
インシデント対応サービスの多くはインターネット経由で提供されるため、システムや接続をオンラインに戻すためのガイダンスを確認しておきます。ランサムウェアの痕跡が確認される頃には、多くの場合、攻撃は最終段階に入っています。再度の攻撃を防止するために、復旧作業を開始する前に攻撃の主体を排除することが重要です。
身代金を支払わない
身代金を支払うことは、一見簡単な方法のようですが、攻撃者をさらに増長させることになります。500 ドルでマシンを復旧できた時代は遥か過去になりました。ソフォスの「ランサムウェアの現状 2021年版」によると、昨年、中規模組織が支払った身代金の平均額は 170,404 米ドルでした。T攻撃者は、組織の重要なデータを探し出し、ダーク Web に流出させて販売することも多く、バックアップを削除した上でデータを暗号化します。ソフォスの調査によれば、身代金が支払われた後も、暗号化されたデータのうち復元されるのは 65% のみで、3 分の 1 以上はアクセスできないという結果が出ています。
ランサムウェアも、他のソフトウェアと同様に、バグや脆弱性を持っています。また、ランサムウェアのオペレーターが操作を失敗する可能性があります。これが有利に働くこともありますが、ほとんどの場合、データの解読をさらに難しくします。さらに悪いことに、ランサムウェアの攻撃者が突如姿を消し、名前を変えて再び表れることがありますが、その際に復号キーにアクセスできなくなることもあります。
身代金を支払うことの合法性は、世界各地で異なることに留意してください。組織が活動している国での制限や制約について、常に最新の情報を得るようにしてください。
証拠を保管する
組織が情報漏えいの被害を受けると、できるだけ早くサービスを復旧させようと躍起になってしまい、その過程で多くの情報を破棄してしまうことが多くあります。しかし、それらの情報が根本原因の解明と情報漏えいの範囲を理解するのに役立つ場合もあります。その代表例が身代金メモです。身代金を支払ったり、攻撃者に連絡を取ったりするつもりがなくても、このメモ自体がフォレンジック的な観点から有用となる場合があります。このメモは、インシデント対応チームが直面している相手や、そのグループが使用している一般的な戦術を教えてくれます。また、全く新しいランサムウェアの種類や、攻撃者グループが使用する戦術、技術、手順 (TTP) が明らかになることもあります。
最近、Lockfile ランサムウェアの身代金メモを確認したところ、Lockbit 2.0 を模倣していますが、さらに攻撃的な戦略を用いていることが確認できました。これは、 Lockbit 2.0 の経験から得た貴重な教訓を、その後の Lockfile 攻撃、特にセキュリティ侵害の兆候 (IoB) の早期発見に応用できることを意味しています。身代金メモは保管しておきましょう。身代金メモは通常、シンプルなテキストまたは HTML 文書であり、簡単に別の場所に保存することができます。
分析のために保管しておくべきもう一つの重要なアイテムは、ランサムウェアやマルウェアの検体です。業界標準では、これらの検体は「virus 」または「infected」というパスワードを付けたアーカイブファイルに追加され、安全な場所に保管されます。パスワードで保護した .zip は、必要に応じてアナリストに安全に渡すことができます。マルウェアをリバースエンジニアリングして研究することで、攻撃の手口を発見することができ、インシデント対応の担当者や調査員が被害状況を調べる場所を絞り込むのに役立ちます。
可能であれば、システムや仮想マシンのイメージも保存しておきましょう。万が一、法廷で使用する必要がある場合や、改ざんされていないことを証明する必要がある場合に備えて、すべてのフォレンジック証拠を暗号化して保存し、収集時に SHA256 を記録しておくとさらに良いでしょう。まれなケースではありますが、保険金請求について裁判で争うことになった場合や、政府機関に対して情報開示法に違反していないことを証明する必要がある場合には、このような対応が必要になることがあります。
侵入者の特定と報復
多くの場合、ランサムウェアの攻撃の背後には、実際には複数のグループが存在します。あるグループが、最初に組織にアクセスするための情報を獲得します。このグループはそのアクセス情報を別のグループに売却します。アクセス情報を購入したグループは、さらに別のグループのサービスとしてのランサムウェアを使用して攻撃を実行します。各グループやグループメンバーは、いくつもの国に分散して存在しています。侵入者がどのグループにいるのかを特定することは難しく、もし出来たとしても侵入後の混乱の中ではあまり役に立たないでしょう。通常、身代金メモから得られる情報や、戦術・技術・手順 (TTP) の共通点から、経験豊富なインシデント対応チームは自分たちが何に直面しているのか、誰に直面しているのかを迅速に把握することができます。
「ハックバック」と呼ばれる報復行動は、決して行わないようにしましょう。違法行為に当たる恐れがあるだけでなく、状況を悪化させかねません。
サイバー保険の役割
Iサイバー保険が適用されるサイバーインシデントが発生した場合、保険会社のサイバークレームアジャスターは、まず外部の法律顧問を雇い、社内外のリソースを整理し、インシデントの解決までの活動を調整するよう指示します。ランサムウェア攻撃の場合、これらのサービス活動には通常次のようなものが含まれます。
- 役割と責任の確立、影響の規模の特定、連絡方法の確立。
- 脅威の調査と分析、被害の防止、セキュリティ侵害の兆候 (IoC) の特定。
- 必要に応じて、身代金要求の処理と交渉に関する助言を行う専門家を任命する。
- 必要に応じて、データへのアクセス、流出、回復の性質について助言する専門家を任命する。 代金の支払い、復号化、バックアップなどの中から、データを復元するための最も低コストな方法を特定する。
- 予防措置の導入、攻撃者がネットワークで築いたアクセス環境の除去、インシデントのタイムラインの確立。
- 環境の状態、根本原因分析、攻撃の性質、特定された攻撃者の戦術、技術、手順を示した最終報告書の作成。
多くの保険会社は、前述の各活動を実行する製品/サービスプロバイダーを意味する「プロバイダーパネル (対応ベンダー)」を設定していますが、保険の契約を検討する際には、大規模なサイバー攻撃を受けた場合に、どのような活動とプロバイダーに対応しているのかを前もって話し合っておくことをお勧めします。多くのサイバー保険は、組織がすでに契約しているセキュリティベンダーを使用することを認めていますが、事前に対応状況を確認しておくことをお勧めします。インシデント発生時にセキュリティ担当ベンダーが交代すると、作業が増え、セキュリティリスクが高まります。既存のソリューションが攻撃の拡大を防いでいることが多いため、これを取り除くべきではありません。
コミュニケーション /span>
メールシステムはオフラインになり、保険証書やインシデント対応計画の電子コピーは暗号化され、攻撃者があなたの会話を盗聴しているかもしれません。このような事態に備えて、インスタントメッセージングアプリケーションなどの代替コミュニケーション手段を用意しておき、チームや関係者と別チャンネルでコミュニケーションを取れるようにしておきましょう。保険の詳細、インシデント対応計画、インシデント対応企業の連絡先などは、物理的な形で保管しておく必要があります。
訓練
机上演習は、データ漏洩やランサムウェアの発生に備えて訓練するのに最適な方法です。実際の状況に近づけたい場合は、長期休暇中の午前 2 時に実施し、会社のメールシステムを使わないようにしましょう。
その他の資料
以下の記事では、一般的なランサムウェアに感染した場合に想定される事態とその対策を説明しています。これらの記事は、実際に被害に遭わなくても、訓練するのに最適なツールです。