ランサムウェア事故が「もはや収拾不能」に……何が足りなかったのか？：ランサムウェア攻撃対処「6大ポイント」

ランサムウェア被害の例が後を絶たない。ランサムウェア攻撃を防ぐことはもちろん、攻撃された後の対処も極めて重要だ。被害を最小限に抑えるために取るべき行動とは。

[John Burke，TechTarget]

　ランサムウェア（身代金要求型マルウェア）攻撃を受け、事業に甚大な影響が及んでいる著名企業の事例が世間を賑わせている。ランサムウェアの被害は、どの組織にとっても“対岸の火事”ではない。

　攻撃者は常に手口の巧妙化を図っているので、ランサムウェア攻撃を完全に防ぐことはできないと考えた方がいい。“攻撃を受けた後”にどう対処するのかを定めておくことが極めて重要だ。では、どうすればいいのか。復旧計画の6大ポイントを紹介する。

ランサムウェア事故が「もはや収拾不能」を防ぐ6大ポイント

併せて読みたいお薦め記事

実例から学ぶランサムウェア攻撃対処法

• ランサムウェア被害のCIOが明かす「わが郡はランサムウェアにこう攻撃された」
• 重要システムを1日で復旧させた敏腕CIOが明かす「ランサムウェア対策のヒント」

　ランサムウェア攻撃を受けた場合の被害を最小限にとどめるには、6つの対策が欠かせない。

1. データを常にバックアップする
2. ランサムウェア攻撃対処を手順化する
3. セキュリティツールを使って攻撃拡大を止める
4. 影響を受けたシステムを復旧させる
5. 社内外の関係者に連絡する
6. 攻撃経験を復旧計画の改善に生かす

　以下で詳しく見てみよう。

1．データを常にバックアップする

　データの損失リスクを減らすためには、できるだけ高頻度でバックアップを取得しておくことが欠かせない。バックアップのデータに限らず、バックアップシステム自体が攻撃される恐れもあるので、バックアップの取得が万全のランサムウェア対策になるわけではないが、第一歩としてこれは重要な対策だ。ランサムウェア攻撃を想定し、いつ時点までのデータを復元できるのかを定期的にテストすることも忘れないようにしよう。

　バックアップの信頼性を高めるためには、複数のバックアップデータを保有しておくことが有効だ。バックアップデータのうち、少なくとも1つのバックアップデータは、本番システムから隔離することを検討しよう。本番システムとバックアップデータを隔絶する「エアギャップ」を作ることによって、ランサムウェア攻撃を受けた場合にバックアップデータがランサムウェアの影響を受けることを防ぎやすくなる。

2．ランサムウェア攻撃対処を手順化する

　ランサムウェア被害に限らず、セキュリティ事故が発生した際の行動を定める汎用（はにょう）的な「インシデント対応計画」（Incident Response Plan：IRP）を策定することが欠かせない。ランサムウェア攻撃に特化したIRPを作成することも有効だ。ランサムウェア攻撃に特化したIRPの手順は以下の通りだ。

• 攻撃がランサムウェアかどうかを確認する
• 事前に決めたインシデント対応チームのメンバーを集める
• 影響を受けた範囲など、インシデントの詳細を調べる
• システム隔離など対策によってランサムウェアを封じ込める
• ランサムウェア被害の緩和策を講じる
• 攻撃経路などさまざまな情報を収集・分析し、攻撃の詳細を文書化する

　ランサムウェア攻撃に特化したIRPは実施しないと分からないこともあるので、攻撃を受ける前にテストして自組織の現状に適しているかどうかを評価することが重要だ。その際、各関係者に計画内容を共有し、幅広い視点で改善点を洗い出す必要がある。

3．セキュリティツールを使って攻撃拡大を止める

　ランサムウェア攻撃を受けたら、できる限り、攻撃の拡大を抑止することが大切だ。そのために、以下の対処ができるセキュリティツールを利用しよう。

• 挙動不審なデバイスを自動的にネットワークから隔離する
• ネットワークをセグメント化し、攻撃の影響を受けたセグメントを切り離す
• ランサムウェアを遠隔操作するコマンド＆コントロール（C&C）サーバ接続をブロックする

4．影響を受けたシステムを復旧させる

　ランサムウェア攻撃に見舞われたら、影響を受けたシステムを迅速に復旧させ、ビジネス継続ができるようにすることが肝心だ。システム復旧の手順は以下の通り。

• バックアップデータを用意する
• 感染したデバイスやシステムを隔離する
• システムを再構築する
• バックアップからデータを復元する
• 復元されたデータが感染していないかどうかをスキャンする

5．社内外の関係者に連絡する

　組織はシステムの復旧と並行し、社内外の関係者と密に連絡を取る必要がある。社内外の関係者とは、経営幹部や従業員の他、外部ベンダーや取引先、顧客などだ。スムーズに連絡ができるように、事前に連絡方法や連絡先を文書化しておくとよい。

　ランサムウェア攻撃を受けたら、組織は短時間でさまざまな難しい判断をしなければならない。「誰に何を確認すべきか」や「最終的な判断は誰がするのか」といったことを事前に決めておけば、焦らずに対処できる。

　外部との連絡には法執行当局への通報も含まれる。米国ではサイバーセキュリティインフラセキュリティ庁（CISA）や連邦捜査局（FBI）、インターネット犯罪苦情センター（IC3）などに通報すれば、攻撃対処のサポートを得られる。

6．経験を復旧計画の改善に生かす

　ランサムウェアによる被害があった場合、システムが復旧すれば終わりではない。レポートを作成し、再発防止のためのヒントを記録に残すことも大切だ。そのために、復旧プロセスを分析して「想定通りに機能したこと」や「改善の余地があること」を評価した上で、改善点を復旧計画に反映させる必要がある。その後、新しくなった復旧計画の訓練を迅速に実施することも重要だ。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。