ランサムウエア被害緩和のためにしておくべきこと

ランサムウエア被害緩和のためにしておくべきこと 【第8回】サイバーセキュリティ勉強会2023 in 塩尻 2023.2.4(SAT) © 20223LAC Co., Ltd. ３.

プロフィール︓⻑⾕川 ⻑⼀ 株式会社ラック 新規事業開発部 産学官連携事業室 室⻑/主席研究員 ■ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報 セキュリティ監査業務等を経て、現在は主にセキュリティ教育、産学官連携活動業務を 担当。⻑野県警サイバー犯罪対策アドバイザー。 ■主な担当講師業務 □(ISC)2 CISSPレビュートレーニングセミナー認定主任講師 □東京電機大学 国際化サイバーセキュリティ学特別コース(CySec) 講師 □九州工業大学 情報学部 非常勤講師 □国⽴⾼知⾼専 非常勤講師、北九州⾼専非常勤講師 ■最近の主な活動 □ 総務省 サイバーセキュリティタスクフォース人材育成分科会構成員(2018年度〜) □ IPA 情報処理安全確保⽀援⼠講習統括委員会委員（2017年度〜） □ 情報危機管理コンテスト 運営スタッフ（2017年度〜） ほか ■主な著書等 「IT現場のセキュリティ対策完全ガイド」（日経BP社）、「情報セキュリティ監査公式ガイドブッ ク」（日科技連出版、共著）、「情報セキュリティプロフェッショナル教科書」 (アスキーメディア ワークス、共著）、「ネットワークセキュリティ」（オーム社、共著）等。 URL︓http://www.lac.co.jp/ E-mail︓choichi.hasegawa@lac.co.jp http://www.facebook.com/choichi.hasegawa 2

今回の話は、ランサムウエア被害を想定した対応について 防止策としては、マルウエア対策、（特にVPN機器の）アップデート、 VPNやRDPの権限管理などありますが… 被害に遭った際に、その緩和策として最低限やっておきたい3つのこ とに絞ってお話させていただきます。 ※ ランサムウエア被害の失敗事例に基づきます。 3

緊急対応サービス（サイバー119)出動内訳 2015年〜2022年 公開サーバを狙った 脅威が30%程度 マルウェア感染＝端末を 狙った脅威が50%程度 4

緊急対応サービス（サイバー119)出動内訳 年別 2018年〜2022年 2022年はEmotet（スパムボッ ト）の問い合わせが大幅増加 2021年はランサムウェア 被害が大幅増加 5

近年多いランサム攻撃の流れ ランサム攻撃でも標的型攻撃と同じ手法で データを暗号化、持ち出して脅迫 VPN機器を攻撃 攻撃者 被害組織 OSの標準機能やマルウェア で遠隔操作 侵入拡大 （横展開） 指令を送信 C2サーバ データ収集・ 持ち出し 6

ランサム攻撃から復旧できなかったバックアップの例 • バックアップをしていない • バックアップがないシステムの被害は多い • ファイル共有でバックアップ • サーバからバックアップサーバのファイル共有にデータコピー • サーバの対象領域をファイル共有してバックアップサーバにデータコピー • ファイルサーバのローカルにバックアップ • バックアップ領域はファイル共有はされていないが、サーバ⾃体が侵害され るため影響をうける バックアップサーバ ファイルサーバ ファイル共有を用いたバックアップはランサム攻撃に効果なし 権限の確認・⾒直し、クラウド、専用ハードウェア利用を検討すべき 7

NASを狙うランサムウエア オリジナルのデータやバックアップ データがNASにあった。 それが直接ランサムウエアに狙われる。 NASにグローバルアドレスが…、 という事例も多い。 8

「3-2-1 ルール」のバックアップ 「3-2-1ルール」︓ ・3つのコピー ・2つの場所(手段) ・1つのオフサイト保管 https://www.enisa.europa.eu/securesme/cyber-tips/strengthen-technical-measures/secure-backups 9

• https://www.enisa.europa.eu/securesme/cyber-tips/strengthen-technical-measures/secure-backups

迅速な意思決定のために︓OODAループ Observe (観察) Act (⾏動) Orient (情勢への 対応) O O A D Dicide (意思決定) 「OODAループ」は、元々は軍事⾏動における指揮官の意思決定を対象としていたが、現在ではあらゆる 個人の⽣活や組織経営等において、競争や紛争等で⽣き残り、優位性を確⽴していくための戦略理論とし ても活用されている。 不確実性が⾼く、迅速な意思決定が重要な業務分野に適用されることが多い。 10

＜参考＞ランサムウエア対策ポータルサイト「NO MORE RANSOM」 https://www.nomoreransom.org/ja/index.html 11

• https://www.nomoreransom.org/ja/index.html

＜参考＞侵入型ランサムウェア攻撃を受けたら… 都道府県警察窓口、JPCERT/CC、セキュリティ専門企業へ 「侵入型ランサムウェア攻撃を受けたら読むFAQ」〜JPCERT/CC https://www.jpcert.or.jp/magazine/security/ransom-faq.html 12

• https://www.jpcert.or.jp/magazine/security/ransom-faq.html

シナリオベースでの演習・訓練、テスト • 平常時やっていないことは、緊急時はなおさらできない。 • ふだんからの備え（インシデントを想定し、シナリオベースで訓練 を⾏う）とそのテストをすることが必要。 • 「その時になったら考える」「いざとなったらできるだ ろう」って、本当に︖ • 仕組みやマニュアルがある（準拠性）ではなく、必要な 時に必要なことができる（有効性）が大事。 13

＜参考＞「ランサムウエアから会社を守る」発売中らしい… 「宣伝しろ︕」と同僚から 言われたので (笑) 14

まとめ︓特にやっておくべき3つのこと □有効なバックアップ（「3-2-1ルール」、権限の確認・⾒直し） □連絡・報告・相談先の確認・確保（迅速な判断・⾏動のために） □事業継続計画(BCP)の策定とシナリオベースの演習・訓練、テスト 15

※本資料は作成時点の情報に基づいており、記載内容は予告なく変更される場合があります。 ※ この講演における発言及び資料の内 容は、個人の⾒解を含んでいます。それ らは、所属する企業や団体を代表するも のではありません。 ※本資料に掲載の図は、資料作成用のイメージカットであり、実際とは異なる場合があります。 ※本資料は、弊社が提供するサービスや製品などの導⼊検討のためにご利用いただき、他の目的のためには利用しないようご注意ください。 ※ LAC、ラック、JSOC、サイバー救急センターは株式会社ラックの登録商標です。その他記載されている会社名、製品名は一般に各社の商標または登録商標です。 © 2022 LAC Co., Ltd.