ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう！その1

2024年12月21日 19:26

みなさん、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
実は私、いま結構凹んでます。
前回、私が睡眠時無呼吸症候群を患っていて定期通院しているという話は書きましたが、昨日がその定期通院の日だったんですね。そして、年1回ぐらいの割合で発生する心電図・腹部エコー・レントゲン検査の日でもありました。前回は血液検査もしましたね。
というわけでいろんな検査の結果がズラリと並んだわけなんですが、立派な脂肪肝かつ血糖値が高いということで、薬が一種類増えてしまいました。
糖尿病にだけはなりたくないなあ。病状が進むとかなり苦しい病気みたいですし。
まあまあ、いやなこともありつつも、今日もレッツスタディセキュリティ！なのです。

今日の教科書です

さて、今回はタイトルがやたら長くなってしまったのですが、今回から読み込んでいこうという文章は例によってこの↓サイトにあります。

内閣サイバーセキュリティセンター
ストップ！ランサムウェアランサムウェア特設ページより引用

ここの、赤丸で囲ったところですね。どういう性質の文書なのかは長々書いてありますが一応引用はしておきましょうか。

令和６年９月３０日から１０月３日にかけて開催された「カウンターランサムウェア・イニシアティブ会合」において、我が国も参加し、ランサムウェア攻撃を受けた組織を支援するため発出された「ランサムウェア・インシデント発生時の組織向けガイダンス」を掲載。本ガイダンスは、サイバー攻撃への強靱性構築支援の中で、サイバー保険が果たす役割の重要性を強調するとともに、組織がインシデント対応中に検討すべき行動を強調している。

内閣サイバーセキュリティセンター
ストップ！ランサムウェアランサムウェア特設ページより引用

何らか国際会議みたいなものが行われたってことなんでしょうね。まあインターネットに国境はありませんから、世界の国々が協同して対処しないとなかなか前には進まないでしょう。北朝鮮ですらインターネットは使えるらしいですからね。ただ、DNSサーバーというものがないため、アクセスしたいサイトのIPアドレスを紙のファイルみたいなものから探し出して、URL欄に数字をポチポチと入力する形ではあるそうですが。
というわけで文書はこれ↓です。

ランサムウェア・インシデント発生時の組織向けガイダンス（仮訳）より引用
（以下、特記なき場合同文書からの引用とします）

では、まず文章を追っていきましょうか。

1.カウンターランサムウェア・イニシアティブのメンバーは、保険機関と連携して、ランサムウェア攻撃を受けている組織とその被害組織を支援するパートナー組織向けのガイダンスを発出する。

カウンターランサムウェア・イニシアティブなる組織があるんですね。そしてそのメンバーが注に書いてあります。

アルバニア、アルゼンチン、オーストラリア、バーレーン、ベルギー、カナダ、チャド、コロンビア、コスタリカ、デンマーク、 ECOWAS 委員会、フランス、ドイツ、ギリシャ、アイルランド、イスラエル、日本、ケニア、リトアニア、メキシコ、モルドバ共和国、オランダ、ニュージーランド、ナイジェリア、フィリピン、韓国、ルーマニア、ルワンダ、シエラレオネ、シンガポール、スロバキア、スロベニア、スペイン、スイス、アラブ首長国連邦、英国、米国、ウルグアイ、バヌアツ、ベトナム

少なくね？
世界の国の数を考えたらたったこれだけの国々で何とかしようという方にちょっと無理がある気が…。あ、ちなみにECOWASというのは西アフリカ諸国経済共同体のことなんだそうです。
米国は入っているけどロシア・中国は入ってませんね。まあ、中国というのはどっちかというとインターネットの悪者を取り締まる側より悪者側の事案の方が多いというのは、いくつかの資料で示されていますが。
いずれにせよこれだけの国数でインターネットの世界を平穏なものにするのは相当難しいと思うなあ。

そして保険機関も連携すると書かれています。その保険機関というのは以下のとおりです。

米国損害保険協会、英国保険会社協会、英国保険ブローカー協会、オランダ保険会社協会、オーストラリア保険評議会、ニュージーランド保険評議会、国際保険引受協会、スイス保険協会

少なくね？
カウンターランサムウェア・イニシアティブのメンバー国に発生した損害だけを補償するという趣旨の保険機関なんだろうか？世界中をカバーするとなるとたったこれだけの保険機関では無理がありますよね。多分メンバー国に限った話なんでしょうね。

まあそんな国々やら保険機関が集まって、ランサムウェア攻撃を受けている組織とその被害組織を助けていきましょう、そのガイダンスも作りましょうって話ですね。
正直思うのは、ここまでランサムウェア攻撃が広まって、そしてその対策がなかなか追いついてなくて、情報セキュリティの強化および向上も後手に回っている、いわば人によるディザスター＝災害からのリカバリー（ディザスタリカバリ）の方法が急務となっている現状、対策の方はまだ「ガイダンスを作りましょう」のレベルになっちゃってるって、私個人的にはちょっと不安を覚えますね。
もう先回りして言っちゃいますけど、もう毎回でも繰り返し言いますが

バックアップの3-2-1ルール
バックアップの3-2-1-1-0ルール
バックアップの5-2-1ルール

を意識するというのがランサムウェアに対する自己防衛の第一歩だと思います。
たまには説明しておいた方がいいかと思いますので説明しますが、アメリカのUS-CERTという組織が推しているのがバックアップの3-2-1ルールです。オリジナルを含めて3つの媒体に同じ情報を書き込み、2つは違う種類の媒体にして、1つは遠隔地に置いておくというものです。
それを元にしてVeeam社というネットサービスを展開するアメリカの会社が推しているのがバックアップの3-2-1-1-0ルールで、上記の3-2-1ルールに加え、イミュータブル（変更できない）媒体に書き込んだものをひとつ作っておき、それらのコピーが正常に書き込まれたかどうかをエラーチェックしてエラーが0であることを確認しておく、というものです。
5-2-1ルールは3-2-1ルールに加え、バックアップは過去5世代分保管しておきましょうというものです。
バックアップの世代管理という話が出て来ましたが、これは弊社も行っております。
以前にも出した図ですがこちらをご覧ください。

弊社で行っているサービスの基本形がこれだとお考え下さい。バックアップを作成していただき、それを弊社でお預かりします。上の図ではバックアップの間隔を1ヶ月ごとと仮定しているのですが、お預かりしておりますバックアップを1ヶ月保管しているだけなので世代管理は発生していません。

これは過去の1ヶ月分を延長保管しておりますので、1世代の管理が発生しています。直近のバックアップが万が一ダメでも、それ以前からのバックアップで復旧できる可能性があります。

これが過去6回分のバックアップをお預かりする例です。攻撃を受けてしまっていたとしてもバックアップも6回分前まで遡ることができます。弊社が最もおすすめをしているバックアップ方法でございます。
誤解が生じるといけませんのであらかじめ申し上げておきますが、前回の文章でオンラインバックアップ（ホットバックアップ）のことをかなり批判してしまいました。
ちょっと言いすぎた分もあったなと反省しているのですが、弊社ではオンラインバックアップを否定しているわけではないんです。
オンラインバックアップの最大の長所は即時性です。ほぼ、いま現在使用している環境がリアルタイムに反映されるという特徴があります。
弊社で行っているのはオフラインバックアップ（コールドバックアップ）ですので、データの整合性が保証されており、さらに保管および操作はオフラインで行いますのでネットワーク経由でやってくる脅威には強いという特徴がございます。
それぞれに長所短所があるものですので、是非ともどちらもご利用いただきたいんです。これのことをハイブリッドバックアップですとか複合バックアップですとか、そういう名称で呼びます。

これももう何回目の図やらという感じですが、オフラインバックアップは緊急事態発生から復元しようとするときに、戻れる場所RPO（目標復旧時点）がかなり過去になりがちという欠点があります。ここでクラウドストレージを使ったバックアップからのリストアを行っていただきますとRPOは緊急事態発生の時刻にグッと近づいてまいりまして、あと残すは黒い両矢印の間だけということになります。
ハイブリッドバックアップ態勢を敷いていただきますとこういった形で安全性はグッと上がります。攻撃がどこからやってきて、どうやって侵入したかなどの分析はオフラインで安全に（他社へマルウェアが飛んでいって知らないうちに加害者になってしまうというようなことなしに）行うことができます。
ランサムウェアというのは、マルウェア一般にそういうことは言えるのですが、侵入された、感染したというときにはまずもってネットワークをインターネットから切り離すことが重要です。
弊社のオフラインバックアップを組み込んでハイブリッドバックアップ、複合バックアップ態勢を敷いていただくと安全性が格段に上昇することと思われます。同時に、遠隔地である弊社でお預かりすることでリモートバックアップ（遠隔地バックアップ）も実現できます。ぜひご検討下さい。

第2文めに行きます

ランサムウェアによる金銭支払い要求に応じることはランサムウェアのビジネスモデルを拡大させ、2023年には、全世界のランサムウェアの金銭支払いが過去最大となった（Chainalysis）。

こういうことをわざわざ書いてあるということは、ランサムウェアにやられてお金を払ってしまった組織とか個人とかいうものがやっぱり結構あったんでしょうね。
以前にも書きましたが、ランサムウェアにデータを丸ごとやられてしまってバックアップも取っていなかった場合、お金を払うしかないと思います。しかしこういうお金が、また新たな被害者を生み出すことになるんだと思います。
バックアップを作成しておくことで「また読めるようにしてもらいたければカネ払え」という脅迫は何とかすることができます。ただし、オンラインバックアップだったら、バックアップとは言え同じネットワークに繋がっているものですから、バックアップも含めてランサムウェアにやられてしまう可能性はありますが。
ただ「データをネットにバラ撒くぞ」という脅迫はバックアップではどうすることもできません。以前にも言いましたが、これはもう防ぎようがないと思います。データがネットに流れて困る人たちについてどうやってお詫びするかを考えておいた方がいいでしょう。バックアップの戦略、プラン、スキームも含めてそういうお詫び態勢もBCP（事業継続計画）に書いておいた方がいいと思います。とにかく何か手の打ちようがないトラブルが起きたときには、とりあえずわかった情報だけでも公開して早急にお詫びをする必要があると思います。

ランサムウェアの「市場規模」

Chainalysis Teamというところが発表しているURLが注として書いてあるのですが、

ランサムウェアの支払い額は2023年に10億ドルを超え、2022年の減少後、過去最高を記録

Chainalysis Teamサイトより（機械翻訳）

なんだそうです。

やっぱりお金払っちゃってる組織が多いんだろうなあ。それが犯行チームを増長させることにも繋がるんですけどね。
何度も言うようですがバックアップがあればランサムウェアの被害の半分は避けることができます。しかしもう半分は、残念ながら諦めるしかないと思うんですよ。つまり、このデータをバラ撒かれたくなければカネ払えってことでしょう？要求どおりお金を払ってもバラ撒かれない保証なんてないんです。こういうのって往々にして愉快犯である部分も大いに含まれていると思いますので、お金を受け取ってもノリと勢いで「楽しいから」というような理由でダークWebにも流してしまう可能性も多いことが予想されますから、最初から払わなくても大して被害は変わりません。
このサイトいわく「2022年を振り返る:トレンドではなく、異常」だそうです。要は、反社の「みかじめ料」要求と同じで「脅迫に屈しない」というのが最高の対策なんだと思います。

小括

というわけで、今回は「ランサムウェア・インシデント発生時の組織向けガイダンス」という文書を読み始めることになりました。
まだほんの序文の序文しか読んでいませんので全体的にどういう構成になるかということはまだ明らかになってはいませんが、少なくともこういった問題に関して国際協調態勢が作られているということは安心材料ではあると思います。
まあ、まだまだ不足しているとは思いますが、1ユーザーの立場から見てもこういう問題に関する情報は常に集めておくべきものだと思います。
中小企業のランサムウェア被害が、日本では非常に多いことはいままでにも何回もお話ししてきました。
やはり中小企業様にも弊社のリモートバックアップ（遠隔地バックアップ）サービスをご利用いただきたいと思います。
今日もありがとうございました。
今後ともよろしくお願い申し上げます。