ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その10
みなさん、こんにちは!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
このごろちょっと雑談的な話題が多かったですが、久々にガイダンスを見ていきましょう。
結構久しぶりになりますが、まあゆるゆるとやっていきましょう。
というわけで、今回もレッツスタディセキュリティ!なのです。
例によって資料の1ページ目を貼っておきます
「ストップ!ランサムウェア特設ページ」
より引用
上のページの赤丸で囲んだ記事ですね。
より引用
(以降、特記なき場合同資料からの引用とします)
これですね。前回は10まで終わったと思いますので、11から見ていきましょう。
11.我々は、組織が以下のことを検討することを推奨する:
まあこれはねえ…以下のことをした方がいいですよ、というそれだけの話ですよね。
12.組織はバックアップの利用可能性、復号鍵の代替入手先、復号鍵取得後の機能復旧にかかる時間の見積もりなど、技術的な状況について慎重に検討する。これらのツールのいくつかは、サイバーセキュリティ企業、法執行機関、又は市販のツールやオープンソースのツールから入手できる場合がある。
ひとことで言うと、身代金を払う以外の解決方法を徹底的かつ具体的に検討して下さいねということですね。
具体的な手段として
バックアップの利用可能性
復号鍵の代替入手先
復号鍵取得後の機能復旧にかかる時間の見積もり
というような技術的な状況を見ながら慎重に検討して下さいねということですね。
バックアップの利用可能性について
一応弊社もバックアップを行っている会社ですので、バックアップの利用可能性についてお話を申し上げますね。
これまで何度も出した図ではありますが
これはオフラインバックアップ、オンラインバックアップを組み合わせたハイブリッドバックアップを行っていることを前提にした図ではありますが。
オフラインバックアップは、一般的に言って1回1回のバックアップの感覚が大きくなりがちですので、目標復旧時点(RPO)は結構前になりがちです。
そこで、併せてオンラインバックアップを使っている場合、オンラインバックアップが安全であることが確認できたらオフラインバックアップのRPOからかなり最近までRPOを持ってくることができます。そうなると、本当に手動でデータを復旧するのは黒い両矢印の部分だけということになります。RTOを短くすることが可能なわけです。
復号鍵の代替入手先
これもこれまで言ってきたことになりますが、ランサムウェア攻撃者が使っている復号鍵以外に、セキュリティ会社が研究して公開している復号鍵があります。こういったものを使えば、当たり前ですが犯人にお金を渡す必要はありません。
↑例えばこんなところに、復号鍵(犯人が使っているもの以外の、真っ当なもの)が置いてあります。使えるものがあるかないか、まずは探してみるというのもありでしょうね。
復号鍵取得後の機能復旧にかかる時間の見積もり
これは復号鍵を上記のようなセキュリティ会社から入手するか、身代金を払って犯人から入手するかによって変わってくるとも思うんですが、最終的に完全に復旧されたと言えるところまで復旧するのにはそれなりの時間がかかります。
その時間も考えておくべきだということですね。
繰り返しになりますが、最終的に「完全復旧した」と言えるまでの時間(RTO)を短くするには、やはりバックアップをしておくに限ります。
それも、オフラインバックアップ(コールドバックアップ)とオンラインバックアップ(ホットバックアップ)を両方使っておくのが間違いないかと思います。
詳しいことは前項に書いたとおりのことですのでわざわざ繰り返しませんが、バックアップのあるなしでRTOは劇的に変わっていきます。
この文章の目的はランサムウェア対策について語ることですので主題とはちょっと逸れてしまうんですが、このnoteの主題ですので書いておきますと、オフサイトバックアップ(遠隔地バックアップとかリモートバックアップなどとも呼ばれますが)、つまり物理的に離れた場所にバックアップを置いておきますと、ランサムウェアだけではなく災害などにも対応して供えることができます。
とりあえず、そうやって「技術的な状況について慎重に検討する」ということが必要なわけですね。
もうこの文章を話題に出すたびに申し上げている気がしますが、ランサムウェアもそうですがとりあえず「カネ払え」系の犯罪者というのは被害者が冷静になっていろいろと取り得る手段を考えることを一番嫌うんです。だからそういう犯人はとにかく焦らせます。その手に乗らないことが肝心です。
ツールの入手先
これらのツールのいくつかは、サイバーセキュリティ企業、法執行機関、又は市販のツールやオープンソースのツールから入手できる場合がある。
ツールの中には、いろいろなところを探れば入手することができますよ、ということですね。とりあえず連絡先を列挙しておきましょうか。ランサムウェア以外の相談事についてもいろいろと載せますね。
パソコンの画面が制御不能になり、「データを暗号化した。復旧するためにビットコインを支払え。」などの内容の画面が表示された。
クレジットカード会社から「クレジットカード情報の確認」という件名のショートメッセージが届き、メールに記載されていたURLにアクセスし、クレジットカード情報を入力したところ、後日、身に覚えのない利用履歴があることが分かった。
会社のウェブサイトが改ざんされ、身に覚えのない画像が掲載されたり、管理画面にアクセスできなくなってしまった。
インターネットショッピングで商品を注文し、代金を指定口座に振り込んだが、商品が届かず、問い合わせメールへの返信も来ない。
会社の住所や電話番号が。見ず知らずの通販サイトの運営者情報として掲載されてしまい、「商品が届かない。」などの身に覚えのない苦情電話が入ってくる。
興味本位で閲覧していたウェブサイトの年齢確認で18歳以上を選択すると、いきなり「会員登録が完了しました。」という画面に切り替わり、料金を請求された。
インターネットオークションに出品されていたバッグを落札し、代金を振り込んだが、いつまでたっても商品が送られてこない。(「偽物が送られてきた。」「写真や説明と異なる商品が送られてきた。」)
ウェブサイトを閲覧中、突然警告音が鳴り、「ウイルスに感染しています。カスタマーサポートまで電話して下さい。」という警告画面が表示され、記載された番号に電話をすると遠隔でパソコンを操作され、サポート料金を請求された。
取引先や自社の経営者等になりすまして、銀行口座へ入金を促すメールが送られてきた。
SNSや掲示板サイトに、自分の名前、住所、写真等の個人情報が掲載され、誹謗中傷された。
基本的なセキュリティ対策について知りたい
一般財団法人日本サイバー犯罪対策センター(JC3)
独立行政法人情報処理推進機構
まあこんなところでしょうか。まずどこに相談すれば良いかということは、とりあえずここで良いんではないかと思います。
他にもっと相応しい相談相手がいるということであれば教えてもらえるんじゃないかと思います。
次善の策も検討
13.業務妨害に対応する次善策を講じ、これらの次善策を維持する期間を決めておく。また組織への影響を検討する際は、システム機能性、業務運営への影響、顧客や従業員への影響(該当する場合はサプライ・チェーンへの間接的な影響を含む)、更なるデータ流出の可能性を評価する必要がある。
残念ながら、完全に解決ということが難しい場合もあります。
そういうときも想定して、次善の策についても考えておく必要があるということですね。
次善の策につきましては、その後最善の結果になるか、最善の結果は諦めることになるか、どちらかの結果になることが想定されます。
ですので次善の策で様子見をする期間についても考えておくべきですよということですよね。
例えば、ランサムウェアで人質に取られたのが顧客名簿だとするじゃないですか。
ここでふたつの危機が生じていると言えます。
顧客名簿を使えなくなる危機
顧客名簿を公開される危機
1に関しては、上記しましたようなセキュリティ会社が提供している復号鍵で元に戻せる可能性がありますので、最善の結果が得られる可能性がかなりあると言えます。
セキュリティ会社が提供している復号鍵で解決できなかった場合には、犯人との交渉をすることになるかと思います。交渉は公開される危機に関しても及ぶでしょう。
交渉期間について、いつまで行うかというのが「次善策を維持する期間」ということになります。
最終的には犯人に屈することになるかも知れませんが、そうなった場合には最終的に顧客に対してどう対処していくか、そこまでも決めておく必要があるということですね。
組織への影響も評価
ランサムウェアを含むサイバー犯罪やデータに対する脅威は当然ながらそれを所持している組織への影響もあり得ます。そこの評価もきちんと行っておかなければいけません。
その際に必要となる視点は以下のとおりです。
システムは正常に機能するか、しないとして、どれほどのダメージを受けているか
業務運営は正常に行えるか、行えないとして、どこまで正常に近いか
顧客や従業員への影響はあるか、あるとして、どこまで影響がありどこまで正常に回るか
まずはここまでとしましょう。とりあえず、自社内システム・業務運営・顧客や従業員に対して影響が出ているか、出ているとしてどの程度かというのを把握しておかねばならないということです。
そしてそれだけでは不十分で、以下のようなことも考えておくべきだというんですね。
該当する場合はサプライ・チェーンへの間接的な影響
更なるデータ流出の可能性
サプライ・チェーンというのは、これまでにも何回か説明してきましたが製造から最終ユーザーの元に届くまでの一連の過程のことです。
多くの製品は、原材料から中間加工物を経て、最終的に製品として仕上げられてユーザーの元に届きます。
その中に1社ランサムウェア被害に遭ったとするなら、このサプライチェーンにも某かの影響を及ぼすわけですね。
ビジネスがストップしてしまうことになるわけですから、そこのところも考えておかねばなりません。
そして、もうこれは申し上げるまでもないんじゃないでしょうか。さらなるデータ流出の可能性はないか徹底的にチェックしましょう。
ハード・ソフト両面から行うことが鉄則かと思います。セキュリティソフトでリスクがないかどうかチェックするのは当然ですが、ネットワーク機器が正しく設定されているかどうかのチェックも必要だと思います。
デジタルデバイスを外に持ち出して使うときに無料Wi-Fiを使うこともあり得ると思うんですね。まあものにもよるんでしょうけど、無料Wi-Fiから個人情報抜かれるなんていうこともありますからね。
余談ですけど、私こと村島の自宅は私鉄の線路からすぐ近くにあります。そしてこの私鉄では無料Wi-Fiを用意しています。すぐ近くなんだから何とかそれ使えないかと思ってるんですが、なかなか上手くいきませんね。まあ、上手くいかない方がいいんですけど。
小括
というわけで、この次の行からまた話題が変わりますので今日はここまでにしますね。
ある種のマルウェアのことを「ウィルス」なんて表現しますが、上手く言ったもんだと思います。
実際、本当に病気の方のウィルスと同じで、出始めは爆発的に流行しますが次第に対策が見つかっていき、地道に対策を行っていった結果、流行は収束するということがあります。
ランサムウェアも、現状大流行している感じですが、その中で少しずつ対策が立てられていっているのを感じます。
こうなると、収束する日も近くなるんじゃないでしょうか。
皆様も、当たり前の対策を当たり前に行って下さい。それだけで十分ですから。
それでは今日はこの辺で。
今後ともよろしくお願いいたします。
目次
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その6
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その7
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その8