イギリスデータ保護機関(ICO)のランサムウェア対応

 イギリスのデータ保護機関(ICO)は、ランサムウェアに関するコンプライアンスを公表していました。

At a glance(概要)

  • Personal data breaches from the ICO’s caseload during 2020/2021 have seen a steady increase in the number and severity caused by ransomware. This is a type of malicious software or “malware” designed to block access to computer systems, and the data held within them, using encryption.
    (2020/2021年におけるICOが取り扱った事例から、ランサムウェア攻撃による個人データ漏えいの件数と深刻度が着実に増加していることがわかりました。ランサムウェアとは、コンピューターシステムへのアクセス及びコンピューターシステム内に保存されているデータを、暗号化を用いて利用できなくするよう設計された悪意のあるソフトウェアまたはマルウェアの一種です。)

  • Ransomware is a type of malware that attempts to unlawfully encrypt files on a host computer system.
    (ランサムウェアは、ホストコンピュータシステム上のファイルを違法に暗号化しようとするマルウェアの一種です。)

  • This guidance presents eight scenarios about the most common ransomware compliance issues we have seen.
    (このガイダンスでは、我々が目にした一般的なランサムウェアのコンプライアンス問題に関する8つのシナリオを紹介します。)

Scenario(シナリオ)

  • Scenario 1: Attacker sophistication(攻撃者の高度化)

  • Scenario 2: Personal data breach(個人データの侵害)

  • Scenario 3: Breach notification(侵害通知)

  • Scenario 4: Law enforcement(法執行)

  • Scenario 5: Attacker tactics, techniques and procedures(攻撃者の戦術、テクニック、手順:TTPs)

  • Scenario 6: Disaster recovery(災害復旧)

  • Scenario 7: Ransomware payment(身代金支払い)

  • Scenario 8: Testing and assessing security controls(セキュリティ管理策のテストと評価)

Scenario 1: Attacker sophistication(攻撃者の高度化)

I am a small organisation that is aware of the growing threat of ransomware. However, I don’t think attackers will be interested in targeting me. If they do, how can I protect the personal data I process?
(私は小規模組織で、ランサムウェアの脅威が高まっていることを認識しています。しかし、攻撃者が私を標的にすることはないだろうと思っています。もしそうだとしたら、私が処理する個人データをどのように保護すればよいのでしょうか。)

‘Scatter gun’ style attacks are a common attack method. This is a type of attack that is indiscriminate and does not have a specific target. For example, the attacker may send thousands of phishing emails attempting to deliver ransomware to at least one victim, whoever that may be.
(一般的な攻撃方法である散弾銃スタイルの攻撃は、特定の標的を持たず、無差別に行われる攻撃の一種です。例えば、攻撃者は、1人の不特定の被害者にランサムウェアに感染させようと、何千通ものフィッシングメールを送信することがあります。)

The NCSC Cyber Essentials is designed to support you in preventing basic and common types of attacks. The measures they describe will help you apply appropriate security measures, which are a requirement of the UK GDPR.
 (「NCSC Cyber Essentials」は、基本的かつ一般的なタイプの攻撃を防止することを目的として設計されています。これらが示す対策は、英国GDPRの要件である適切なセキュリティ対策を実施することに役立ちます。)

For medium and larger organisations, maintaining good cyber security practices is essential to defend against ransomware attacks. Assessing your cyber security arrangements and capabilities against relevant good practice models can support you protect personal data from the threat of ransomware, such as:
(中規模以上の組織では、ランサムウェアの攻撃から身を守るために、適切なサイバーセキュリティ対策を構築することが不可欠です。あなたのサイバーセキュリティ体制と対応能力を、関連する以下の優れた実践モデルに照らして評価することで、ランサムウェアの脅威から個人データを保護することができます。)
NCSC 10 Steps to Cyber Security;
ISO27001 for Information Security; and
NIST Cyber Security Framework.

The NCSC Mitigating Malware and Ransomware attacks also provides specific guidance that can support you in preventing such attacks.
(NCSCの「Mitigating Malware and Ransomware attacks」では、サイバー攻撃から防止するための具体的なガイダンスも提供しています。)

Scenario 2: Personal data breach(個人データの侵害)

We have been subjected to a ransomware attack, but personal data has not been uploaded from our systems to the attacker. If the data has not been removed does this mean a personal data breach has not occurred?
ランサムウェアの攻撃を受けたが、我々のシステムから個人データが攻撃者にアップロードされていない。また、データが削除もされていない場合、個人データ侵害は発生していないといえるのでしょうか。

If you are subject to a cyber-attack, such as ransomware, you are responsible for determining if the incident has led to a personal data breach. This is your first step in deciding if you should notify the ICO about the incident.
(ランサムウェアなどのサイバー攻撃を受けた場合、当該インシデントにおいて、個人データの漏えいにつながったかどうかを判断する責任はあなたにあります。これは、当該インシデントについて個人データ保護機関(ICO)に通知すべきかどうかを判断する最初のステップとなります。)

The UK GDPR defines a personal data breach as “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed”.
(英国GDPRは、個人データの侵害を「送信、保存、その他の処理を行った個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、もしくはアクセスにつながるセキュリティの侵害」と定義しています。)

Where personal data is taken it typically results in unauthorised disclosure or access to personal data and therefore is a type of personal data breach. However, it is not the only consideration you should make when determining if a personal data breach has occurred.
(個人データが持ち出された場合、通常、個人データの不正な開示またはアクセスにつながるため、個人データ侵害の一種であるといえます。しかし、個人データ侵害が発生したかどうかを判断する際に考慮すべきことは、これだけではありません。)

You may have lost timely access to the personal data, for example because the data has been encrypted. This is a type of personal data breach because you have lost “access to” personal data. Temporary loss of access is also a type of personal data breach. For example, if there is a period of time before you restore from backup.
(データが暗号化されているなどの理由で、個人データへのアクセスができなくなった可能性があります(可用性の損失)。これは、個人データへの「アクセス」を失ったため、個人データ侵害の一種となります。一時的なアクセスの喪失も、個人データ侵害の一種です。例えば、バックアップから復元するまでに時間がかかる場合なども該当します。)

Therefore, loss of access to personal data is as much of a personal data breach as a loss of confidentiality.
(したがって、個人データへアクセスできなくなったことは、機密保持の喪失と同様に、個人データ侵害の一種となります。)

However, just because a personal data breach has occurred does not automatically mean you should notify the ICO. Scenario 3 deals with a common breach notification scenario.
(ただし、個人データ侵害が発生したからといって、機械的にICOに通知しなければならないわけではありません。シナリオ3では、一般的な侵害通知を説明します。)

Scenario 3: Breach notification(侵害通知)

We have established a personal data breach has occurred, but data has not been exfiltrated, therefore there are no risk to individuals. Do we still need to notify the ICO?
(個人データ侵害が発生しましたが、データは流出していないため、個人へのリスクはないと判断しています。それでもICOに通知する必要がありますか?)

You are required to notify the ICO of a personal data breach without undue delay and no later than 72 hours after having become aware of it, unless the breach is unlikely to result in a risk to the rights and freedoms of individuals.
(個人データの侵害は、その侵害が個人の権利と自由に対するリスクにつながる可能性が低い場合を除き、過度の遅滞なく、遅くともその侵害を認識してから72時間以内にICOに通知することが義務付けられています。)

This means once you have established a personal data breach has occurred, you should undertake a formal risk assessment. This is to determine the risks to individuals and the likelihood of such risks occurring. If you determine the risks to be unlikely, you do not need to notify the ICO. However, you must keep a record of any personal data breaches, regardless of whether you are required to notify, together with the risk assessment undertaken.
(つまり、個人データの侵害が発生したことを認識したら、リスク評価を実施する必要があります。これは、個人に対するリスクと、そのようなリスクが発生する可能性を判断するためのものです。リスクの可能性が低いと判断した場合、ICOに通知する必要はありません。ただし、通知義務の有無にかかわらず、個人データの侵害は、実施したリスク評価とともに記録しておく必要があります。)

Where data is uploaded from your systems to the attacker it can increase the risks to individuals. Therefore, you should take data exfiltration into account as part of your risk considerations. Appropriate logging can support you in determining if personal data is likely to have been exfiltrated. The NCSC blog post “What exactly should we be logging” can support you in deciding what logs to collect and retain.
(あなたのシステムからデータが攻撃者にアップロードされた場合、個人に対するリスクが増加する可能性があります。よって、リスク評価の一環として、データが流出されたかどうかを考慮する必要があります。個人データが流出した可能性が高いかどうかを判断するには、適切なログを取得することが有効です。NCSC のブログ記事「What exactly should be logging」は、収集・保存するログを決定する際の一助となります。)

Without appropriate logs you may not generate the evidence to allow you to make an informed decision. If you determine there is no evidence of data exfiltration, the ICO may ask you to demonstrate what logs and measures you used to make this decision.
(適切なログがなければ、十分な情報に基づいた判断を下すための根拠を得ることができない可能性があります。データが流出した痕跡がないと判断した場合、ICOは、当該判断を下すために使用したログとその過程を示すよう求めることがあります。)

However, whilst exfiltration is an important consideration it is not the only one you should make. You should consider the rights and freedoms of individuals in totality. For example:
(しかし、データの流出は重要な検討事項ですが、あなたが行うべき検討事項はそれだけではありません。あなたは、個人の権利と自由を総合的に考慮する必要があります。例えば、次のようなことが考えられます。)

  • Does the lack of availability impact on any individual rights, such as right of access to the personal data?
    (可用性の欠如によって、個人データへアクセスする権利等の本人の権利に影響を与えるか?)

  • Have individuals lost control of their personal data?
    (本人は自分の個人データを管理できなくなったか?)

  • Can you restore the personal data in a timely manner? If not, what does this mean for individuals?
    (個人データを適時に復元することができるか?できない場合、これは本人にとってどのような意味を持つか?)

  • To what degree was the personal data exposed to unauthorised actors and what are their likely motivations?
    (個人データはどの程度、第三者にさらされたのか、またその動機は何なのか?)

  • How confident are you in your detection and monitoring controls – could you have detected personal data being uploaded if it had occurred? If you do not have appropriate logs to make an informed decision, it may be helpful to determine if the attacker had the means, motivation and opportunity to exfiltrate the data. You can then use this assessment to make a risk-based decision.
    (検出と監視制御について、例えば、個人データがアップロードされた場合、それを検知することができたといえますか?もし、あなたが、十分な情報に基づいた判断を行うための適切なログがない場合は、攻撃者がデータを盗み出した方法や動機、機会があったかどうかが、評価のために有益な場合があります。そして、この評価に基づいて、リスクベースの判断を行えます。)

Further reading(参考文献)
The ICO’s Personal data breach assessment tool can support you in identifying reportable personal data breaches.
(ICOの個人データ侵害評価ツールは、報告義務のある個人データ侵害の特定をサポートします。)
Our guidance on personal data breaches can also further support you in assessing reportable personal data breaches.
(個人データ侵害に関する我々のガイダンスは、報告義務のある個人データ侵害を評価する手助けになります。)

Scenario 4: Law enforcement(法執行機関)

A ransomware attack has breached the personal data we process. We are planning to notify individuals, however, law enforcement are currently collecting evidence as this was a criminal attack. They have requested we delay notifying individuals until they has completed this. How do I comply with my GDPR obligations whilst also cooperating with law enforcement?
(ランサムウェア攻撃により、当社が取り扱う個人データが侵害されました。弊社は本人への通知を予定していますが、このランサムウェア攻撃は犯罪であるため、法執行機関が現在証拠を集めており、法執行機関は、これが完了するまで本人への通知を延期するよう我々に要請しています。法執行機関に協力しながら、GDPRの義務を遵守するにはどうすればよいですか)?

If you have been subjected to a ransomware attack it is recommended you should contact law enforcement.
(ランサムウェア攻撃を受けた場合は、法執行機関に連絡することをお勧めします。)

Law enforcement play a fundamental role in protecting individuals and the ICO work closely with these agencies in providing a multi-agency response to ransomware. Recitals 86 and 88 of the UK GDPR provide direction should law enforcement recommend delaying data subject notification:
(法執行機関は個人を保護する上で基本的な役割を担っており、ICOはこれらの機関と緊密に連携して、ランサムウェアに対して、複数の機関が対応できるようにしています。英国GDPRの前文86及び88は、法執行機関がデータ主体への通知の遅延を推奨する場合の方向性を示唆しています。)

Recital 86:
Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities
(データ主体への通知は、監督当局または法執行機関などの他の関連当局が提供するガイダンスを尊重し、合理的に実行可能な限り速やかに、監督当局と緊密に協力して行われる必要がある。)
Recital 88:
Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach
(また、早期の公表が、個人データ侵害に対する捜査を不必要に妨げるおそれがある場合、かかる規則および手続きは、法執行機関の正当な利益を考慮すべきである。)

However, law enforcement involvement does not automatically mean you should delay notifying individuals. Should law enforcement request a delay in a public notification, you should work closely with the ICO. This will allow us to work with you and law enforcement to assess the risk to the individuals under respective legislation.
(ただし、法執行機関の関与があるからといって、機械的に本人への通知を遅らせるべきというわけではありません。法執行機関が公表についての遅延を要求した場合、ICOと緊密に連携する必要があります。そうすることで、ICOはあなたや法執行機関と協力し、それぞれの法律の下で本人に対するリスクを評価することができます。)

Scenario 5: Attacker tactics, techniques and procedures(攻撃の戦略、技術、手段のTTPs)

We have recently seen an increase in phishing emails coming into our organisation and are looking at what measures we can put in place to mitigate this risk. Are there any other specific attacker tactics that the ICO commonly see in ransomware attacks?
(最近、私たちの組織に対するフィッシングメールが増えており、このリスクを軽減するためにどのような対策を講じられるか検討しています。ICOがランサムウェア攻撃でよく目にする、特定の攻撃手法は他にありますか?)

Tactics, techniques and procedures (TTPs) describe the methods attackers use to compromise data. Different attacks will use different types of TTPs, for example phishing is a common TTP to trick someone into giving up their credentials.
(戦術、技術、手順(TTPs)は、攻撃者がデータ侵害をするために使用する方法を説明するものです。例えば、フィッシングは、誰かを騙して認証情報を窃取するための一般的なTTPですが、攻撃者によって異なるタイプのTTPが使用されることもあります。)

However, attacker TTPs are constantly evolving, as described within scenario one of this report. A good baseline of controls will reduce the likelihood of being exploited by basic levels of attack, such as those described in the NCSC Cyber Essentials.
(しかし、シナリオ1で説明したように、攻撃者のTTPは常に進化しています。The NCSC Cyber Essentialsに記載されているような基本的なレベルの攻撃を受ける可能性を減らすには、適切な管理体制が必要です。)

Frameworks are available, such as the Mitre ATT&CK that provide a knowledgebase of TTP based on real world observations. The framework outlines each stage of an attack and the common TTPs that are used. These are a great resource to support you in identifying if your controls are appropriate to resist known TTPs.
(Mitre ATT&CK のようなフレームワークは、実際の観測に基づいた TTP の知識を提供するものです。このフレームワークでは、攻撃の各段階と、使用される一般的なTTPの概要が説明されています。これらは、既知のTTPに対抗するために自組織の管理が適切かどうかを見極める上で、多くの支援が可能となる資料です。)

During 2020/2021, we identified four of the most common TTPs from ransomware casework. The following practical advice for each example will support you in implementing appropriate measures.
(2020年及び2021年に、私たちはランサムウェアの事案から、最も一般的なTTPを4つ特定しました。各事例に対する以下の実践的なアドバイスは、適切な対策を実施するためのサポートとなります。)

①Phishing: Attackers typically use social engineering techniques to trick you into doing something. Phishing is a common method we’ve seen to either deliver ransomware by email or to trick you into revealing your username and password.
①(フィッシング:攻撃者は通常、ソーシャルエンジニアリングの手法を用いて、あなたを騙します。フィッシングは、電子メールでランサムウェアを配信したり、ユーザ名やパスワードを入力させたりする、よく見られる手法です。)

Your security strategy should include ensuring all relevant staff receive basic awareness training in identifying social engineering attacks. In addition, you should consider tailoring the measures in the NCSC Phishing Attack guidance to your own organisation.
(あなたのセキュリティ戦略には、ソーシャルエンジニアリング攻撃を区別するための基本的なトレーニングを、関連スタッフ全員に実施することが含まれます。また、NCSCのフィッシング攻撃に関するガイダンスに記載されている対策を、組織に合わせて調整することも検討する必要があります。)

②Remote access: The most common entry point into a network was by the exploitation of remote access solutions. Attackers often scan the internet for open ports such as remote desktop protocol and use this as an initial entry point. If they can capture valid credentials (eg by phishing, password database dumps or password guessing through brute force), they can authenticate by the remote access solution.
②(リモートアクセス:ネットワークに対する最も一般的な侵入方法は、リモートアクセスの悪用です。攻撃者は、インターネット上でリモートデスクトッププロトコル(RDP)などの外部からアクセスできるポートを探索し、侵入するために悪用することがよくあります。攻撃者は、有効な認証情報をフィッシング、パスワードが保存されたデータベースの取得、ブルートフォースによるパスワード推測などによって取得できれば、リモートアクセスに対して認証することができるようになります。)

You should risk assess and document your remote access solution and identify appropriate measures in response to the risks. An access control policy that directs you to the minimum levels of controls required will support you in applying appropriate measures.
(リモートアクセスのリスク評価と文書化を行い、リスクに対応した適切な対策を特定する必要があります。必要最小限の制御をするアクセス制御ポリシーは、適切な対策をするためのサポートとなります。)

You should not use single-factor authentication on internet facing services, such as remote access, if it can lead to access to personal data. Use multi-factor authentication, or other comparably secure access controls.
(個人データへのアクセスにつながる可能性がある場合、リモートアクセスなどのインターネット向けサービスでは、1要素による認証だけにすべきではありません。多要素認証、またはそれに匹敵する安全なアクセス制御を使用すべきです。)

The NCSC device security guidance provides further advice on designing a remote access architecture for enterprise services.
(NCSCのデバイスセキュリティガイダンスでは、企業向けサービスのリモートアクセスアーキテクチャの設計について、さらに詳しいアドバイスが提供されています。)

③Privileged account compromise: Once an attacker has a foothold in the network it is common that they compromise a privileged account, such as a domain administrator account. This is typically done by either
③(特権アカウント侵害:攻撃者がネットワークから侵入した後は、管理者アカウントなどの特権アカウントを奪取することが一般的です。これは、通常、以下のいずれかの方法で行われます。)

  • compromising weak passwords of privileged accounts;
    (特権アカウントの弱いパスワードを攻撃する。)

  • compromising service accounts that do not belong to a particular user;
    (特定のユーザに属さないサービスアカウントを攻撃する。)

  • using well known tools to extract plain text domain administrator passwords, password hashes or Kerberos tickets from the host; or
    (著名なツールを使って、サーバから平文の管理者パスワード、パスワードハッシュ、または Kerberosチケットを抽出する。)

  • exploiting a known software or application vulnerability which has a patch available to fix it.
    (修正パッチが提供されている既知のソフトウェアまたはアプリケーションの脆弱性を悪用する。)

Once an attacker can elevate their privileges to a domain administrative level account they are typically in a commanding position and will usually deploy the ransomware through the domain controller.
(攻撃者が管理者レベルのアカウントに特権を昇格させると、彼らは通常、全てを掌握したことになり、ドメインコントローラーを通してランサムウェアを展開します。)

The security of privileged accounts should be a high priority for you. Basic account hygiene can support you in protecting these accounts, such as:
(特権アカウントのセキュリティ対策は、最優先事項であるべきです。基本的なアカウントハイジーン(衛生)は、これらのアカウントを保護するために、次のようなサポートができます。)

  • regular reviews of permissions;
    (権限を定期的に見直す。)

  • following the principle of least privilege;
    (最小特権の原則に従う。)

  • risk assessments of membership into privileged groups; and
    (特権グループに所属するメンバーのリスク評価)

  • senior level approval of privileged group membership.
    (特権グループのメンバーになる場合の上級レベルの承認)

Further reading(参考文献)
The NCSC has a selection of guidance available that can further support you in identifying appropriate measures to protect privileged accounts.
(NCSCは、特権アカウントを保護するための適切な手段に関するガイダンスを用意しています。)
How to do secure system administration
Protecting system administration with PAM

④Known software or application vulnerabilities: The exploitation of known vulnerabilities where patches were available to fix the issue is a common method used by attackers. This was much more common than zero-day attacks where the vulnerability exploited is not yet publicly known and is typically crafted by advanced levels of attackers. In particular, attackers often scan, sometimes indiscriminately, for known vulnerabilities present in internet-facing device and services.
④(既知のソフトウェアまたはアプリケーションの脆弱性:修正パッチが提供されている既知の脆弱性を悪用する方法は、攻撃者がよく使う方法です。これは、まだ一般に知られておらず、上級レベルの攻撃者が悪用するゼロデイ攻撃よりもはるかに多く用いられています。特に、攻撃者は、インターネットに接続されたデバイス(機器)やサービスに存在する既知の脆弱性を、無差別にスキャンすることがよくあります。)

The NCSC vulnerability management guidance will support you in managing vulnerabilities within your estate.
(NCSCの脆弱性管理ガイダンスは、自社内の脆弱性管理を支援するものです。)

Considering the following will also support you in managing known vulnerabilities:
(また、以下の点を考慮することも、既知の脆弱性を管理する上での支援となります。 )

  • Identify the assets within your organisation, including the software and application you use.
    (使用するソフトウェアやアプリケーションを含め、組織内の情報資産を特定する。)

  • Define and direct your approach to the patch management lifecycle, including the process of identifying, assessing, acquiring, testing, deploying and validating patches.
    (修正パッチの特定、評価、取得、テスト、配備、検証のプロセスを含む、パッチマネジメントライフサイクルのアプローチを定義し、指示する。)

  • Maintain software and applications that are in support by the vendor.
    (ベンダーのサポートを受けているソフトウェアとアプリケーションを保守する。)

  • Identify vulnerabilities within your estate for both internal and external hardware and software (eg vulnerability scanning).
    (内部及び外部のハードウェア及びソフトウェアについて、自社内の脆弱性を特定する(例えば脆弱性スキャンなどを行う))

Scenario 6: Disaster recovery(災害復旧)

We understand the UK GDPR requires appropriate controls to be able to restore personal data in the event of a disaster. We currently backup our data so we are able to restore it in the event of a ransomware attack. Is there anything else we should consider?
(私たちは、英国GDPRが、災害時に個人データを復元できるよう適切な管理を求めていることを理解しています。現在、ランサムウェアの攻撃を受けてもデータを復元できるよう、データをバックアップしています。他に考慮すべきことはありますか?)

A ransomware attack can be amongst the most stressful times for an organisation. Planning for such an event is critical in ensuring you have the measures in place to be able to appropriately respond to it.
(ランサムウェア攻撃は、組織にとって最も重大な事態の一つです。このような事態に適切に対処できるよう対策を立てておくことは、非常に重要です。)

For smaller and medium sized organisations the NCSC Small Business Guide Response and Recovery gives you practical advice that will help you plan for dealing with an incident such as a ransomware attack.
(中小規模の組織向けには、NCSC Small Business Guide Response and Recoveryが、ランサムウェア攻撃のようなインシデントへの対応計画の策定に役立つ実践的なアドバイスを提供しています。)

For larger organisations the NCSC Incident Management guidance within its 10 steps to cyber security can support you in implementing appropriate controls.
(大規模組織の場合は、NCSCの「サイバーセキュリティへの10のステップ」の「インシデント管理ガイダンス」が、適切な管理の実施を支援します。)

A backup of your personal data is one of the most important controls in mitigating the risk of ransomware. However, it is common that attackers will attempt to either delete or encrypt your backup. You should therefore consider if your current backup strategy could be at risk. Performing a threat analysis against your backup solution and considering how an attacker could delete or encrypt the data is recommended. The questions below will help you get started in your threat assessment:
(個人データのバックアップは、ランサムウェア攻撃のリスクを軽減する上で最も重要な管理策の一つです。しかし、攻撃者はバックアップをも削除または暗号化しようとすることが一般的です。したがって、現在のバックアップ対策がリスクにさらされる可能性があるかどうかを検討する必要があります。バックアップシステムに対して脅威分析を行い、攻撃者がどのようにデータを削除または暗号化できるかを検討することをお勧めします。以下の質問は、脅威の評価に役立ちます。)

  • Is your backup segregated or offline?
    (バックアップは分離されているか、またはオフラインになっていますか?)

  • What would an attacker need to compromise to gain access to the backup? For example, what accounts can access the backup? What accounts can perform deletion or edit the backups? How could an attacker compromise these accounts? How do you protect accounts that can access the backups?
    (バックアップにアクセスするために、攻撃者は何を攻撃する必要がありますか?例えば、どのアカウントがバックアップにアクセスできますか?バックアップの削除や編集ができるアカウントはどれですか?攻撃者はどのようにしてこれらのアカウントを攻撃することができますか?バックアップにアクセスできるアカウントはどのように保護されていますか?)

  • Are you able to detect changes to your backup? For example, if an attacker initiated a deletion of your backup, could you detect this?
    (バックアップの変更を検出できますか?例えば、攻撃者がバックアップの削除を開始した場合、これを検出できますか?)

  • What device or IP address or both can access the backup repository? Can this be spoofed? Can an attacker access the device or repository that stores the backup?
    (バックアップリポジトリには制限されたデバイス(端末機器)やIPアドレスでアクセスできますか?あるいは、その両方によって制限されていますか?これは詐称できますか?攻撃者はバックアップを保存しているデバイスやリポジトリにアクセスできますか?)

  • How would you respond if an attacker deleted or encrypted your backup?
    (攻撃者がバックアップを削除または暗号化した場合、どのように対応しますか?)

Using your threat analyses will help you identify controls to mitigate the risks. Offline backups that are completely offline from the main network are one of the most secure ways to prevent attackers from accessing it. If you are using cloud backups, you should read the NCSC blog posts about protecting these backups Offline Backups in on online world and Cloud Backup options for mitigating the risk of ransomware.
(脅威分析をすることで、リスクを軽減するためのコントロールを特定することができます。主なネットワークから完全にオフラインになるオフラインバックアップは、攻撃者のアクセスを防ぐ最も安全な方法の一つです。クラウドバックアップを使用している場合は、これらのバックアップの保護に関するNCSCのブログ記事 Offline Backups in on online worldCloud Backup options for mitigating the risk of ransomwareをお読みください。)

Scenario 7: Ransomware payment(身代金支払い)

The attacker has provided a ransomware note saying it can restore the data if we pay the ransom fee. The attacker has also stated that if we pay they will not publish the data, so we are also considering if this would further reduce risk to individuals.
(攻撃者は、ランサムノートに「身代金を支払えばデータを復元できる」と記載しています。攻撃者は、我々が身代金を支払えばデータを公開しないとも述べているので、これが個人に対するリスクをさらに軽減することになるかどうかも検討しています。)
Does the ICO recommend the payment of the ransom to restore the data and mitigate risks to individuals?
(ICOは、データを復元して個人へのリスクを軽減するために、身代金の支払いを推奨しているのでしょうか。)

Before paying the ransom, you should take into account that you are dealing with criminal and malicious actors. Even if you pay, there is no guarantee that they will provide you with the decryption key. “Double extortion” is also common, where you pay for the decryption key and the attacker then requires an additional payment to stop the publication of the data. Attack groups may also target you again in the future if you have shown willingness to pay.
(身代金を支払う前に、あなたは犯罪者や攻撃者を相手にしていることを考慮する必要があります。たとえ身代金を支払ったとしても、彼らが復号鍵を提供してくれる保証はありません。復号鍵のために身代金を支払った後、データの公開を阻止するために追加の支払いを要求する「二重の恐喝」もよくあることです。攻撃グループは、被害組織が支払う意思を示した場合、将来、再びあなたを標的にする可能性もあります。)

Law enforcement do not encourage, endorse, nor condone the payment of ransom demands. The ICO supports this position.
(法執行機関は、身代金要求の支払いを奨励も、保証も、容認もしていません。ICOはこの立場を支持します。)

You should also consider the terminology within the UK GDPR. It requires you to implement “appropriate measures” to restore the data in the event of a disaster. The ICO does not consider the payment of a ransom as an “appropriate measure” to restore personal data.
(また、英国GDPRの定義も考慮する必要があり、災害時にデータを復元するための「適切な手段」を実施することを求めています。ICOは、身代金支払いは、個人データを復元するための「適切な措置」とは考えていません。)

Appropriate measures include threat assessments, risk assessments and controls such as offline and segregated backups. If you can demonstrate appropriate measures in accordance with the state of the art, cost and risk of processing then you will be able to demonstrate “appropriate measures” and comply with those aspects of the UK GDPR.
(適切な措置には、脅威の評価、リスク評価、オフラインおよび分離されたバックアップなどのコントロールが含まれます。取扱い状況、費用、リスクに応じた適切な措置が取られていたことを示すことができれば、「適切な措置」として、英国GDPRに準拠することができます。)

If attackers have exfiltrated the personal data, then you have effectively lost control over that data. This means individuals have lost the protections and rights provided by the UK GDPR. For example, transparency of processing or subject access rights. For this reason, we do not view the payment of the ransom as an effective mitigation measure.
(攻撃者が個人データを流出させた場合、そのデータに対するコントロールを事実上失ったことになります。これは、個人が英国GDPRによって提供される保護と権利を失ったことを意味します。例えば、処理の透明性や対象者へのアクセス権などです。このため、私たちは身代金支払いを効果的な緩和策とは考えていません。)

If you do decide to pay the ransom to avoid the data being published, you should still presume that the data is compromised and take actions accordingly. For example, the attacker may still decide to publish the data, share the data offline with other attack groups or further exploit it for their own gains. You still need to consider how you will mitigate the risks to individuals even though you have paid the ransom fee.
(データリークを避けるために身代金を支払うことにした場合でも、データが侵害されたと推定し、それに応じた行動をする必要があります。例えば、身代金を支払ったとしても、攻撃者は、データをリークしたり、他の攻撃グループとデータを共有したり、自分たちの利益のためにデータをさらに悪用したりする可能性があります。身代金を支払ったとしても、個人に対するリスクをどのように軽減するかを検討する必要があります。)

Scenario 8: Testing and assessing security controls(セキュリティ管理策のテストと評価)

I want to protect my organisation and the personal data I process from ransomware. Is there any type of testing I can do to assess whether my controls are appropriate?
(ランサムウェア攻撃から自組織と取り扱う個人データを保護したいと考えています。我々の管理が適切かどうかを評価するために、何らかのテストを行うことはできますか?)

The UK GDPR requires you to regularly test, assess and evaluate the effectiveness of your technical and organisational controls using appropriate measures. There is no one test that you can carry out, you should consider this within your wider security framework.
(英国GDPRでは、適切な手段を用いて、技術的および組織的な管理の有効性を定期的にテストし、査定し、評価することが求められています。実施可能なテストは1つではなく、より広いセキュリティの枠組みの中で検討する必要があります。)

For the examples discussed within this review, we have provided several suggested methods which will support you in adopting appropriate measures:
(このレビューでは、適切な手段を講じるための支援となる、いくつかの推奨される方法を提供します。)

  • Breach notification: Document and perform regular tests of your incident response plan so you are prepared for a real incident. The NCSC Exercise in a Box tool can help you practice your incident response in a safe environment.
    (違反の通知:インシデント対応計画を文書化し、定期的にテストすることで、実際のインシデントに備えることができます。NCSC の Exercise in a Box を使用すると、安全な環境でインシデント対応の練習をすることができます。)

  • Account management: Regularly audit your user accounts to ensure they are still required and contain the appropriate privileges. This should include reviews to ensure staff have not retained privileges from previous internal job roles that are no longer required, often called “privilege creep”. Ensure you document such reviews. Consider controls to identify weak or previously breached passwords.
    (アカウント管理:ユーザアカウントを定期的に監査し、必要かどうか、適切な特権が含まれているかどうかを確認する。これには、スタッフが以前、業務のために割り当てられた特権を、必要ではなくなったために保持していないことを確認するレビューが含まれます(これは「特権クリープ」と呼ばれます)。このようなレビューは、必ず文書化します。脆弱なパスワードや過去に破られたパスワードを特定するための管理方法を検討します。)

  • Patch management: Have a method to identify vulnerabilities in your network, such as missing patches. Vulnerability scans are an effective tool that can support this.
    (パッチ管理:修正パッチが適用されていないなど、ネットワーク上の脆弱性を特定する方法を用意します。脆弱性スキャンは、これを支援する効果的なツールです。)

  • Attack tactics, techniques and procedure: Risk assess and document your security controls to determine if they are appropriate to resist known TTPs. Penetration testers often simulate attacker activity by applying TTPs to vulnerabilities within your environment.
    (攻撃戦術、技術、手順:既知のTTPsに対抗するために、自社のセキュリティ対策が適切であるかどうかをリスク評価し、文書化します。ペネトレーション実施者は、あなたの環境内の脆弱性に、TTPsを適用することによって、攻撃者の活動をシミュレートします。)

  • Audit: Perform and record regular audits of your environment against a proven security standard, such as Cyber essentials (for smaller organisations) or ISO27001 (for medium and larger organisations).
    (監査する:小規模組織向けのCyber essentials、またはISO27001(中規模以上の組織向け)など、実績のあるセキュリティ基準に照らした監査を定期的に実施し、記録します。)

  • Disaster recovery: Perform and record regular tests of your disaster recovery plan to ensure it is effective. For example, perform a restore of personal data to ensure the data can be restored within the recovery time objective.
    (災害復旧:災害復旧計画が効果的であることを確認するために、定期的なテストを実施し、記録します。例えば、個人データの復元を、目標復旧時間内に復元できるかを確認します。)

As with any tests, reviews, and assessments, ensure you document and appropriately retain these records, as you may need to submit them to the ICO.
(テスト、レビュー、評価と同様に、ICOに提出することが必要な場合があるため、これらの記録を文書化し、適切に保管することを確認します。)

いいなと思ったら応援しよう!