ランサムウェア被害への対処方法
◆目次
クリーンアップの実施
攻撃されたシステムは、確実に攻撃が終わるまでネットワークから切り離すのがセオリー。収束を確認したらネットワーク上の全てのシステムを徹底的に調査検証してアーティファクトやマルウェアが残っていないか隅々まで点検します。
この作業を怠るとシャットダウン、データ移行、リストアを完了してネットワークをオンラインに戻したとたん、仕組まれたランサムウェアが再発するケースがあります。そのため、バックアップからデータをリストアして本稼働させる前に必ず環境をクリーンアップしておきます。
事業継続・災害復旧(BCDR) 計画の事前策定
攻撃に備えて、事業継続・災害復旧(BCDR) 計画の策定を含む事前・事後の復旧対策を確立しておきます。これらの計画には、バックアップからリストアする方法についても必ず明示します。
ダウンタイムにも費用は刻々と発生するため、復旧は迅速に行えるようすべきです。効果的で迅速なリカバリには、直前または直近の『復元ポイント』を設定しておかなければなりません。このポイントが用意出来なければ復元プロセスが遅くなりリカバリが不可能になるケースもありえます。
そのため、リカバリ性能に優れたストレージ/バックアップ・ソリューションを用意することが非常に重要です。こうしたソリューションは、モダンストレージ・テクノロジーを活用しており、攻撃者が組織内のデータを完全に削除することを防ぎます。
スナップショットやバックアップ・データのフォレンジック分析を行い適切なサンドボックス環境を用意することも重要。データ復旧の際にはフォレンジック調査とクレンジング実施、また攻撃者が残した侵害の兆候を見つけて除去しておく必要があります。
加えて強固なロギング環境を整備して視認性を確保しておくことは、復旧プロセスで侵害の兆候を探すために必要不可欠です。
苦い教訓を活かす取り組み
復旧後は、何が起こり何をどれぐらい実行したのか振り返ること。そこから学び、貴重な教訓を得て必要に応じてシステムや方針を修正、将来的にいかに取り組むべきかを理解して実行する必要があります。
この際にはテクノロジーにとどまらず、個人的取り組みやプロセスの検証も行います。こうすれば例えばフィッシング攻撃を見極める際、包括的ユーザー教育の整備が必要であるといったことが身に染みてわかってきます。
検証により判明した課題への対応策を今後の計画や方針に取り入れ、準備・対策の継続的改善につなげることが重要です。
被害を最小限に食い止める
ランサムウェアに狙われる「原因や攻撃手段」さらに「攻撃以前・進行中・以後」に何をすべきか事前に理解することは、攻撃を未然に防ぎ迅速な復旧へ向けた対策立案が可能になります。
ベンダーやツールの選択・導入を適切に行い、技術チームとエンドユーザーの双方へのトレーニングを定期的に実施することが大事です。また、強力なパスワードを設定して管理を徹底したうえでソフトウェアや資産を管理保護して攻撃を最小化できるよう棚卸を定期実施する必要があります。
お問い合わせはこちら
費用やスケジュール・サービス詳細に関するご不明点や疑問点などもお気軽にお問合せください。原則翌営業日までにご回答しておりますが、内容によりお時間がかかる場合も…
PlatSupplyConsulting 