OVERVIEW
ここ数年、CISA(Cybersecurity and Infrastructure SecurityAgency)とそのパートナーは、かなりの数のランサムウェア事件に対応してきました。最近では、米国のパイプライン会社と米国のソフトウェア会社に対する攻撃があり、マネージドサービスプロバイダー(MSP)とその下流の顧客に影響を与えました。
ランサムウェアは、デバイス上のファイルを暗号化し、ファイルやファイルに依存するシステムを使用不能にするよう設計されたマルウェアです。従来、悪意のある者は、復号化と引き換えに身代金を要求していました。しかし、悪意のある者は、時間の経過とともに、ランサムウェアの戦術をより破壊的でインパクトのあるものに変えてきました。悪意のあるアクターは、身代金を支払わないと、データを流出させ、機密情報や個人情報を含むデータを売却または漏洩すると脅すケースが増えています。このようなデータ侵害は、被害を受けた企業に金銭的な損失をもたらし、顧客の信頼を損ないます。
すべての組織は、ランサムウェアの被害に遭う可能性があり、システムに保存されている機密情報や個人情報を保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業を対象に、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供します。CISAは、組織が意識を高め、以下の推奨事項を実施することを推奨します。以下の推奨事項を実施することを推奨します。
PREVENTING RANSOMWARE ATTACKS
1.データのオフラインでの暗号化されたバックアップを維持し、定期的にバックアップをテストすること。バックアップの手順は定期的に行う必要があります。多くのランサムウェアの亜種は、アクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインで維持することが重要です。
2.基本的なサイバー・インシデント対応計画、回復力計画、および関連する通信計画を作成、維持、および実施する。
3.インターネット上の脆弱性や設定ミスを緩和し、アクターがこの攻撃対象を悪用するリスクを低減する。
a.リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスの使用に関するベストプラクティスを採用すること。脅威となる人物は、露出した安全性の低いリモートサービスを通じてネットワークに最初にアクセスし、その後ランサムウェアを拡散させることがよくあります。
i.RDPを使用しているシステムのネットワーク監査、未使用のRDPポートの閉鎖、指定回数の試行後のアカウントロックアウトの実施、多要素認証(MFA)の適用、RDPのログイン試行のログ取得。
b.定期的に脆弱性スキャンを実施し、特にインターネットに接続する機器の脆弱性を特定して対処する。CISAは、重要インフラ組織がランサムウェアなどのサイバー脅威にさらされている状況を評価、特定、軽減するために、脆弱性スキャンを含むさまざまなサイバー衛生サービスを無料で提供しています。これらのサービスを利用することで、組織の規模を問わず、リスクを低減し、攻撃のベクトルを緩和する方法についての提案を受けることができます。
c.オペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアをタイムリーに更新する。インターネットに面したサーバや、ウェブブラウザ、ブラウザ・プラグイン、ドキュメント・リーダーなど、インターネット上のデータを処理するソフトウェアに存在する重要な脆弱性や脆弱性に対して、タイムリーにパッチを当てることを優先してください。迅速なパッチ適用が不可能な場合は、ベンダーが提供する緩和策を実施する。
d.デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。例えば、ビジネス目的で使用されていないポートやプロトコルを無効にする。
e.SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、SMBの古いバージョンを削除または無効化する。
4.フィッシングメールがエンドユーザーに到達するリスクを以下の方法で低減します。
b.不審な活動(例:フィッシング)やインシデントを特定して報告する方法に関するガイダンスを含む、サイバーセキュリティのユーザ意識向上およびトレーニングプログラムを実施すること。CISAは、ユーザー意識向上トレーニングの効果をサポートし、測定するために、組織向けに無料のPhishing Campaign Assessmentを提供しています。
5.以下の方法で、優れたサイバー・ハイジーンを実践してください。
a.アンチウイルス、アンチマルウェアのソフトウェアとシグネチャが最新であることを確認する。
b.アプリケーションのallowlistingを実装する。
c.アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理により、ユーザーおよび特権アカウントが確実に制限されていること。
d.可能な限りすべてのサービスにMFAを採用し、特にウェブメール、仮想プライベートネットワーク(VPN)、重要なシステムにアクセスするアカウントにMFAを採用する。
e.CISAの「Cyber Essentials」や「CISA-MS-ISAC Joint Ransomware Guide」からサイバーセキュリティのベストプラクティスを導入する。
PROTECTING SENSITIVE AND PERSONAL INFORMATION
顧客や従業員の機密情報や個人情報を保管している組織は、悪意のあるサイバーアクターによるアクセスや流出から情報を保護する責任があります。CISAは、組織に対して以下を推奨しています。
1.システムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。事業運営に必要な情報のみを保存することで、データを制限する。不要になったデータは、確実に適切に廃棄する。
3.サイバーセキュリティのベスト・プラクティスを以下のように実施する。
a.機密性の高い個人情報が保存されているコンピューターまたはサーバーを特定すること。注:業務上不可欠な場合を除き、インターネットに面したシステムやラップトップに機密データや個人データを保存しない。ラップトップに機密データが含まれている場合は、暗号化し、デバイスの適切な物理的セキュリティについて従業員を教育する。
c.ファイアウォールを導入し、悪意のある、あるいは不要なネットワークトラフィックからネットワークやシステムを保護する。
d.機密情報や個人情報を保管するシステムをさらに保護するために、ネットワークセグメンテーションの適用を検討している。
4.サイバー・インシデント対応および通信計画に、データ侵害インシデントに対する対応および通知手順が含まれていることを確認する。通知手順が適用される州法に準拠していることを確認する。(各州のデータ漏洩通知法については、National Conference of State Legislatures, Security Breach Notification Lawsを参照してください。各州のデータ漏洩通知法に関する情報は、「National Conference of State Legislatures: Security Breach Notification Laws」を参照してください)。
RESPONDING TO RANSOMWARE-CAUSED DATA BREACHES
万が一、組織がランサムウェアの被害に遭い、それに伴うデータ漏洩が発生した場合、CISAはサイバーインシデント対応計画を実施し、以下の行動をとることを強く推奨します。
1.以下のチェックリストを使用して、最初の3つのステップを順に進めていくことで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぐことができます。注:CISAでは、このチェックリストをランサムウェアに特化した附属書として、サイバーインシデント対応計画に含めることを推奨しています。ランサムウェア対応の完全なチェックリストについては、「
CISA-MS-ISAC Joint Ransomware Guide」を参照してください。
a.どのシステムが影響を受けたかを判断し、直ちに隔離します。複数のシステムに影響があると思われる場合は、スイッチレベルでネットワークをオフラインにします。ネットワークを一時的にオフラインにすることがすぐにできない場合は、ネットワーク(イーサネットなど)のケーブルを探し、感染した機器をネットワークから外すか、Wi-Fiから外すことで感染を食い止めます。
b.影響を受けたデバイスをネットワークから削除できない場合や、ネットワークを一時的にシャットダウンできない場合に限り、ランサムウェアの感染がさらに広がるのを防ぐために、感染したデバイスの電源を落とします。注意:この手順は、揮発性メモリに保存されている感染成果物や潜在的な証拠が失われる可能性があるため、必要な場合にのみ実行してください。
c.影響を受けたシステムをトリアージして復旧・回復させる。重要度に応じて優先順位をつける。
d.チームと相談して、予備的な分析に基づいて、何が起こったのかを最初に理解し、文書化します。
e.社内外のチームや利害関係者を巻き込み、インシデントの緩和、対応、回復に向けてどのような支援ができるかを伝える。データ漏洩の経験を持つ、信頼できる第三者のインシデント対応プロバイダーに支援を依頼することを強く検討する。
2.初期の緩和策がないと判断された場合は、影響を受けたデバイスのサンプルのシステムイメージとメモリキャプチャを行います。さらに、関連するログや、「前兆」となるマルウェアのバイナリのサンプル、関連する観測値や侵害の指標を収集します。注:フォレンジックの証拠を破壊してはいけません。また、紛失や改ざんを防ぐために、揮発性の高い証拠や保存期間が限定されている証拠の保存には注意が必要です。
3.サイバーインシデント対応計画に記載されている通知要件に従う。
他の企業に代わって保管されている個人情報が盗まれた場合は、これらの企業に侵害の事実を通知します。
個人を特定できる情報が侵害された場合は、被害を受けた個人に通知して、自分の情報が悪用される可能性を減らすための手段を講じられるようにします。漏洩した情報の種類、推奨される行動、関連する連絡先を伝える。