WannaCryランサムウェア攻撃 世界的なサイバーセキュリティインシデントに対するEYの対応

WannaCryランサムウェア攻撃
世界的なサイバーセキュリティインシデントに対するEYの対応

2017年5月12日、ランサムウェアによる世界規模の攻撃が発生しました。影響は、ヘルスケア、公共、通信及びガスを含む多くのセクターに及び、150か国、300,000以上のシステムに拡がっています。

ランサムウェアは新たに登場した脅威というわけではありません。通常、金銭目的のサイバー犯罪者が、データを人質に取られた被害者から比較的少額の身代金を取るという手口で、過去5年以上、その攻撃の件数は、急激に増加しています。サイバー犯罪者は、身代金を支払えば人質に取られたデータを解放すると約束しますが、常にそうなるわけではありません。

今回の攻撃に用いられたランサムウェアは、自己増殖するマルウェア(一般的に「ワーム」と呼ばれます)の手法を組み合わせ、人手を介することなく組織内のネットワークに接続された他のコンピュータに感染を拡大できる点で、これまでのものと異なります。

拡大した被害

攻撃が世界的な規模かつ無差別に行われていることから、全ての企業にとって次のものを含む基本的なセキュリティ対策に注意を払うことが極めて重要です。

  • ソフトウェアパッチを適用し、情報システムを最新の状態に保つこと
  • 定期的にバックアップを取得すること
  • ユーザが不審なリンクをクリックしないよう教育すること

業務の停止による被害は、全体として甚大ですが、セクターごと、組織ごとに異なります。実際の被害額は現在のところ不明ですが、組織ごとに異なるでしょう。

サイバー犯罪者は、今のところ約50,000米ドル程度の身代金しか得ていないようです。サイバー犯罪者が特定される可能性はかなり低く、彼らに法の裁きを下すのは長くコストのかかる道のりとなるでしょう。

これは、WannaCryによる身代金要求とデータ消失におびえる多くの組織にとっては、ほとんどなぐさめにならないでしょう。

すぐに講じるべき措置

WannaCryのインシデントは、次のようなサイバーセキュリティ対策の基本をしっかりと実施することの必要性を浮き彫りにしました。

  1. 自社のサイバーリスクを特定し管理すること。特に、業務停止その他の組織にとって不利益を生じさせるような、優先的に対処すべきサイバー脅威及び侵害シナリオに注力してください。
  2. サイバーセキュリティに関するグッドプラクティスについての継続的な教育を従業員に実施すること。また、第三者による評価サービスや保証業務を活用すること。
  3. 自社に与える影響をサイバー脅威の動向を注視し続けること。サイバー犯罪者及び他の攻撃者は、金銭を盗取しシステムを破壊するため、脆弱性を突くこれまでに無く効果的な方法を開発し続けています。攻撃は、しばしば機密性を侵害するよりも、完全性を阻害することを目的に行われます。
  4. 自社のサイバーセキュリティ対策を維持し、定期的に見直しすること。これにより、サイバーレジリエンスの強固な基礎を築くことができます。例えば、パッチを適時に適用し、サイバー・インシデント対応の手順を定め、定期的にバックアップを取得し、インシデント対応の訓練を実施してください。

次に示す外部の技術資料も必要に応じて参照ください。

ランサムウェアのリスクを低減する予防策

ランサムウェアによる被害を防止するためには、ペネトレーションテスト、サイバートランスフォーメーション、マネージド・セキュリティ・オペレーション・センター(SOC)を含むEYのサイバーセキュリティサービスを活用できます。これらのサービスを通じて、次のような対応を実施されることをお勧めします。

  • 脆弱性・パッチ管理方針及び手順が全ての情報システムで最新化されているか確認してください。また、それらに適切な変更管理手順があるか確認してください。ベンダーのサポートが終了した古いOSを利用している場合には、情報システムのベンダーから詳細な情報を入手して対応してください。
  • インシデント対応計画及び事業継続計画(BCP)を整備してください。それらの計画は、ランサムウェアその他の潜在的な攻撃方法に対して有効か検証するだけでなく、最新のサイバー脅威動向を踏まえて更新してください。
  • セキュリティ啓発トレーニングを実施してください。訓練やテストを実施したり、注意すべきEメールが分かるようなスクリーンショットを利用したりすることが考えられます。インシデント報告ガイドラインに基づいて迅速に報告できるよう簡潔な手順を作成し、すべての従業員と自社のネットワークに接続している委託先企業に対して周知してください。
  • 定期的に適切なバックアップを取得してください。身代金要求に屈することのないよう、感染の影響を軽減するとともに迅速に復旧できるようにしてください。
  • 自社のネットワークに接続している委託先企業ついても、同様のセキュリティ対策が実施され、脅威に対する防御策を講じているか保証を得てください。
  • エンドポイントを監視する仕組みを導入し、セキュリティ運用部門がマルウェアの不審な挙動に気付けるようにしてください。
  • 特に重要な情報システム及びデータを特定し、それらが必要な時だけインターネットにつながっているか確認してください。
  • 頻繁にペネトレーションテストを実施し、セキュリティ対策をテストしてください。
  • Review how proactive security monitoring of the entire environment via a Security Operations Center (SOC) could enable faster detection and response to incidents 外部ウェブサイトへ

サイバー攻撃に対する対応において考慮すべき事項

自社が侵害されているか侵害されつつあることに気付いた場合は、次のような対応が、迅速に対応し、影響範囲を限定し、エンドユーザに対して適切に連絡することに役立ちます。

  • 感染した端末をネットワークから切り離し、オフラインにバックアップを取得してください。ネットワーク上に置かれたバックアップは、同じようにランサムウェアによって暗号化される危険があるためです。
  • EYのFIDSフォレンジック・テクノロジー・アンド・ディスカバリー・サービスを利用することで、次のことが可能です。
    • 迅速な対応と復旧を可能とするため、フォレンジックの手法を用いてネットワーク及びホストを分析し、早期にランサムウェアの侵入の兆候を検知すること
    • 犯人との交渉やランサムウェアの根絶に向けた活動の経験に基づき、フォレンジックの手法を用いてランサムウェアを検知し、特定し、封じ込めること。フォレンジックの手法を用いて攻撃を無効化したり、侵害されたシステムやバックアップからデータを復元したりすること。また、復元したデータにランサムウェアが残存していないことを確認すること
    • ランサムウェアによってシステムやデータが破壊されないよう、特に機微な情報を取り扱っている感染した機器について、フォレンジックの手法を用いてディスクイメージを取得し保全すること
    • ランサムウェアによってシステムやデータが破壊されないよう、特に機微な情報を取り扱っている感染した機器について、フォレンジックの手法を用いてディスクイメージを取得し保全すること
  • インシデント対応計画を発動してください。このとき、調査活動を単なるIT上の問題または活動と考えないようにしてください。法務、コンプライアンス、情報セキュリティ、ビジネス、広報、人事等を巻き込み、全社的な体制で臨んでください。
  • 事業のエコシステム全体において存在する脆弱性を特定し、それらに対応してください。攻撃者が再侵入するのを困難にするため、セキュリティ更新プログラム、マルウェア検知及びウイルス対策を適切にインストールしてください。今後の攻撃及び攻撃の根絶に向けて、検知対応態勢を強化してください。
  • 事業継続計画(BCP)を発動してください。規制上の報告義務、保険請求、訴訟対応、スレットインテリジェンス、顧客への通知等の様々な要求に応えられるようデータを準備してください。