ランサムウェアの感染被害が確認された後にまず行う対策とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月1日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・ランサムウェアに感染したと分かったら・・・
・ランサムウェアとも密接な関係?「ダークウェブ」という存在
今回の解説ニュース
ランサムウェア攻撃によって、ファイルが暗号化されるなどの被害が発生したということです。ランサムウェア感染被害が確認された後に実施する対策について説明します。
今回のインシデントでは、業務システムへのアクセス障害を確認したため調査を行ったところ、社内サーバに保存されていたファイルが暗号化されるなどの被害が発生していました。原因として、同社グループのサーバに対する第三者からの不正アクセスとランサムウェア感染が挙げられています。
対策として、被害拡大防止措置を講じるとともに対策本部を設置、業務遂行における支障を生じさせない最低限の業務システムの復旧作業を開始し、大阪府警担当課と会議を行っています。再発防止策として、外部専門機関によるデジタルフォレンジック調査等を進め、漏えいした情報の項目・件数や侵入経路、被害範囲等を調査するとともに、外部専門機関を起用したダークウェブ調査も継続するということです。
ランサムウェアに感染したと分かったら・・・
ランサムウェア感染被害が確認されたら、まず感染した端末の隔離を行い、その後ランサムウェアの解析と暗号化されたデータの復元を試みます。
仮に、皆さんも体調不良になった際は、まずは不要に出歩かないなどして、他人にうつさないよう気を付けるのではないでしょうか。その後、病院へ行って症状を見てもらい、処方してもらった薬で回復を待つことになります。
ランサムウェアも同様で、まずは他のシステムへ感染を広げないために、ランサムウェアの被害にあったパソコンを隔離することが必要です。端末を隔離するためには、ネットワークから遮断したり、USBを含む接続されているデバイスを切断したりしましょう。
その後、ランサムウェアを解析することで、その種類を特定します。ランサムウェアに暗号化されたファイルや身代金を要求するメッセージなどをアップロードすると、自動で解析してくれるWebサイトがあります。もし、自動では解析できなかったり、安全に解析ができる自信がなければ、セキュリティ専門家に依頼することも検討しましょう。
そして、既知のランサムウェアであればデータを復元することができる可能性もあります。ここで重要なポイントとして、データを復元するために身代金の支払いに応じることは推奨できません。理由として、身代金を支払ってもデータを復元できる保証はありませんし、仮に復元できたとしても、身代金を支払う組織であることを攻撃者に認識させたり、攻撃者が別の攻撃を行うための資金源になってしまったりする可能性があるからです。
その他のトピック