ランサムウェア攻撃に対処する方法 – IBM ブログ

これはどの組織も聞きたくないニュースです。あなたは被害者です。 ランサムウェア 攻撃したら、次に何をすればいいのか迷っています。 

まず心に留めておいてほしいのは、あなたは一人ではないということです。 すべてのサイバー攻撃の 17% 以上にランサムウェアが関係しています-ある種類の マルウェア これにより、被害者がハッカーに身代金を支払わない限り、被害者のデータやデバイスはロックされたままになります。最近の調査で調査された 1,350 の組織のうち、 78% がランサムウェア攻撃に成功しました (リンクは ibm.com の外にあります)。

ランサムウェア攻撃は、ネットワークやデバイスに感染するためにいくつかの方法またはベクトルを使用します。 フィッシング詐欺 電子メールの送信や、リモート アクセスなどのソフトウェアやオペレーティング システムの脆弱性の悪用などです。通常、サイバー犯罪者はビットコインやその他の追跡が困難な暗号通貨で身代金の支払いを要求し、支払い時にデバイスのロックを解除するための復号キーを被害者に提供します。

幸いなことに、ランサムウェア攻撃が発生した場合、攻撃を阻止し、機密情報を保護し、ダウンタイムを最小限に抑えてビジネスの継続性を確保するために、どの組織でも実行できる基本的な手順があるということです。

初期対応

影響を受けるシステムを隔離する 

最も一般的なランサムウェアの亜種は、横方向に伝播する脆弱性がないかネットワークをスキャンするため、影響を受けるシステムをできるだけ早く隔離することが重要です。感染したデバイスまたは感染の可能性のあるデバイスのイーサネットを切断し、WiFi、Bluetooth、およびその他のネットワーク機能を無効にします。

考慮すべき他の 2 つのステップ: 

• メンテナンスタスクをオフにします。 影響を受けるシステムの自動タスク (一時ファイルの削除やログのローテーションなど) を直ちに無効にします。これらのタスクはファイルに干渉し、ランサムウェアの調査と回復を妨げる可能性があります。 
• バックアップを切断しています。 新しいタイプのランサムウェアの多くはバックアップをターゲットにして回復を困難にするため、データのバックアップはオフラインにしておいてください。感染を除去するまで、バックアップ システムへのアクセスを制限します。

身代金メモの写真を撮る

他の作業に進む前に、身代金メモの写真を撮ります。理想的には、スマートフォンやカメラなどの別のデバイスで影響を受けるデバイスの画面を撮影します。写真は回復プロセスを促進し、警察に報告書を提出したり、保険会社に請求を行う際に役立ちます。

セキュリティチームに通知する

影響を受けるシステムを切断したら、担当者に通知してください。 ITセキュリティ 攻撃側のチーム。ほとんどの場合、IT セキュリティの専門家が次のステップについてアドバイスし、組織のセキュリティを有効にすることができます。 インシデント対応 計画とは、サイバー攻撃を検出して対応するための組織のプロセスとテクノロジーを意味します。

影響を受けるデバイスを再起動しないでください

ランサムウェアに対処するときは、感染したデバイスを再起動しないでください。ハッカーは、これがユーザーの最初の本能である可能性があることを知っており、一部の種類のランサムウェアは再起動の試行を通知し、Windows に損傷を与えたり、暗号化されたファイルを削除したりするなど、さらなる被害を引き起こします。再起動すると、ランサムウェア攻撃の調査が難しくなる可能性もあります。貴重な手がかりはコンピュータのメモリに保存され、再起動中に消去されます。 

代わりに、影響を受けるシステムを休止状態にします。これにより、メモリ内のすべてのデータがデバイスのハード ドライブ上の参照ファイルに保存され、将来の分析のために保存されます。

根絶 

影響を受けるデバイスを隔離したので、デバイスのロックを解除してデータを回復したいと思うでしょう。ランサムウェア感染、特により高度なウイルス感染の根絶は管理が複雑な場合がありますが、次の手順で回復への道を歩み始めることができます。 

攻撃のバリエーションを決定する

いくつかの無料ツールは、デバイスに感染するランサムウェアの種類を特定するのに役立ちます。特定のウイルス株を知ることは、ウイルスがどのように拡散するか、どのファイルをロックするか、どのように削除するかなど、いくつかの重要な要素を理解するのに役立ちます。暗号化されたファイルのサンプルと、あれば身代金メモと攻撃者の連絡先情報をアップロードするだけです。 

最も一般的な 2 種類のランサムウェアは、スクリーン ロッカーと暗号化プログラムです。スクリーン ロッカーはシステムをロックしますが、支払うまでファイルは安全に保管されます。一方、暗号化ツールはすべての機密データを見つけて暗号化し、身代金の支払いを行った後にのみ復号化するため、対処がより困難です。 

復号化ツールを検索する

ランサムウェアの種類を特定したら、復号化ツールを探すことを検討してください。このステップを支援する無料ツールもあります。たとえば、次のようなサイトです。 ノーモア・ランソム。ランサムウェア株の名前を入力し、一致する復号化を検索するだけです。 

ランサムウェアの決定版ガイドをダウンロード

回復 

幸運にもランサムウェア感染を除去できた場合は、回復プロセスを開始します。

まずシステム パスワードを更新し、次にバックアップからデータを復元します。データのコピーを 3 つの異なる形式で 2 つ用意し、1 つのコピーをオフサイトに保存することを常に目指してください。 XNUMX-XNUMX-XNUMX ルールとして知られるこのアプローチにより、データを迅速に復元し、身代金の支払いを回避できます。 

攻撃の後は、セキュリティ監査の実施とすべてのシステムの更新も検討する必要があります。システムを最新の状態に保つことで、古いソフトウェアにある脆弱性をハッカーが悪用するのを防ぐことができ、定期的にパッチを適用することで、マシンを最新の安定した状態に保ち、マルウェアの脅威に対抗することができます。また、学んだ教訓をもとにインシデント対応計画を修正し、必要なすべての関係者にインシデントを十分に伝えたことを確認することもできます。 

当局への通知 

ランサムウェアは恐喝であり犯罪であるため、ランサムウェア攻撃を常に法執行官または FBI に報告する必要があります。 

回復努力がうまくいかない場合、当局がファイルの復号化を支援してくれる可能性があります。しかし、たとえデータを保存できなかったとしても、サイバー犯罪活動をカタログ化し、できれば他の人が同様の運命を避ける手助けとなることが重要です。 

ランサムウェア攻撃の被害者の中には、ランサムウェア感染を報告することが法的に義務付けられている場合もあります。たとえば、HIPAA 準拠では通常、医療機関はランサムウェア攻撃を含むデータ侵害を保健福祉省に報告することが義務付けられています。

支払うかどうかの決定 

決定する 身代金を支払うかどうか 複雑な決断です。ほとんどの専門家は、他のすべてのオプションを試しても、データの損失が支払いよりもはるかに有害である場合にのみ支払いを検討すべきであると示唆しています。

どのような決定を下しても、次に進む前に必ず法執行官やサイバーセキュリティの専門家に相談する必要があります。

身代金を支払ったからといって、データに再びアクセスできることや、攻撃者が約束を守ることは保証されません。被害者は身代金を支払うだけで復号キーを受け取らないことがよくあります。さらに、身代金の支払いはサイバー犯罪活動を永続させ、さらなるサイバー犯罪の資金源となる可能性があります。

将来のランサムウェア攻撃を防ぐ

電子メール セキュリティ ツール、マルウェア対策およびウイルス対策ソフトウェアは、ランサムウェア攻撃に対する防御の重要な最前線です。

組織は、ファイアウォール、VPN などの高度なエンドポイント セキュリティ ツールにも依存しています。 マルチファクタ認証 データ侵害を防ぐためのより広範なデータ保護戦略の一環として。

しかし、サイバー犯罪者をリアルタイムで捕捉し、成功したサイバー攻撃の影響を軽減するための最先端の脅威検出機能とインシデント対応機能がなければ、完全なサイバーセキュリティ システムは完成しません。

IBM Security® QRadar® SIEM は、機械学習とユーザー行動分析 (UBA) を従来のログとともにネットワーク トラフィックに適用して、よりスマートな脅威の検出と迅速な修復を実現します。 Forrester の最近の調査では、QRadar SIEM により、セキュリティ アナリストは誤検知を特定し、インシデントの調査に費やす時間を 14,000% 削減し、重大なセキュリティ侵害に遭遇するリスクを 90% 削減することで、60 年間で XNUMX 時間以上を節約することができました。* SIEM のリソースに余裕のないセキュリティ チームは、脅威を迅速に検出し、情報に基づいた措置を即座に講じて攻撃の影響を最小限に抑えるために必要な可視性と分析を備えています。

IBM QRadar SIEM について詳しく見る

* IBM Security QRadar SIEM のトータル経済効果TM は、IBM に代わって Forrester Consulting が 2023 年 4 月に実施した委託調査です。インタビューを受けた IBM 顧客 XNUMX 社をモデルとした複合組織の予測結果に基づいています。実際の結果はクライアントの構成や条件によって異なるため、一般的に期待される結果を提供することはできません。