「アメリカ建国の父」と呼ばれるベンジャミン・フランクリンは、「予防は治療に勝る」という名言を残しています。サイバー・セキュリティの世界でも、ランサムウェアによるデータの暗号化を未然に防ぐ対策を実施することは非常に重要です。しかし、膨大な費用を投じて入念な対策を実施していても、すべての攻撃を防ぐことはできません。いざというときに備えて、ランサムウェア感染が発生した場合の対応方法をあらかじめ策定し、被害の調査と拡大防止に利用可能なツールを用意するなど、事後対応のための準備を行っているかどうかが、被害をコンピュータ1台だけに食い止められるか、あるいはネットワーク全体に感染が広がり、復旧までに数時間~数週間という時間を費やす結果になるかの分かれ道となります。

今回の記事では、ランサムウェア攻撃に的確に対応し、可能な限り早期に通常業務を再開するための4つのベスト・プラクティスを紹介します。

1. ランサムウェアによる通信を遮断する

ほとんどのタイプのランサムウェアは、暗号化を実施する際に指令(C&C)サーバと通信して暗号鍵を受け取る必要があります。そのため、アンチボット技術を導入して、ランサムウェアをはじめとする各種マルウェアによるC&Cサーバとの接続および通信を遮断すれば、不正な活動を抑制、場合によっては完全に阻止できます。

2. 感染を封じ込めて被害の拡大を防ぎ、業務への影響を最小限に抑える

一方、暗号鍵の取得にC&Cサーバとの通信を必要としないランサムウェアも存在します。このタイプのランサムウェアには、暗号化のための公開鍵が組み込まれており、C&Cサーバから受け取らなくてもファイルを暗号化できます。活動開始にあたっての初回接続さえ必要としないため、他の大部分のランサムウェアよりも暗号化の阻止は困難になります。

しかし、感染デバイス上のファイルが暗号化されたとしても、気落ちしているヒマはありません。被害の拡大を防ぐためにできることはまだあります。アンチボット技術で不正なプロセスや通信を検出してブロックし、感染デバイスを自動的に隔離するのです。このような封じ込め策を素早く実施できれば、ネットワーク・ストレージやファイル共有など他のシステムへの感染拡大を未然に防止できる確率が高まります。その結果、たとえランサムウェアに感染しても、直接的な被害や業務への影響は最小限に抑えられるでしょう。

感染の発生自体を防ぐ予防的なアプローチが必要である事実に変わりはありませんが、総合的なセキュリティ対策にアンチボットなどの技術を組み込むと、発生したマルウェア感染を速やかに検出して被害の拡大を抑制できます。

3. 慌てずに解決策を模索する

ランサムウェアに感染してしまっても、慌ててはなりません。身代金を支払う以外の解決策が見つかる場合もあります。何はともあれ、組織のIT担当者に報告しましょう。ランサムウェアへの対応について最も詳しいのはIT担当者であるはずです。暗号化されたファイルをバックアップから復旧する、または身代金を支払うという対応の他にも、第三の選択肢が存在する場合があります。ランサムウェアが急速な勢いで進化しているのは、残念ながら事実です。しかし、セキュリティ専門家も攻撃の手口や対抗策についての研究を日夜続けています。例えば、TeslaCryptやShadeなど一部のランサムウェアでは、復号鍵がインターネットで公開されています。わずかな手間暇をかけてインターネットで情報収集するだけで、対応に要する時間と費用を大幅に節約できる可能性があります。

4. 攻撃手法を分析し、最適な対応策を判断する

ランサムウェア感染の封じ込めに成功した後は、調査活動を実施して被害の実態を把握する必要があります。攻撃を受けた根本原因やランサムウェアの侵入口、ユーザの不手際の有無、実際に行われていた活動内容を調査して、攻撃の全体像を把握すると、感染を完全に封じ込め、今後の問題再発を防止するための計画を策定できます。

インシデント対応チームが調査に当たる際には、フォレンジック・データを活用して、侵入口から移動経路、被害の範囲に至るまで、攻撃のあらゆる側面を分析する必要があります。このような情報は、手作業で整理、またはツールを使用して自動的に集約する必要があります。ランサムウェア攻撃では、情報収集やレポート作成を手動で行わざるを得ないケースがほとんどです。これらの作業には、相応の時間がかかります。

最近では、このような作業を自動化するソリューションが登場しています。例えば、自動フォレンジック分析ツールを導入すれば、攻撃の全体像を従来よりも迅速かつ正確に把握できます。中には、復旧方法をガイドしてくれるソリューションも存在します。このようなソリューションを活用して、イベント分析に要する時間を従来の数時間~数日から数分程度に短縮し、攻撃の把握と対応の実施を効率化します。

ランサムウェア被害は増加する一方であり、ファイルやデータ、システムの被害を未然に防ぐための対策は必要不可欠となっています。それと同時に、感染拡大を素早く封じ込め、攻撃の全体像を把握するツールの導入も欠かせません。包括的な分析作業があってこそ、効果的かつ効率的な対応で攻撃の影響範囲を最小限に抑え、暗号化されたファイルの復旧を模索し、身代金の支払いを回避することが可能となります。