こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
仮設機材の販売やレンタルを行う東証プライム上場企業の株式会社タカミヤは1月23日、同社グループへのランサムウェア攻撃について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ランサムウェア攻撃によって、ファイルが暗号化されるなどの被害が発生したということです。ランサムウェア感染被害が確認された後に実施する対策について説明します。
今回のインシデントでは、業務システムへのアクセス障害を確認したため調査を行ったところ、社内サーバに保存されていたファイルが暗号化されるなどの被害が発生していました。原因として、同社グループのサーバに対する第三者からの不正アクセスとランサムウェア感染が挙げられています。
対策として、被害拡大防止措置を講じるとともに対策本部を設置、業務遂行における支障を生じさせない最低限の業務システムの復旧作業を開始し、大阪府警担当課と会議を行っています。再発防止策として、外部専門機関によるデジタルフォレンジック調査等を進め、漏えいした情報の項目・件数や侵入経路、被害範囲等を調査するとともに、外部専門機関を起用したダークウェブ調査も継続するということです。
ランサムウェア感染被害が確認されたら、まず感染した端末の隔離を行い、その後ランサムウェアの解析と暗号化されたデータの復元を試みます。
仮に、皆さんも体調不良になった際は、まずは不要に出歩かないなどして、他人にうつさないよう気を付けるのではないでしょうか。その後、病院へ行って症状を見てもらい、処方してもらった薬で回復を待つことになります。
ランサムウェアも同様で、まずは他のシステムへ感染を広げないために、ランサムウェアの被害にあったパソコンを隔離することが必要です。端末を隔離するためには、ネットワークから遮断したり、USBを含む接続されているデバイスを切断したりしましょう。
その後、ランサムウェアを解析することで、その種類を特定します。ランサムウェアに暗号化されたファイルや身代金を要求するメッセージなどをアップロードすると、自動で解析してくれるWebサイトがあります。もし、自動では解析できなかったり、安全に解析ができる自信がなければ、セキュリティ専門家に依頼することも検討しましょう。
そして、既知のランサムウェアであればデータを復元することができる可能性もあります。ここで重要なポイントとして、データを復元するために身代金の支払いに応じることは推奨できません。理由として、身代金を支払ってもデータを復元できる保証はありませんし、仮に復元できたとしても、身代金を支払う組織であることを攻撃者に認識させたり、攻撃者が別の攻撃を行うための資金源になってしまったりする可能性があるからです。
ダークウェブとは、特別な環境や方法を使わないとアクセスできず、検索エンジンでは直接見つけることができない対策をしているWebサイトです。漏洩したクレジットカード情報の売買をする際にアクセス元の追跡を回避するなど、匿名性を高めることを目的としています。
ランサムウェア攻撃が行われる理由として、金銭の窃取が具体的に期待できる点が挙げられます。直接的な金銭の窃取方法としては、身代金の要求が挙げられますが、その他にも、ランサムウェアによって入手した情報の売買が挙げられます。
これらがすべて違法行為であることは言うまでもありませんが、攻撃者は足がつかないようにするための手段として、ダークウェブを利用しています。また、身代金や情報の売買によって発生する金銭についても法定通貨ではなく、匿名性の高い暗号資産が用いられている点も、ダークウェブと暗号資産の親和性が高い理由の一つとして挙げられています。
今回は、ランサムウェア感染被害が確認された後に実施する対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
