ランサムウェアに被弾……その時、絶対にやってはいけない行動とは

ランサムウェア被害に遭った際、コミュニケーションを諦めてしまったり準備不足だったりした場合、企業をより大きな危険にさらすこととなる。パニックを避けるために必要な対策や、被害の全容が分かる前に公表すべき内容とは。

[Matt Kapko，Cybersecurity Dive]

　組織は、一般的にサイバー攻撃に備えて準備態勢を整えるため、サイバー演習を実施するが、「技術的な対策のみ」に終始する場合もしばしばある。誰もが攻撃を受けている今、攻撃を避けることは難しい。どのように対応するのかが大きな違いを生むことになる。

　CrowdStrikeの共同設立者で、米国の非営利団体Silverado Policy Acceleratorの執行議長を務めるドミトリ・アルペロビッチ（Dmitri Alperovitch）氏は、RSAカンファレンスで次のように述べた。

　「侵入されたり完全にシャットダウンしたりしたネットワークのオペレーション復旧はもちろん大切ですが、企業はさらに重要な次のステップを怠りがちです。被害に遭った場合、冷静さを保ち直観よりもベストプラクティスを信じて交渉に参加し、攻撃を迅速に公表することが重要です」（アルペロビッチ氏）

　アルペロビッチ氏はさらにこう続ける。「コミュニケーションは、サイバー演習で最も重要です。私がこれまで見てきた中で、サイバー攻撃への対応がうまくいかない組織の多くは、人々の攻撃に対する準備が十分にできていませんでした」。

被害に遭った時にやるべきことと避けるべき行動

　ランサムウェア攻撃を受けた際に、より良い対応を施し、尊敬を集める企業には「透明性」がある。そういった組織は「攻撃中に何が起き、どのような対応を取ったのか」を逐一共有しているという。

　米国家サイバー局長であるクリス・イングリス（Chris Inglis）氏は、同カンファレンスで、「攻撃に対する組織の回復力は、2〜3回の警報が鳴っている火災や、すでに深刻と考えられるインシデントの拡大を抑えることに基づいている」と述べた。

　組織ができる最善策は、迅速に対応することだ。「私たちは、いまだ実現できていないような、本質的に回復力のある、堅牢な組織を目指したい」（イングリス氏）。

　そのためには、政府や組織、サプライチェーンの各関係者は、それぞれサイバー上の役割と責任を評価し、特定する必要がある。サイバー攻撃者は今日、組織の責任の所在が不明確だったり、セキュリティ体制が自己満足だったりした場合、これを効果的に利用して攻撃をする。

　ランサムウェアの攻撃は避けられないため、ランサムウェアの侵入がどのようにして発生したかにかかわらず、被害組織が取るべき対応策もある。

　アルペロビッチ氏は対応策として「パニックにならないこと」を挙げる。交渉は被害状況を把握するための時間稼ぎとなるため、インシデントが発生した時に備えて定期的に演習し、迅速に対応できるチームと交渉担当者を準備しておく必要がある。

　また、アルペロビッチ氏は「被害に遭った時のためにプレスリリースを事前に作成し、法務部の承認を得て、迅速に配信できるようにする」よう企業に助言する。発生した問題の程度を数日間把握できない場合もあるが、先んじて問題を知らせることで、被害が広範にが及ぶことを抑えられる。

絶対にやってはいけない「取りあえず身代金支払い」

　「多くの企業は、マルウェアがネットワークに及ぼした影響や被害の全容を十分に理解する前に、身代金の支払いを急いでしまいます」（アルペロビッチ氏）。CIO（Chief Information Officer）やCISO（Chief Information Security Officer）が、最初の攻撃からどの程度で回復できるかを明確に言えない場合、この状況はさらに悪化する可能性がある。

　時には、経営陣にとって比較的単純な判断になることも。アルベロビッチ氏は、「彼らは、『数百万ドルなら、取りあえず払っておこう』と言うだけです」と述べる。MandiantのEVP兼グローバル・インテリジェンス部長であるサンドラ・ジョイス（Sandra Joyce）氏は、アルペロビッチ氏とのグローバル脅威に関するブリーフィングで、「それはダメだ」と否定した。

　「支払う時点で、どんな攻撃者にお金を渡しているのか分かりません。攻撃者グループの多くは、自国の政権や違法な計画に資金を提供しようとしています。取りあえず、で身代金を払うということは、道徳的に許されないことに資金を提供することと同じです」（ジョイス氏）

出典：How and why ransomware responses go haywire（Cybersecurity Dive）