米政府お墨付きのランサムウェア対策法 事前に何をするべきなのか

ランサムウェア攻撃の手法が変化していることに対応するため、米国政府は3年ぶりに対策ガイドの新版を公開した。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年5月24日（現地時間）、2020年以来初めてランサムウェアの対策ガイド「#StopRansomware Guide」の更新版を公開した（注1）。PDF形式でダウンロードできる。

攻撃の変化に合わせた最新版を入手できる

　29ページから成る新版のダウンロード先はこのWebページだ。英語版とスペイン語版がある。

　CISAはFBIや米国家安全保障局（NSA）、複数の州における情報共有分析センター（MS-ISAC）と連携したランサムウェア合同対策本部を通じて対策ガイドを作成した。過去数年間に学んだ教訓を反映し、FBIとNSAを初めて共著者として加えた。ガイドには初期侵入を防ぐための推奨事項や、クラウドバックアップを使用してデータを保護するための手順が示されている。

何も知らない攻撃者がRaaSを使って攻めてくる

　CISAのエリック・ゴールドスタイン氏（エグゼクティブ・アシスタントディレクター）は「過去1年間、ランサムウェア合同対策本部は、米国の組織を標的としたランサムウェアキャンペーンをより効果的に理解して対処するために、連邦政府とパートナー企業の専門知識や能力、リソースを結集してきた」と述べた。

　ゴールドスタイン氏は、ランサムウェアによるインシデントの広がりと影響を軽減するために、各機関がガイドを更新したと語る。

　MS-ISACのセオドア・セイヤーズ氏（インテリジェンスおよびインシデントレスポンスを担当するディレクター）によると、多くの重要な変化が起きたため、攻撃者の参入障壁が低下し、ランサムウェアの活動が2020年時点から進化したのだという

　「サービスとしてのランサムウェアモデル（RaaS）を用いたランサムウェアの商業化は、洗練されていない攻撃者や技術レベルの低い攻撃者の参入を可能にした」（セイヤーズ氏）

　近年脅威となっている攻撃者によって実行された戦術的な変更についても、ガイドの新版は触れている。ランサムウェア攻撃における二重恐喝の使用が増えていることや（暗号化だけでなく機密）データが持ち出されるという戦術の変化だ。

防御策を考えるならガイドの指針に従おう

　ランサムウェア攻撃などに対応する主なベストプラクティスは次の通りだ。

・バックアップ　オフラインで暗号化された重要なデータのバックアップを保持する。災害復旧のシミュレーションで定期的にバックアップからのリストアをテストする。事前に設定されたOSや関連するアプリケーションを含む重要なシステムの「ゴールデンイメージ」をバックアップに含めるべきだ
・事前計画　ランサムウェアとデータ漏えいに対する基本的なサイバーインシデント対応計画を開発し、維持し、実践する。政府当局への開示通知を含むコミュニケーションプランも含まれるべきだ。

　ガイドにはランサムウェアやデータの恐喝を防止または軽減するための次のような対策も網羅されている。

・スキャン　定期的なスキャンを実施し、特にインターネットに接続されたデバイスの脆弱（ぜいじゃく）性を特定し対処する
・アップデート　ソフトウェアやOSのパッチ、アップデートを定期的に実行し、最新バージョンに更新する
・設定　オンプレミスやクラウドサービス、モバイル、持ち込みデバイスの全てが適切に設定され、セキュリティ機能が有効であることを確認する
・認証（1）　フィッシング攻撃に対抗しやすい多要素認証を導入する
・認証（2）　ログインに一定回数失敗した場合、ロックアウトポリシーを強制する

　今回のガイドでは、組織内のデータの流れについて詳細な情報を提供する「図解ガイド」の作成を提案した。インシデント対応担当者は、攻撃を受けた時にどのシステムに焦点を当てるべきかを図解ガイドを見て理解しやすくなる。

　また、ガイドには攻撃時に連絡しなければならない主要な連邦政府機関の電子メールアドレスや電話連絡先も掲載されている。

出典：CISA updates ransomware guide 3 years after its debut（Cybersecurity Dive）

注1：CISA and Partners Update the #StopRansomware Guide, Developed through the Joint Ransomware Task Force (JRTF)（CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY）