ランサムウェア攻撃を受けたとき、これをやってはいけない

万全の対策を施していても、ランサムウェア攻撃を受けて業務が停止する可能性が残る。いざそうなったとき、どうすればよいのか。専門家によれば「これ」をやってはいけないという。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃に遭ったとき、サイバーセキュリティの担当者に重圧がかかる。悪夢のような状況を平常の状態に戻さなければならないからだ。

　ランサムウェア攻撃を受けた場合、対応策が重要になる。対応策が不完全だと企業の財務状況はもちろん、評判や寿命も影響を受ける。

これをやってはいけない

　GuidePoint Securityのドリュー・シュミット氏（主席脅威情報アナリスト）ははじめにすべきことを以下のように語る。

　「ほとんどの組織で最初に起こる反射的反応はパニックに陥ることだが、それは当然だ。実際にランサムウェア攻撃が発生しているときに最も重要なのは、深呼吸をしてゆっくりと物事を進めることだ」（シュミット氏）

　ランサムウェア攻撃グループは被害者の心理を戦術的な優位性として利用する。焦って対応すると回復作業に手間取ってしまい、復旧までの時間が遅れる可能性がある。

　これまで何百件ものランサムウェアに対応してきたシュミット氏によれば、攻撃に対応する人員が危機感を持ちながらも冷静沈着に行動すれば、心理的要素を最小限に抑えられるという。

ランサムウェアに感染したとき、3つのヒントに従う

　被害組織と攻撃者の間の連絡役として交渉も担ってきたシュミット氏は、ランサムウェアに感染した組織に対して3つのヒントを紹介している。

（1）ゆっくり慌てずに行動する
（2）攻撃の証拠を保全する
（3）経験から学ぶ

　ランサムウェア攻撃を受けた場合、通常は全てのコンピュータをシャットダウンした後、OSなどを再インストールして、できるだけ早く問題を解決することが求められる。

　しかし、証拠が保全されていなければ、攻撃がどのように始まり、ネットワークを経由して最終的にランサムウェアによる被害に行き着いたのか、根本的な原因を分析することが不可能になるとシュミット氏は述べる。

　また、対応が素早過ぎる組織は、経験から学べない可能性がある。

　「ランサムウェアのシナリオが発生した場合、それは誰のせいでもない」（シュミット氏）

　それよりも重要なのは、組織がどのように前に進むかだ。経験から学ぶ上では、防御に開いていた穴（ギャップ）を特定し、その弱点を全社的に是正することによって企業のセキュリティ体制を改善し、さらなる攻撃を防止することが重要だ。

こんな企業は失敗する

　シュミット氏によれば、技術部門とビジネス部門の間に断絶がある場合はランサムウェアへの対応が失敗しやすい。

　一刻も早く業務を再開しようとして妥協すると、インシデント対応の調査が不十分になったり、きちんと復旧できなかったりする。つまり、適切な情報を見逃したり、システムの復旧が不適切になったりする可能性があるとシュミットは述べる。

　「企業のあらゆる部門がダイナミックにコミュニケーションを取ることで、組織内の誰もが進捗（しんちょく）状況を理解できる。そして、物事がゆっくり進んでいるように見えても、実際には可能な限り速く進み、最高の対応ができるのだ」（シュミット氏）

出典：A ransomware negotiator shares 3 tips for victim organizations（Cybersecurity Dive）