会社がランサムウェアに見舞われた場合の対処方法
ランサムウェアは非常に収益性の高いサイバー犯罪であり、独自の変化とトレンドを備えた完全に自立した業界になりました。たとえば、数年前、ランサムウェアの開発者とオペレーターは主にホームユーザーに関心がありました。パーソナルコンピュータへの攻撃は安価であり、いくつかの巧妙なソーシャルエンジニアリング手法により、成功率が悪くないことが保証されました。一方、人々のバックアップ文化は正確ではありませんでした。つまり、多くの人にとって、データを回復する唯一の選択肢は身代金を支払うことでした。しかし、その後、状況は変わり始めました。
Table of Contents
ランサムウェアオペレーターは、ホームユーザーから企業や大規模組織に移行しました
2017年には、WannaCryとNotPetyaの大規模なランサムウェアの大発生が2回発生し、多くの知名度を得ました。彼らは特にホームユーザーを対象としていませんでしたが、ホームユーザーはニュースでそれらを見て、徐々に脅威に慣れてきました。彼らは、バックアップがいかに重要であるかを認識し、ランサムウェア攻撃に対処するための準備を改善しました。
公平を期すと、サイバー犯罪者は収入明細を共有することに特に熱心ではありませんが、ここ数年、自宅のPCでのランサムウェア感染が減少傾向にあるという事実は、ハッカーに陥りがちなエンドユーザーが少ないことを示唆しています要求。ただし、これはランサムウェアビジネスが縮小しているという意味ではありません。
ある時点で、ランサムウェアオペレーターは、個々のユーザーではなく組織を攻撃する余分な労力に価値があることに気付きました。民間企業でのランサムウェアのアウトブレイクは特に損害を与える可能性があります。そのため、人々は自宅にいるときだけでなくオフィスにいるときでも脅威に対処する方法を学ぶ必要があります。
ランサムウェアの感染はあなたの会社にどのように影響しますか?
純粋に技術的な観点から見ると、ランサムウェア攻撃は、データ損失とダウンタイムという2つの大きな問題を抱えています。
データをロックすることは、より明らかな問題です。ランサムウェア感染が成功すると、企業秘密、製品固有の情報、顧客の詳細を暗号化できます。この種のデータが失われると、会社が消滅する可能性があります。つまり、ハッカーの要求を順守し、身代金を支払うことを検討したくなるかもしれません。ただし、その場合でも、すべての情報が感染前の状態に戻るという保証はありません。ただし、これが唯一の問題ではありません。
本質的に、ランサムウェア感染はかなりうるさいです。攻撃の間違った終わりに気付いた場合、何が起こっているのかを知ることができ、顧客は何かがすぐに間違っていることを知るでしょう。ランサムウェアの感染は、企業の運営を完全に中断させ、ユーザーへのサービス提供を停止させる可能性があります。必然的に、問題の原因が公開され、ユーザーの不確実性の種が植え付けられます。ユーザーは、会社がデータのセキュリティを特に気にかけていないと想定します。これが意味することは、状況に可能な限り迅速かつ効率的に対処することが非常に重要であることです。
ランサムウェア攻撃が成功した場合、会社はどのように対応する必要がありますか?
ご覧のとおり、データ損失の防止とダウンタイムの最小化という2つの主な考慮事項があります。ランサムウェアに見舞われた会社に勤務している場合、攻撃からの回復にかかる時間をできるだけ短くする必要がありますが、置く前にすべてのファイルが必要な場所にあることを再確認する必要があります会社は運用モードに戻ります。これはストレスの多いプロセスであり、多くの集中力と責任ある全員の協調的な努力が必要です。
マルウェアがシステムに侵入した場合、その拡散を阻止することが最優先事項です。従業員からの奇妙な行動の報告を過小評価しないでください。また、ランサムウェアで攻撃されたコンピューターが1台だけであることがわかった場合は、それに接続されている可能性のある会社のITインフラストラクチャのネットワークケーブルが抜かれていることを確認してください。最近のランサムウェアファミリには、攻撃を迅速に拡散できるワームのようなコンポーネントが付属しています。ハッカーは、より高い身代金を要求するという考えで、できるだけ多くのエンドポイントをロックしたいと考えています。暗号化されたPCの数が多いほど、すべてをオンラインに戻す時間も長くなります。
優先度リストでは、ダウンタイムを最小限に抑えることが重要であると既に述べました。そうは言っても、プロセスを急ぐべきではありません。すべての電源を入れる前に、ランサムウェアのすべてのトレースが削除されていることを確認する必要があります。また、すべてが動作するかどうかを確認する必要があります。さらに遅延しても顧客を満足させることはできませんが、あなたがビジネスに戻ってより多くの問題に直面していることを伝えると、顧客は以前よりも動揺します。
そういえば、ユーザーに実際に何が起こったのかを気にさせたくない場合は、攻撃について可能な限り透明にするようにしてください。ハッカーがどのように侵入したのか、それらを阻止するために何をしたのか、そして将来の攻撃を防ぐために何をしようとしているのかを伝えます。攻撃がどのように彼らと彼らが支払ったサービスに影響するかをユーザーに伝えてください。一部の企業はこれは良い戦略であると考えているように見えますが、通常、問題を軽視することは逆効果であり、攻撃自体よりも評判に大きなダメージを与えます。
考えなければならないことがたくさんあります。たとえ本ですべてをやっても、結果はまだかなり恐ろしいものです。たとえば、2018年7月に、世界最大の研究所ネットワークの1つであるLabCorpがSamSamランサムウェアに見舞われました 。 ITチームはマルウェアを封じ込めるために迅速に移動しましたが、SamSamは約7000のエンドポイントと約2,000のサーバーに感染しました。
最近では、外貨両替Travelex が Sodinokibi(別名REvil)ランサムウェアに攻撃され、2週間以上にわたって従業員は仕事をするためにペンや紙を使わざるを得ませんでした。
ランサムウェア攻撃は、特に大規模な組織を標的にしている場合、あらゆる種類の問題を引き起こす可能性があります。決まり文句に陥る危険性があるため、この種の脅威と戦うには、積極的な予防策を講じることが最善の戦略であると言えます。
ランサムウェア攻撃の成功を防ぐにはどうすればよいですか?
従業員のコンピューターにウイルス対策プログラムをインストールし、ハードドライブをバックアップするだけでは十分ではありません。繰り返しますが、私たちは多くの落とし穴がある複雑なプロセスについて話しています。ランサムウェアビジネスの健全な状態は、企業が常にミスを犯していることを明確に示しています。
ITシステム全体がセキュリティパッチを受け取っていない古代のソフトウェアに基づいている場合、単純なセキュリティ製品では時間を節約できません。セキュリティ更新プログラムがどれほど重要であるかを国連が学んだことは他にありません。また、会社全体のネットワークを維持する責任がある場合、セキュリティの脆弱性が知られているソフトウェアを実行する言い訳はありません。
不十分に構成されたネットワークにも言い訳はありません。現在、組織を標的とするランサムウェアファミリの多くは、不注意なシステム管理者によって開かれたままになっているセキュリティで保護されていないネットワークプロトコルを介して伝播します。また、デフォルトのパスワードは、ランサムウェアのインシデントに関する多くのレポートの頻繁なハイライトであり、スパムメールのソーシャルエンジニアリングがハッカーの武器の唯一の武器ではないことを示しています。そうは言っても、予期しないメッセージでランダムなリンクや添付ファイルをクリックしないように従業員を訓練することは、常に良い考えです。
おわかりのように、すでに多くのタスクがあり、データのバックアップの問題については触れていません。
すべての企業は堅実なバックアップ戦略を立てる必要があり、その作成は思ったほど簡単ではありません。データの使用方法に応じて、バックアップの頻度を考える必要がありますが、おそらくもっと重要なのは、バックアップを作成する実際のメカニズムを考える必要があることです。
理想的には、3-2-1ルールに従い、データの3つのコピーを2つの異なる場所に保管し、そのうちの1つをオフサイトに置く必要があると定めています。この戦略に固執できない場合は、バックアップが機能することを確認するためにバックアップを定期的にテストする必要があります。また、バックアップを他のITシステムから切り離しておく必要があります。そうすれば、潜在的なランサムウェア攻撃がデータのコピーに影響を及ぼすことはありません。
これらはあなたが考慮する必要があるもののほんの一部であり、あなたが働いている会社のビジネスによっては、心に留めておく必要があるかもしれない他の多くの要因があるかもしれません。全体として、ランサムウェア攻撃から企業を保護しようとすることは、すでにヒットした後の混乱を一掃することよりもはるかに苦痛です。しかし、被害がどれほど壊滅的であるかを考えると、その努力は価値があります。