NISC（内閣サイバーセキュリティセンター）から、『ランサムウェアによるサイバー攻撃について（注意喚起）』^※が公開されました。※NISC：ランサムウェアによるサイバー攻撃について（PDF）

本注意喚起には、最近のラインサムウェアの特徴のほか、予防策や感染した場合の緩和策、対応策が示されていますのでランサムウェアによるサイバー攻撃に対するセキュリティ対策の検討、実施をお願いします。

（以下は、同注意喚起に一例として示された４つの対応策を抜粋したものです。）

１　ランサムウェアの感染を予防するための対応策（予防）

ランサムウエアの感染を防止する観点から、組織のネットワークと外部との接続点の堅牢性について確認のうえ、対策が必要です。

• インターネットからアクセス可能な機器について、インターネット公開の必要性を確認する。インターネットからアクセスする必要がある機器については、セキュリティパッチを迅速に適用する、不要なポートやプロトコルを外部に開放しない等の対策を講じているか確認する。
• リモートアクセス環境を構成する製品に対する迅速なアップデートや適切な設定が行われているか確認する。特に、Virtual Private Network（VPN）機器の脆弱性等を利用し、組織に侵入する事例が多く確認されていることから、VPN 機器に対するセキュリティ対策の重要性を強く認識し、迅速なセキュリティパッチの適用、VPN 機器やクラウドサービスに対する多要素認証の導入の検討等について、十分留意する。
• 自組織で使用している PC やサーバー等の OS、アプリケーション等が常に最新化されているか確認する。特に、ドメインコントローラーの深刻な脆弱性（CVE-2020-1472）[通称：Zerologon]を悪用し、組織内で侵害範囲を拡大する事例が多く確認されていることから、本脆弱性への対応については、特に留意する。
• 必要な機器にウイルス対策ソフトが導入され、パターンファイルが最新化されているか確認する。また、定期的にスキャンが実行される設定になっているか確認する。

２　ランサムウェアによるデータの暗号化に備えた対応策（予防）

従来のランサムウエア対策の常套手段であったバックアップは、引き続き有効です。しかし、2 重脅迫ランサムウエアに感染した場合は、組織の機微データ、個人情報が流出する懸念があることから、「機微データの厳格管理」については、改めて検討する必要があります。

• 重要なデータに対する定期的なバックアップの設定を確認する。バックアップの検討に当たっては、ランサムウエア感染時でもバックアップが保護されるように留意する。例えば、バックアップをオフラインで保管する、クラウド上や外部のストレージ上に重要なデータをコピーし、コピーしたデータは保護対象のネットワークからアクセスできないようにする等の対策を講じる。
• バックアップで取得したデータをもとに、実際に復旧できることを確認する。
• 公開された場合、業務に支障が生じるような機微データや個人情報等に対して、特別なアクセス制御や暗号化を実施する。
• システムの再構築を含む復旧計画が適切に策定できているか確認する。

３　不正アクセスを迅速に検知するための対応策（検知）

不正アクセスを迅速に検知するための対応策が必要です。迅速な検知を実現するためには、オペレーターとマシンによる自動化を検討する必要があります。

• サーバー、ネットワーク機器、PC 等のログの監視を強化する。
• 振る舞い検知、EDR(Endpoint Detection and Response)、CDM(Continuous Diagnostics and Mitigation)等を活用する。

４　迅速にインシデント対応を行うための対応策（対応・復旧）

ランサムウエアによる攻撃の被害を受けた場合でも、冷静で適切な対応ができるように、組織一丸となった対処態勢を構築する必要があります。

• データの暗号化及び公開を想定した対処態勢、対処方法、業務継続計画等を含むランサムウエアへの対応計画が適切に策定できているか確認する。
• 自組織に携わる職員がランサムウエア感染の兆候を把握した場合、職員が迅速にシステム管理者に連絡できるか確認する。

【関連リンク】

• NISC（内閣府サイバーセキュリティ対策本部）
• IPA：事業継続を脅かす新たなランサムウェア攻撃について

【ガイドブック】

• 全般的な脅威と対策は ⇒ ガイドブックTOP
• 相談先クイックリスト
  • ⇒ もしかしてサイバー攻撃？ 緊急時には、ここに連絡を！
  • ⇒ やられる前に、しっかり予防を！ ここに相談！
  • ⇒ セキュリティお役立ちリンク集！