機能するランサムウェア対応プレイブックの作り方

ランサムウェア攻撃は組織を引き続き苦しめており、二重・多重恐喝といった手口や、より洗練された攻撃を生み出すための人工知能の利用、そしてRaaS（ランサムウェア・アズ・ア・サービス）モデルの拡大によって、ますます高度化しています。

CISOやCSOは、こうした攻撃に対する防御力を高めるため、組織向けのプレイブック作成を優先事項にする必要があります。

ランサムウェアが依然として大きなサイバーセキュリティ脅威であることは明らかです。セキュリティ企業CrowdStrikeは、新たに発表した「State of Ransomware Survey」で、サイバー犯罪者が「攻撃チェーン全体でAIを活用し、侵入、暗号化、恐喝を加速させている」ため、ランサムウェアへの備えが遅れていると指摘しています。

世界のITおよびサイバーセキュリティの意思決定者1,100人を対象としたグローバル調査に基づくこのレポートでは、組織の76%がAI支援攻撃のスピードと高度さに追いつくのに苦戦していることが示されています。回答者の約半数は、AIを活用した攻撃チェーンが現在最大のランサムウェア脅威だと挙げており、85%は従来型の検知がAI強化攻撃に対して時代遅れになりつつあると答えています。

「ランサムウェアに関して言えば、多くの企業はいまだに、被害に遭うまでは遠い脅威として扱っています。そうしていざ当たると、混乱です」と、セキュリティ企業TrustNetのCISOであるTrevor Horwitz氏は言います。「良いランサムウェア・プレイブックは単なる文書ではありません。筋肉記憶です。実戦と同じように訓練しなければなりません。」

効果的なランサムウェア対策のために検討すべき主要要素を以下に示します。

計画とテーブルトップ演習：備えは実践から始まる

ランサムウェアの脅威にどう対処するかについて一貫した計画を持たない組織は、トラブルを招いているようなものです。ツール、プロセス、人を包含する全体戦略を計画することは、事業継続を維持し、金銭的損失を最小化するうえで不可欠です。

計画がない場合、企業は攻撃に対して場当たり的で非効率な対応を開始してしまうリスクがあり、その結果、データ損失、長時間のシステム停止、コンプライアンス上の問題、ブランドや評判の毀損につながりかねません。

計画プロセスの重要な要素の一つは、チームが実際のランサムウェア攻撃の最中にどのように行動するかを模擬するために、サイバーセキュリティのテーブルトップ演習を実施することです。これにより、意思決定、コミュニケーション、明確な役割分担の確立に焦点を当てつつ、リスクのない環境でインシデント対応計画をテストし、改善できます。

「テーブルトップ演習こそ、すべての出発点です」とHorwitz氏は言います。「経営陣が部屋に集まり、模擬ランサムウェア攻撃を通して検討したことがないなら、まずそこから始めてください。実際の侵害の最中に、身代金を支払う権限が誰にあるのか、あるいは公的声明を出すのは誰かを考えている余裕はありません。法務、IT、（広報・コミュニケーション）がどれだけ速く連携できるかを把握しておきたいのです。プレッシャーは強烈で、判断は次々と迫られます。だからプレイブックは、棚に置かれるだけではなく、その判断を導くものであるべきです。」

こうした演習により、「役割、封じ込めプロセス、フォレンジック収集手順、コミュニケーション用テンプレートを定義した、ランサムウェア特化のインシデント対応プレイブックを作成し、維持できる」と、テクノロジーコンサルティング企業ResultantのシニアセキュリティコンサルタントであるJohn Otte氏は述べています。

「少なくとも年1回、法務、広報、IT、経営層の関係者を交えた現実的なテーブルトップ演習を実施し、意思決定をテストすべきです」とOtte氏は言います。

テーブルトップ演習は、単なる技術的障害ではなく、実際の事業中断シナリオを模擬する必要があると、セキュリティ企業BedrockのCSOであり、調査・アドバイザリー企業IANS Researchの講師でもあるGeorge Gerchow氏は言います。「効果的なランサムウェアへの備えは、パニックではなく実践から始まります」と同氏は述べます。「最も価値のあるセッションには、運用、法務、財務、人事、広報のリーダーが含まれます。これらのチームは、プレッシャー下で最も難しい判断に直面するからです。」

人員配置、スキル、トレーニング

多くの組織ではサイバーセキュリティの専門家が不足しており、チームの増員が課題となり続けています。これはランサムウェア戦略にとって問題になり得ます。企業は、インシデント検知と予防、インシデント対応、ファイアウォール設定など、さまざまな分野のスキルを備えておく必要があります。

また、ランサムウェア攻撃の予防に役立つ方法について、全従業員を訓練する体制も必要です。これには、フィッシングメール、不審なリンク、疑わしい添付ファイルといった脅威を認識し、対処し、報告する方法を教えることが含まれます。

「人員面では、何をしているのか分かっている人材が必要です」とHorwitz氏は言います。「サイバーセキュリティ担当者だけでなく、法務、PR、経営層にまたがる人材が必要です。そして単なる人数ではありません。備えが必要です。指名されたインシデントコマンダー。フォレンジックのスキルを持つ人。事業リスクを理解し、いつエスカレーションすべきか分かる人。」

組織は人への投資より先にツールへ投資しがちですが、それは順序が逆だとGerchow氏は言います。「レジリエンスは、従業員が何をすべきかだけでなく、なぜそれが重要なのかを理解する、部門横断の備えに依存します」と同氏は述べています。

企業は、ソーシャルエンジニアリングや悪意ある添付ファイルなど現実的な脅威を題材に、経営層、ITチーム、財務など、役割に応じたセキュリティトレーニングを実施する必要があります。

事業リーダーは、サイバーセキュリティリスクを事業継続や評判と結び付ける継続的なトレーニングを促すべきだとGerchow氏は言います。「ヘルプデスクから役員会まで、誰もが運用の健全性を維持するうえで自分の役割を理解する文化を築くことが重要です」と同氏は述べます。「定期的な啓発プログラム、役割別の対応訓練、経営層向けブリーフィングは、技術的リスクをビジネスの言葉に翻訳する助けになります。」

予防のステップ

企業は、ランサムウェア攻撃からの防御と、インシデント後の復旧の双方に向けて、幅広い技術ソリューションに投資できます。ランサムウェアの予防には、定期的なソフトウェア更新とパッチ適用、効果的なデータおよびシステムのバックアップ、そしてファイアウォール、多要素認証（MFA）、アンチウイルスソフトなどのサイバーセキュリティツールを含む、多層的なアプローチが必要です。

パッチ管理と脆弱性の修復は、ランサムウェア防御において極めて重要な要素です。というのも、ランサムウェア攻撃者はしばしばセキュリティ上の欠陥を悪用し、しかもそれがセキュリティデバイスそのものにおいて増加しているためです。これら両分野に対処することで、企業はランサムウェアの脅威に対して先回りして防御できます。

「悪用可能な露出を最小限に抑える、優先順位付けされ追跡可能なパッチ適用プログラムを維持してください」とOtte氏は言います。「パッチの自動展開に、高リスクシステムの人手による検証を組み合わせ、定期的にスキャンを実行して、逸脱や未適用パッチを特定します。」

エンドポイント検知・対応（EDR）、アンチウイルス（AV）ソフト、メールセキュリティとフィッシング対策、そしてIDおよびアクセス管理／MFAも、ランサムウェア戦略の重要な要素だとOtte氏は述べています。「シグネチャ型AVだけに頼るのではなく、振る舞いベースの検知、ロールバック、隔離機能を備えた最新のEDRを使用してください」と同氏は助言します。

ランサムウェア攻撃者が任務を遂行する主な手段の一つはメールです。「ITセキュリティの観点から見ると、攻撃ベクターの第1位はメールシステムです」と、データ消去およびモバイルライフサイクル診断製品の提供企業BlanccoのCTOであるRuss Ernst氏は言います。「メールセキュリティのベストプラクティスは、組織全体で実装しなければなりません。」

メールセキュリティには、一般的なランサムウェアの侵入手段を防ぐ高度なフィッシングフィルターが含まれ得るとOtte氏は言います。高度なアクセス管理は脅威の最小化に役立ちます。

「可能な限りどこでもMFAを実装してください。特に特権アカウントとリモートアクセスでは必須です。また、最小権限の原則を実装し、攻撃者が横展開する機会を制限してください」とOtte氏は言います。「管理者資格情報は中央管理されたシークレットストア内で保護し、定期的にローテーションし、共有のローカル管理者アカウントを持たないようにします。権限昇格の前には必ずMFAを要求してください。異常な資格情報の使用を追跡し、特権資格情報を用いたブルートフォースや横展開に対する検知を適用します。

企業がランサムウェア攻撃を受けた場合、被害を最小化するため、できるだけ早く復旧・是正モードに移行する必要があります。これには、システムとデータの復旧に加え、従業員、顧客、企業ブランドに影響するあらゆる損害の修復が含まれます。

「システム復元の順序を優先順位付けした包括的な復旧プレイブックと、顧客、規制当局、法執行機関を対象とする対外コミュニケーション戦略を作成してください」とOtte氏は言います。「法務顧問、サイバー保険の連絡窓口、フォレンジック対応者を事前に関与させ、情報に基づいたタイムリーで、通知要件に適合した判断を下せるようにします。」

ランサムウェア攻撃が起きたとき、「是正は迅速である必要がありますが、同時に正確でなければなりません」とHorwitz氏は言います。「直ちにシステムを隔離しなければならない。拡散を止める。マルウェアの通信経路を遮断する。フォレンジックを投入して、どう侵入されたのかを突き止める。侵入経路を理解できなければ、バックアップから復元しても脅威を再び持ち込むだけになりかねません。」

企業はバックアップを使用する前に検証する必要があるとHorwitz氏は言います。「一見きれいなデータを復元したものの、マルウェアが何週間も休眠していたことが判明した企業を見てきました」と同氏は述べています。

また、定期的なバックアッププロセスが確立されていることを確実にする必要があるとErnst氏は言います。「データを定期的にバックアップし、これらのバックアップを定期的にテストすることが重要です」と同氏は述べます。「オフライン環境で定期的にバックアップされたデータは、直接的なランサムウェア攻撃の影響を受けません。」

この保存データへのアクセスはダウンタイムの最小化に役立つとErnst氏は言います。「バックアップは、身代金を支払って暗号化キーを入手したものの、データが破損して使用不能になっていた場合でも、インフラを再構築する助けになります。組織がバックアップから再構築するのにどれくらい時間がかかるかを理解していれば、ランサムウェア攻撃による推定ダウンタイムを推測できます」と同氏は述べています。

身代金の支払いについてランサムウェア集団との交渉を検討する可能性がある組織は、最新の助言と戦術を常に把握しておくことも必要です。

復旧プロセスは技術面だけではないとHorwitz氏は言います。評判の問題でもあります。「顧客の信頼が揺らいだなら、それを迅速に再構築しなければなりません」と同氏は述べます。「つまり、明確にコミュニケーションし、起きたことを受け止め、何をしているのかを説明することです。法執行機関への通知が必要です。規制当局にも。そして、その攻撃から得られた教訓は、プレイブックに必ず反映させなければなりません。何がうまくいったのか？何がうまくいかなかったのか？チームはどこで固まったのか？そのフィードバックループこそが、プログラムを強化します。」

効果的な社内外のランサムウェア・コミュニケーション計画を持つことは不可欠です。「ランサムウェア攻撃のコミュニケーション戦略は、セキュリティ侵害に関する組織の一般的な会社プレイブックの一部であるべきです」とErnst氏は言います。「誰に通知しなければならないのか――従業員、顧客、投資家、その他の利害関係者――に加え、どのように、いつ通知するのか、コミュニケーションで何を伝えるのか、そして誰が伝えるのかを明確に定めるべきです。」