Takanory Blog

ITだったりそれ以外だったりを気ままに書いていきます

ランサムウェアに感染してしまった後の対応について考える

IT セキュリティ

ランサムウェア「WannaCrypt(WannaCry)」が世界中で被害をもたらしています。WannaCryptの詳細や対策方法については、すでに各所で述べられていますので、そちらに譲ります。JPCERTとMicrosoftの情報だけ貼っておきます。
ランサムウエア "WannaCrypt" に関する注意喚起
Customer Guidance for WannaCrypt attacks – MSRC

ランサムウェアに限らず、マルウェアの対策に関しては、アップデートの適用やバックアップなどの予防が最も重要であることは言うまでもありません。しかし、万が一、実際に感染してしまった場合にどうすべきか、なにができるのかについて考えてみます。

最重要ポイント

表示された電話番号やメールアドレスに連絡を取ったり、送金したりしないこと

最近のランサムウェアは平均300ドル前後という、払えてしまう金額を要求してくるようです。
しかし、払ったからといって、ファイルが正常に戻る保証はどこにもありません。さらに、一度払ってしまうと「カモ」と認識され、より重点的な攻撃対象としてロックオンされる可能性が高く、次はより高い金額を要求される可能性があります。*1

感染拡大を防ぐ対応

感染直後はとにかく感染拡大を防ぐことが再重要です。スピードが勝負です。

感染した機器をネットワークから隔離する
一般的なマルウェアと同じく、他の端末やサーバーへの感染拡大を防ぐためにネットワークから隔離することが重要です。

  • とにかくLANケーブルを抜く!

組織内で感染が発生したことを周知する
すでに他の機器へ感染が拡大している可能性があります。アウトブレイクへの発展を防ぐために、迅速に感染の発生を周知し、感染が疑われる機器がないか調査します。

  • 「やっべー!ウィルス感染した!」と叫ぶ
  • 管理者への通報
  • システム利用者への通知

予防的な隔離を検討する
より重要な機器やデータに関しては、予防的にネットワークから隔離することを検討してもよいと思います。特にオンラインのバックアップデータがある場合は、すぐに隔離するといいと思います。感染が及ぶ可能性や感染時のリスク、業務・システムへの影響レベルを考慮して判断します。

関係機関への通報・相談

可能であれば、管理者は関係機関への通報をおこないましょう。あなたの行動で他の組織やシステムが救われますし、ランサムウェアは犯罪です。また、後の復旧に向けた情報が得られたり、相談にも乗ってもらえるので、復旧作業と並行しておこないます。

復旧に向けた対応

感染の拡大を食い止めることができたら、復旧に入りましょう。

感染した機器の初期化
感染した機器は残念ですが初期化しましょう。被害を免れたファイルを外部メディアに退避したい気持ちはわかりますが、諦めるのが無難です。そのメディア経由で感染が再発することも考えられます。
また、Windowsの「システムの復元」や「PCを初期状態に戻す」は、ユーザーデータ領域(C:\Users以下など)は復元しないため、この部分に攻撃の糸口が残ってしまう可能性があるので注意です。

  • ハードディスクの初期化
  • OSの再インストール、リカバリメディアからの復旧
  • 各種アプリケーションの再インストー

バックアップからの復元
バックアップがあるという方、素敵です。地道な努力が報われます。でも、復元の前にかならず機器を初期化して、無害化しましょう。バックアップをマウントした瞬間に感染してしまっては目も当てられません。

  • バックアップソフトでのデータ復元
  • 外付けディスクからのデータ復元

No More Ransomeに頼る
バックアップがないという方、まだ諦めるのは早いです。
The No More Ransom Project
No More Ransomeは、オランダ警察やユーロポール、KasperskyIntelなどが取り組んでいるランサムウェア対策プロジェクトです。このプロジェクトで公開している「Crypt Sheriff」*2では、ランサムウェアの種類の特定と9種類の復号化ツールが提供されており、20種類以上のランサムウェアで暗号化されたファイルの復号化が可能です。

使い方は、こちらのページに紹介されています。
ランサムウェア対策について|一般財団法人日本サイバー犯罪対策センター


関係機関に頼る
新種のランサムウェアへの感染など、それでも復号化できない場合は、ダメ元で上記の関係機関に相談してみましょう。バックアップを取らなかった反省と謙虚な気持ちを忘れずに。

繰り返しますが、くれぐれもダメ元で攻撃者に送金などしないように。それが攻撃者の狙いです。

事後の対応

インシデント対応は再発防止までがインシデント対応です。悲劇を繰り返してはなりません。

感染経路の特定
どこからランサムウェアがやってきて、何をして感染したのか、どのように広がっていったのか調査します。

  • 感染した機器の利用者への聞き取り
  • 機器のログ調査
  • アップデート履歴の調査

再発防止策の検討
感染の原因がつかめたら、感染防止、拡大防止の対策を検討します。

再発防止策の実施
再発防止策が固まったら実施に移しましょう。PDCA

おわりに

ランサムウェアに感染した後の対応について、方法と関連情報をざっとまとめてみました。
不足や誤りなどについて、ご指摘いただけるとうれしいです。

参考にした情報

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
ランサムウェアに感染したときの対処方法 | サポート Q&A:トレンドマイクロ
ランサムウェアの駆除と Symantec Endpoint Protection での保護
ランサムウェア感染時の対処についての考察 – 日本のセキュリティチーム

*1:http://media.kaspersky.com/jp/pdf/pr/Kaspersky_KSB2016_Review-PR-1031.pdf

*2:「暗号化保安官」という日本語名が若干ダサい…。