ランサムウェアの被害者が行う情報開示のお手本:Volue社

DataLock

企業の運営に影響するランサムウェア攻撃が広範囲に発生しつづけているにもかかわらず、企業は攻撃があったことを公表するのではなく攻撃の事実を隠そうとしてしまいます。ここでは今後の情報開示の模範とすべき、ある企業の攻撃への対応を紹介します。

5月5日グリーンエネルギー技術を提供するVolue社は、同社の顧客向けプラットフォームの一部に影響を与えるRyukランサムウェア攻撃を受けました。

https://www.volue.com/urgent-updates

それ以来Volue社はウェブキャスト、毎日の最新情報、攻撃に関する質問に対するCEOとCFOのメールアドレスと電話番号を提供しサイバー攻撃について透明性を保ってきました。

2021年5月5日、VolueはVolue Technology(以下「Powel」)に影響を与えるサイバー攻撃を受けました。このランサムウェア攻撃は、一般的には公共機関の大規模なMicrosoft Windowsシステムを標的とすることで知られるマルウェアの一種であるRyukによって引き起こされました。この攻撃を受けてVolue社は直ちに「Stop & Recover」の行動を開始し、セキュリティパートナーや関連当局に向けて努力をしています。 このデイリーアップデートでは、製品、システム、社内プロセスの安全性を確認するためのプロセスをお客様にお知らせします。

ランサムウェア「Ryuk」は、Volue社のデータの一部を標的とし鍵を使って暗号化します。データ自体は感染していませんが、攻撃を受けると読めなくなります。Office 365と攻撃前にテナントに導入されていたセキュリティ機能により、攻撃者はVolueとPowelのテナント内のファイルに影響を与えることができませんでした。

そのため、Volue社の社員とお客様との間のファイル共有は安全であると判断しています。影響を受けたVolue社のワークステーションは、攻撃を受けた後に隔離されており、ファイルを消去するか、新しいワークステーションに交換するまで隔離され続けているため、どのような環境でもリスクはないと考えています。

お客様やパートナーの皆様には、ファイルの送信に注意を払い、受信者はファイルの送信者が実際にその人物と思われる人であることを確認することを常にお勧めしています。ただし、これは攻撃による感染の危険性に基づいたポリシーではなく、実在しない人物のふりをする行為者からのフィッシング攻撃の普及を減少させるための一般的なベストプラクティスです。

またVolue社は他の企業や法執行機関に警告するために、侵害の兆候をすべてノルウェーのComputer Emergency Response TeamであるKraftCertと共有しました。

Volue社の一連の透明性はランサムウェア攻撃で一般的に見られる情報開示とは全く対照的であり、今後の情報開示のモデルとして活用されるべきものです。

このような透明性はサイバーセキュリティの専門家にも認められており攻撃に対するVolue社の対応を評価する声が上がっています。

Volue社では、Ryukランサムウェアの被害が発生しましたが、計画的なメンテナンスのふりをしたりサイバー攻撃と言ったりするのではなく、何が起きているのか、復旧までの道のり、そしてCEOの電話番号を説明するウェブサイトを立ち上げています。

多くの人はVolue社の透明性を2019年のLockerGogaランサムウェア攻撃への対応で尊敬を集めた同じノルウェー企業のNorsk Hydro社の透明性と比較しています。

透明性は悪いものではなく良いもの

透明性は顧客や従業員を保護し、企業への信頼を高め法執行機関を助けるものですが、残念ながら透明性を選択する企業はほとんどありません。

むしろ、ほとんどのランサムウェアの被害者は風評被害や法的被害が出ることを恐れて、まず攻撃を隠そうとします。

最終的には、マルウェアのサンプルやメモが見つかったりランサムウェアグループが攻撃中に盗んだデータを公開したりすることで攻撃の真相が明らかになることが多いです。

侵入されたある企業の従業員は、ランサムウェアグループがファイルを公開するまで企業は攻撃の事実やデータが盗難されたことを否定していたとのことです。

最初から透明性を確保しないことで顧客、従業員、ビジネスパートナーは何が盗まれたのかについて十分な警告を受けることができず、より大きなリスクを負うことになります。

また透明性を確保することで企業は法執行機関の捜査に協力することができ、さらなる攻撃を防ぐことができます。

最終的に透明性を確保することで従業員、顧客、投資家に対して企業が攻撃に対して正しく対応しており何も心配する必要はないという信頼を与えることができます。

FBI、ランサムウェア攻撃を報告するよう企業に要請

FBIはランサムウェアに関する最新のIOC(感染の兆候)を常に把握するため、被害者にランサムウェア攻撃の報告を促しています。

https://www.ic3.gov/Media/Y2016/PSA160915

法執行機関への報告事項は以下の通り

FBIは、ランサムウェアの被害者は最寄りのFBIオフィスに連絡するか、インターネット犯罪苦情処理センター(www.IC3.gov)に以下のランサムウェア感染の詳細を報告するよう求めています。

  • 感染した日付
  • ランサムウェアの種類(ランサムページまたは暗号化されたファイルの拡張子で特定されるもの)
  • 被害者の会社情報(業種、事業規模など)
  • 感染経路(電子メールのリンク、インターネットの閲覧など)
  • 要求された身代金の金額
  • 行為者のビットコインウォレットアドレス(身代金のページに記載されている場合があります)
  • 支払われた身代金の額(ある場合)
  • ランサムウェア感染に伴う総合的な損失額(身代金の額を含む)
  • 被害者への影響度

組織が攻撃を受けた場合、法執行機関にとっては攻撃者が使用した既知のIPアドレス、ファイル、ドメインを迅速に受け取ることができ、直ちに分析して捜査の一環として利用することができるため、この報告は極めて重要です。

企業が法執行機関へのIOCの提供を遅らせれば遅らせるほど、攻撃者が痕跡を隠したり遠隔地のサイトが閉鎖されたりしてIOCは役に立たなくなります。

Leave a Reply

Your email address will not be published.