米国のCybersecurity and Infrastructure Security Agency(CISA)は、政府機関や民間企業がランサムウェアの二重恐喝スキームに起因するデータ漏洩を防ぐためのガイダンスを発表しました。
このガイダンスにはランサムウェアの攻撃を防ぎ、機密情報を流出から保護するためのベストプラクティスが記載されています。
連邦政府機関は、ほとんどのランサムウェアグループが企業ネットワークから盗んだデータを専用のリークサイトで公開するという脅しをかけて、身代金の交渉に利用していることを受け、このガイダンスを発表しました。
CISAは、
ランサムウェアは、重要インフラ組織を含むすべての政府機関および民間企業にとって、深刻かつ増大する脅威です。
すべての組織はランサムウェアの被害に遭うリスクがあり、システムに保存されている機密データや個人情報を保護する責任があります
ランサムウェアをブロックし、データを保護する方法
CISAは、ランサムウェアによるデータ漏洩の防止と対応のプロセスを合理化するため公開された情報シートに記載されている推奨事項を実施するよう企業に呼びかけています。
CISAは、ランサムウェアの攻撃を防ぐためのアドバイスとして、リスクのある企業は以下のことを行うべきだとしています。
1.データのバックアップ
オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップのテストを行います。
多くのランサムウェアは、アクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインで維持することが重要です。
ランサムウェアの多くは、アクセス可能なバックアップを見つけて削除または暗号化しようとします。
2.サイバーインシデント対応計画、回復力計画、関連するコミュニケーション計画の作成、維持、および実施
イバーインシデント対応計画には、ランサムウェアのインシデントに対する対応と通知の手順を含める必要があります。
インシデントへの対応と通知の手順を含める必要があります。サイバーインシデント対応計画には、ランサムウェアのインシデントに対する対応と通知の手順を含める必要があります。
3.インターネット上の脆弱性や設定ミスを軽減し、攻撃経路を減らす
a. リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスの使用に関するベストプラクティスを採用する。
RDP を使用しているシステムのネットワークを監査し、使用されていない RDP ポートを閉じ、指定された試行回数の後にアカウントロックアウトを実施する。アカウントをロックアウトする、多要素認証(MFA)を適用する、RDP のログイン試行をログに記録する。試行回数を記録する。
b. 定期的に脆弱性スキャンを実施し、特にインターネットに接続する機器の脆弱性を特定し、対処する。
c. オペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアを適時に更新する。優先順位はインターネットに接続されているサーバや、Webサイトなどインターネット上のデータを処理するソフトウェアに存在する重要な脆弱性や脆弱性に適時パッチを当てることを優先する。
d. 機器が適切に設定され、セキュリティ機能が有効になっていることを確認する(例:使用していないポートやプロトコルを無効にするプロトコルを無効にする。
e. SMB (Server Message Block) プロトコルの送受信を無効化またはブロックし、古いバージョンの SMB を削除または無効化する。古いバージョンのSMBを削除または無効にする。
4.フィッシングメールのリスクを低減
a. 強力なスパムフィルターを有効にする。
b. 不審な活動(例:フィッシング)やインシデントを識別して報告する方法に関するガイダンスを含む、サイバーセキュリティに関するユーザーの意識向上とトレーニングプログラムを実施する。
c. 不審な活動(例:フィッシング)やインシデントを特定して報告する方法に関するガイダンスを含む、サイバーセキュリティ・ユーザーの意識向上およびトレーニング・プログラムを実施する。
5.優れたサイバー・ハイジーンを実践
a. アンチウイルス、アンチマルウェアのソフトウェアおよびシグネチャが最新であることを確認する。
b. アプリケーションの許可制を導入する。
c. アカウント使用ポリシー、ユーザーアカウント制御、特権アカウント管理により、ユーザーおよび特権アカウントが制限されていることを確認する。
6.特権アカウントの管理
a. 可能な限りすべてのサービスにMFAを導入すること。特にウェブメール、仮想プライベートネットワーク(VPN)、重要なシステムにアクセスするアカウントには、特に MFA を採用する。
b. CISAの「Cyber Essentials」およびCISA-MS-ISACの「Joint Ransomware Guide」に記載されているサイバーセキュリティのベスト・プラクティスを実施する。
ランサムウェアの攻撃に対する防御方法や対応方法については、ガイダンスやCISAが最近開設したWebポータル「StopRansomware.gov」に掲載されています。
CISAによるランサムウェアのデータ流出に関するガイダンスは、米国の公的機関や民間企業を標的としたランサムウェアの攻撃がほぼ継続的に発生していることを受けたもので、例えばColonial Pipeline、JBS Foods、Kaseyaの顧客のネットワークが、わずか2カ月の間に相次いでランサムウェア攻撃を受けています。
2019年12月以降、CISAは世界的な組織を標的としたLockerGogaとMegaCortexの情報を皮切りに、米国の重要インフラ部門の一部である米国の天然ガス圧縮施設に対するランサムウェア攻撃など、民間業界のパートナーに対して複数の警告を発しています。
今月初め、CISAはランサムウェアやその他のサイバー脅威から重要インフラを守るための官民合同のパートナーシップであるJCDC(Joint Cyber Defense Collaborative)を発表しました。
また、CISAは、ランサムウェアの自己評価ツールを6月に発表し、情報技術(IT)、運用技術(OT)、産業用制御システム(ICS)のいずれかを標的としたランサムウェア攻撃に対して、リスクのある組織がどの程度の防御力と回復力を備えているかを把握するためのものとなっています。
Comments