ランサムウェア インシデントに対する対応を行うための重要な9つのステップ

ステップ 1: 迅速な隔離

• どのシステムがランサムウェアに感染しているかを特定し、直ちに隔離します。
• ネットワークから切断できないマシンがある場合は、一時的にシャットダウンしてください。
• グループ ポリシー オブジェクト (GPO) 設定では 拡散をブロックするために、[すべての接続をブロックする] を一時的に選択します。

ステップ 2: トリアージ

• 事業継続計画に基づく復旧。
• さまざまな状況に応じて、対応する対処を実行します。
• もし最悪のシナリオ（デバイスの故障）があれば、可能な限り回復させます。
• 中等度から重度の場合：優先的回復。
• 軽度の場合：特別な対処は必要ありません。

ステップ 3: 支援を求める

• まず状況を理解して文書化し、社内および社外のチームに連絡して正常な状態に早く戻るようにします。
• 企業組織の性質に応じて管轄当局に通知し、司法調査部門に連絡します。また企業組織が関連保険を購入している場合は、保険部門に連絡します。

ステップ 4: 証拠の収集

• 主要なマシン (サーバーなど) のメモリ ダンプ、イメージ、ログを収集します。
• 疑わしいコマンドと IP をフィルタリングして収集する

ステップ 5: レコードを検索する

• ウイルス対策ソフトウェア、エンドポイント保護ツール (EDR)、侵入防御ツール (IPS) などのインベントリを作成し、初期の攻撃の兆候を探します。

ステップ 6: 汎用ホストの対応

• ランサムウェアによって暗号化されていないホスト、またはランサムウェアによって暗号化されていてもまだ暗号化されていないホストがまだある場合は、まずネットワークから切断します。 企業がランサムウェアの感染プロセスを解明し、悪意のあるプログラムを削除した後、ホストをインターネットに接続します。
• 元のウイルス対策スキャン ツールとは別のウイルス対策スキャン ツールを使用し、(例えば)Microsoft Safety Scanner などを使用してシステムの状態を再度確認します。

ステップ 7: ドメインコントロールの対処

• すべてのドメイン管理者のパスワードを変更する。
• Krbtgt パスワードを 2 回変更します (変更間隔は 10 時間)
• ドメイン管理者およびその他の高い特権グループの下に不明なアカウントが追加されているかどうかを確認します。

ステップ 8: バックアップと復元

• オフラインバックアップからデータを復元する。
• サービスの復旧には段階的なアプローチを採用し、重要なサービスから始めて完全な復旧まで継続します。
• 残りのデータをバックアップし、システムを再構築します。

ステップ 9: ランサムウェアがどのファミリーに属しているかを調べる

• 暗号化されたファイルのファイル拡張子とランサムノートによって、どのランサムウェア ファミリが攻撃されているかを特定します。 -これを使用して、対応する復号化ツールを見つけます 。(ただし、ツールが見つかる可能性は低い)
• ランサムウェア ファミリの攻撃が他の部門によってレポートやニュースに記載されている場合、そのグループの通常の侵入方法とソースを知ることができます。

TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。

情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: https://teamt5.org/jp/request-information/