Martin R. Okumuは、2018年にBaltimore市のアプリケーションの90％が影響を受けたランサムウェア攻撃を経験しました。当時、同市のITインフラストラクチャーのディレクターを務めていた彼は、ランサムウェアの攻撃に対する防御と復旧について、多くの貴重な教訓を得ました。

火曜の午後、彼はISC2 Security Congress 2021の参加者にバーチャル・セッションでその教訓を伝えました。現在は、San Francisco市・郡の最高情報責任者を務めています。

Baltimoreでは、様々な意味で攻撃に対する準備ができていなかった、とOkumu氏は言います。同市には、サイバーインシデント対応チーム（CIRT）や、インシデント対応を活性化するための明確な計画、コミュニケーションやエスカレーションの処理方法などがありませんでした。

これらは、ランサムウェアの攻撃から身を守るために必要な要素です。「もし、これらのことを実施し、これらの手順の概要を知っていれば、私たちよりも良い状態にあると思います」と語りました。

混乱の原因は、手順や役割が明確に定義されていなかったからだとOkumu氏は言います。唯一の救いは、市がオンプレミスとクラウドの両方のバックアップに投資していたことでした。それでも、Baltimore市が1～5ビットコインの身代金要求を拒否したため、攻撃からの復旧には1,800万ドルの費用がかかったとOkumu氏は述べています。

攻撃の様子

この攻撃は、2018年5月19日の早朝に初めて発見されました。午前4時から7時の間に始まったとOkumu氏は言います。ユーザーがコンピュータにログオンしようとすると、システムがランサムウェア「Ransom.Robinhood」で暗号化されているというメッセージが表示されました。犯罪者は「何が起こったか知らせようとし、隠れようとはしない」そうです。

市は攻撃者に対応しませんでしたが、攻撃者はその後も恐喝を繰り返し、自分たちができることを証明するために1台のマシンのロックを解除すると申し出てきた、とOkumu氏は言います。その結果、6月7日までに返答しなければならないという最終期限が設定されました。復旧作業には数ヶ月を要しました。

備えあれば憂いなし

ランサムウェアの攻撃に備えるためには、復旧のための技術面とビジネス面の両方に対応するインシデントレスポンスプラン（IRP）の重要性をOkumi氏は強調しました。前者においては、自分の環境を知り、コミュニケーションとエスカレーションの手順を確立し、計画を起動する方法論を持つことが重要です。

ビジネス面では、CISO、CIO、企業幹部のためのコミュニケーションプランや、サイバー保険を含むリスク管理などの要素を計画に盛り込む必要があります。また、ランサムウェアの専門家を雇っておけば、事件後に専門家を探す手間が省けますし、身代金の支払いに備えてビットコインの口座を開設しておくのも賢明です。

バックアップ戦略

また、バックアップ戦略も重要です。「これがあったからこそ、私たちは立ち直ることができたのです」とOkumu氏は語りました。「組織がしっかりとしたバックアッププランを持っていることを確認してください。これは、企業が何らかの理由でお金をかけたくないと思っている一番の分野です。理由はわかりません。」

データのバックアップは、企業がランサムウェアから身を守るために取るべき数多くのステップの一つに過ぎません。Okumu氏は、インシデントアセスメントやCIRTの構築など、一連のステップを説明しました。CIRTを成功させるためには、チーム内にエグゼクティブスポンサーがいること、明確なミッションステートメントがあることが重要だと言います。

その他のステップとしては、インシデント発生時に社内だけでなく、FBI、Homeland Security、CISAなどの外部組織、地元の法執行機関、規制機関などとどのようにコミュニケーションをとるかを考えます。

事件の重要な事実を記録したり、被害を受けたコンピューターの画像を撮影したりするなど、事件を犯罪現場のように扱うことが重要です。また、デジタル・フォレンジックの専門家を社内に置くか、外部に委託することを推奨します。

もし、外部の人間を巻き込む必要があるとしたら、問題解決を約束しておきながら、その状況を利用することを主目的とした第三者には注意が必要です。組織は、保険会社、社外の弁護士、フォレンジック調査員、規制当局、危機管理担当者、「対応可能なベンダー」など、連絡すべき関係者の簡単なリストを用意しておく必要があります。

原文記事： https://blog.isc2.org/isc2_blog/2021/04/cyber-threats-the-financial-systems-top-risk.html