企業のための被害緩和ステップ

社内のオペレーティングシステムとアプリケーションを最新の状態に保ってください。

  • 最新のセキュリティパッチを適用し、モバイル端末上のソフトウェアを含め、重要なソフトウェアを最新にしてください。
  • 可能であれば、自動更新のオプションを有効にしてください。 最新のアップデートを適用することで、機器の安全性が向上するだけでなく、パフォーマンスも向上します。
  • ウイルス対策製品とマルウェア対策製品が必要かどうかを評価し、最新の状態に保ってください。
  • 定期的にスキャンを実行して、OSが効率的に機能することを確認してください。
  • 一元化されたパッチ管理システムの使用を検討し、リスクベースアセスメントにより、どのシステムをパッチ管理プログラムに組み込むかを決定してください。
  • オンラインとオフラインの両方で、システムを定期的にバックアップしてください。 バックアップを最新に保つことは、ランサムウェア攻撃から復旧するための最も効果的な方法です。
  • オフラインのバックアップは、ネットワークやシステムとは別の場所(理想的にはオフサイト)か、あるいはバックアップ用のクラウドサービスに作成するようにしてください。 被害者がデータを取り戻すために身代金を支払う可能性を高めるため、バックアップが積極的に標的とされることに注意してください。

資産を把握し、それらを区分してください。

機密データは、通常のデータとは異なる方法で取り扱う必要があります。

  • 機密データを区分された場所に保存します。
  • 攻撃者がネットワークのあるセグメントから別のセグメントに移る能力を制限するために、ネットワーク分離を効果的かつ確実に実装してください。
  • さまざまな特性とセキュリティプロファイルを持つ領域の区分化を確実に行い、脅威にさらされているセグメントへのアクセスを分離および制限してください。

リモートデスクトッププロトコル(RDP)への安全なアクセス

特にRDPを制限することにより、ネットワークを介したリソースへのアクセスを限定してください。 適切なリスク評価の後、RDPが組織にとって絶対に必要であるとみなされた場合には, 接続元を制限するとともに、多要素認証を義務付けてください。

データの漏えいを監視してください。

ランサムウェアキャンペーンの多くは、データを公開するという脅しをかけて、企業に身代金の支払いを促そうとします。 データの漏えいが早期に検知されるほど、情報が公開されることによる被害は少なくなります。 データの漏えいを監視することで、どのデータが漏洩のリスクにさらされているかを正確に把握できます。

攻撃者がデータを公開したり、同じデータを更なる恐喝に再利用したりしないという保証はありません。 身代金が支払われるかどうかに関係なく、起こり得る両方のシナリオを検討してください。

システムをテストしてください。

ネットワークのセキュリティに対するペネトレーションテストを定期的に実行するとともに、重要な情報の復旧プロセスのテストを実行して、想定どおりに機能することを確認してください。

不正なコンテンツがネットワークに到達する可能性を減らしてください。

  • スクリプト環境とマクロを無効にします。
  • コンテンツを頻繁に検査するようシステムを設定し、特定のファイルタイプのみを許可し、不正であると知られているWebサイト、アプリケーション、プロトコルなどをブロックしてください。
  • ネットワークレベルでは、ネットワークトラフィックのフィルタリングのほか、不正で悪意のあるトラフィックがネットワークに到達しないよう監視し、フィルタリングを行い、そしてブロックするためのポリシーの実装を検討してください。
  • ユーザーが不正なWebサイトやIPアドレス、フィッシングURL、匿名プロキシ、Torネットワーク、その他の匿名化サービスなどにアクセスすることを防ぐために、リアルタイムの脅威インテリジェンスフィードに基づいてブラックリスト/ホワイトリストルールを実装してください。

強力なパスワードを使用し、定期的に変更してください。

  • 数字、記号、大文字と小文字の組み合わせは、強力なパスワードの生成に役立ちます。
  • 従業員が仕事とプライベートの両方で強力なパスワードを使用するよう促すとともに、パスワードマネージャーの利用を推奨してください。

強力な認証を利用してください。

窃取またはハッキングされた認証情報を通じたアクセスのリスクを最小限にするために、重要なネットワーク上のアカウントにアクセスするために多要素認証を義務付けてください。

特権アカウントの使用を管理してください。

  • 企業のネットワークデバイスにソフトウェアアプリケーションをインストールして実行することができる従業員を制限してください。
  • アカウント使用ポリシー、ユーザーアカウント制御、および特権ユーザーのアクセス管理を通じて、ユーザーアカウントとシステムアカウントを確実に制限してください。
  • 最小権限の原則、Need to Knowの原則および職務の分離に基づいてアクセス権限を整理してください。 特権ユーザーアカウントの侵害は、単なるユーザーアカウントの場合と比較してはるかに大きな漏洩につながるおそれがあります。

テレワーク機器のセキュリティを確保してください。

  • ハードディスクの暗号化、非アクティブ状態のタイムアウト、プライバシースクリーン、強力な認証、Bluetoothの無効化、リムーバブルメディアの制御と暗号化(例: USBドライブ)などの対策を行ってください。
  • 紛失または盗難にあった端末へのアクセスをリモートで無効にするプロセスを実装してください。

信頼できるソースからのみアプリをインストールするようにしてください。

企業は、企業のネットワークに接続するモバイル端末には、公式ソースからのアプリのインストールのみを許可する必要があります。 オプションとして、エンドユーザーが社内で承認されたアプリにアクセス、ダウンロードおよびインストールできる、社内向けのアプリケーションストアの構築を検討してください。 セキュリティベンダーにアドバイスを求めるか、社内でセキュリティ管理者を設置してください。

公衆Wi-Fiネットワークを介して会社のデータにアクセスする場合は注意が必要です。

一般的に公衆Wi-Fiネットワークは安全ではありません。 もし従業員が空港や喫茶店で無料のWi-Fi接続を使用して企業データにアクセスしている場合、データは悪意のあるユーザーに公開される可能性があります。 この点に関して、企業が効果的なポリシーを策定することを奨励します。

従業員にサイバーセキュリティ教育と意識向上のためのトレーニングを行ってください。

  • オンラインの安全性に関する会社のポリシーについて従業員への教育を行ってください。 時間をかけてサイバー脅威、特にフィッシングやソーシャルエンジニアリングの認識を高めるとともに、疑わしい活動に遭遇した場合の対処方法についても啓発を行ってください。
  • 従業員が不正なWebサイトにアクセスしたり、不正な添付ファイルを開いたりすることを思いとどまらせるために、スピアフィッシングのシミュレーションを含むユーザートレーニングプログラムの実施を検討してください。
  • 従業員にフィッシングメールを報告する一連の手段を提供するとともに、実際に報告した際には褒賞を与えるようにしてください。 感謝を示すシンプルなポップアップメッセージやポイント制度は、従業員が注意を払う動機となり、疑わしいと感じたことの報告を促します。

サイバー賠償責任保険への加入を検討してください。

サイバー攻撃が発生した場合に補償を提供する保険代理店を見つけることを検討してください。

ローカルファイアウォールを有効にしてください。

ローカルファイアウォールを有効にすることは、不正アクセスの防止に役立ちます。

WindowsのPowerShellを無効にしてください。

使用しない場合は、WindowsのPowerShellを無効にしてください。 一部のランサムウェアの亜種は、PowerShellを悪用して実行されます。

感染した場合、次に何をすべきでしょうか?

  1. 1) 有線、無線、携帯電話など、感染した機器の電源を切らずに、すべてのネットワーク接続から直ちに切断します。
  2. 2) 非常に深刻なケースでは、Wi-Fiをオフにするか、コアネットワーク(スイッチを含む)を無効にすることを検討してください。インターネットからの切断が必要となる場合もあります。
  3. 3) パスワード(特に管理者およびその他のシステムアカウント)を含む認証情報をリセットしてください。しかし、復旧に必要なシステムから自分自身を締め出していないかは確認してください。
  4. 4) 自国の警察その他の管轄当局にインシデントを報告してください。
  5. 5) 攻撃を調査する管轄当局と協力して、証拠を保全してください。例えば、影響を受けたシステムのフォレンジックイメージ(またはシステムスナップショット)を作成したり、影響を受けたシステムのRAMのメモリダンプを作成したり、ネットフローまたはその他のネットワークのトラフィックログを保全することが挙げられます。
  6. 6) www.nomoreransom.orgにアクセスして、無料の復号ツールで複号できるランサムウェアに感染しているかどうかを確認してください。我々の用意したツールで復号できない場合は、以下の復旧手順に進みます。
  7. 7) 感染した端末を安全にワイプ(消去)し、OSを再インストールします。
  8. 8) バックアップから復元する前に、マルウェアが含まれていないことを確認してください。バックアップと接続先の端末がクリーンであると確信できる場合にのみ、復元を行うべきです。
  9. 9) 端末をクリーンなネットワークに接続して、OSおよびその他すべてのソフトウェアをダウンロード、インストール、および更新してください。
  10. 10) ウイルス対策ソフトをインストール、更新、および実行してください。
  11. 11) ネットワークに再接続してください。
  12. 12) ネットワークトラフィックを監視し、ウイルススキャンを実行して、感染が残っていないかどうかを確認してください。