NISCから「ランサムウエアによるサイバー攻撃に関する注意喚起について 」が出ています。

対策は、予防、検知、対応、復旧の観点から行う必要があります

として、具体的な対応策を個別に論じています。

予防

予防としては、

• 感染を防止するための対応策
• データの暗号化による被害を軽減するための対応策

にわけて論じられています。個人的に興味深いのは、

ランサムウエアを用いる攻撃者グループによる悪用が報告されているものを含む以下の脆弱性に十分留意する。
– Fortinet 製 Virtual Private Network(VPN)装置の脆弱性(CVE-2018-13379)
– Ivanti 製 VPN 装置「Pulse Connect Secure」の脆弱性(CVE-2021-22893、CVE-2020-8260、CVE-2020-8243、CVE-2019-11510)
– Citrix 製「Citrix Application Delivery Controller」「Citrix Gateway」「CitrixSD-WAN WANOP」の脆弱性(CVE-2019-19781)
– Microsoft Exchange Server の脆弱性(CVE-2021-26855 等)
– SonicWall Secure Mobile Access (SMA) 100 シリーズの脆弱性(CVE-2021-20016)
– QNAP Systems 製 NAS(Network Attached Storage)製品「QNAP」に関する脆弱性(CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等)
– Windows のドメインコントローラーの脆弱性(CVE-2020-1472 等)

ということで、脆弱性の名指しがなされているところでしょうか。パッチ・公表がなされていないゼロデイよりも吉の脆弱性に対する対応を怠っていて被害にあうということに注意しましょう、ということかと思います。

あとは、バックアップですね。

検知

迅速な検知を実現するためには、オペレーターとマシンによる自動化を検討する必要があります

として

振る舞い検知、 EDR(Endpoint Detection and Response) 、 CDM(Continuous Diagnostics and Mitigation)等を活用する

とされています。

対応・復旧

このて点については

データの暗号化、公開、インターネット公開サーバーに対する DoS 攻撃等を想定した対処態勢、対処方法、業務継続計画等を含むランサムウエアへの対応計画が適切
に策定できているか確認する。

一部の職員が長期休暇中やテレワーク等であっても、職員がランサムウエア感染の兆候を把握した場合、職員が迅速にシステム管理者に連絡できることを確認する。

ランサムウエアの感染による被害を受けた場合に、組織内外(業務委託先、関係省庁を含む)に迅速に連絡できるよう、連絡体制を確認する。

とされています。

NISCの管轄にはならないのですが、Pay or Not to pay問題は、特にコメントはないということですね。海外のを調べたところですが、明確なコメントはないですね。場合によっては、テロリストへの支払いを禁止する法律に触れることもありますね。もっとも、デメリットが多いので推奨はされていないというグレイなところが公式なコメントになるというむずかしい問題です。