攻撃者はビジネス化した組織
ランサムウェアの攻撃者は、高い技術スキルを持ったハッカーやクラッカーといった人物像を思い浮かべるかもしれないが、必ずしもそうではないようだ。
技術スキルが乏しい者でも攻撃者グループに参加できる「RaaS」(ラース、Ransomware as a Service)というサービスがあり、攻撃に必要なツール一式を提供し、身代金の一部をロイヤルティーとして受け取るグループがいるのだ。その内部情報から、マニュアルがロシア語などで使われるキリル文字で書かれていたため、ロシア語圏の者が主要メンバーと考えられるという。
組織がランサムウェアの被害に遭ったら、どう対応したらいいのだろうか。
まず、これが「非常事態」であることを理解し、通常とは異なる対応をしなければならない。こうした非常時の対応をITセキュリティーの用語で「インシデント対応」と呼ぶ。そのひな形を以下のように示している。
・犯人への身代金は支払わずにシステムを再構築し復旧を行う
・システム復旧を最優先するシステムは〇〇システム
・システムが復旧するまでの間は、長時間停電を想定したBCP(事業継続計画)対策を応用し、システムを利用しない手作業による業務で対応する
・手作業による業務継続は△△部門の範囲とし、他の部門の者は△△部門の応援に当たる
対応方針を決めるポイントとして、身代金を支払うのか支払わないのか、復旧を優先する業務範囲はどこか、手作業による業務継続は可能かといったことを挙げている。
これと平行して、攻撃者がどのように侵入してランサムウェアを仕込んだのかを調べる原因調査や、再発防止策を検討する。可能であれば、普段から「かかりつけ医」のように相談できるコンサルタントと契約しておくことを勧めている。
日本ネットワークセキュリティー協会が提供している「サイバーインシデント緊急対応企業」29社の一覧を掲げている。相談と見積作成は無償のところが多い。