米CISA/MS-ISACによる ‘RANSOMWARE GUIDE SEPTEMBER 2020’ Part 2: Ransomeware Response Checklist 試訳

(訳注:以下は、米サイバーセキュリティ・インフラストラクチャー・セキュリティ局(CISA)と州横断ISAC(Multi-Sate ISAC)が2020/09/30に共同でリリースした‘RANSOMWARE GUIDE SEPTEMBER 2020’のPart 2: Ransomeware Response Checklistを個人的な備忘のために試訳したものです。直訳では意味が通りづらい部分は意訳しています)

Part 2: ランサムウェア対応チェックリスト

万一あなたの組織がランサムウェアの被害者になった場合、CISAは以下のチェックリストを利用して対応することを強く推奨します。最初の3つのステップ(1.3.)は必ず実施するようにして下さい。

検知と分析

1. 影響を受けたシステムを特定、ただちに隔離する

  • 複数のシステムまたはサブネットが影響を受けたと思われる場合、ネットワークをスイッチレベルでオフラインにする。インシデント発生中にシステムを個別に切断できない場合があるため。
  • ただちにネットワークを一時的にオフラインにすることができない場合は、ネットワークケーブル(例. イーサネット)の場所を特定し、感染を封じ込めるために、影響を受けたデバイスのプラグを抜くかWi-Fiから切断する。
  • 最初に侵入した後、攻撃者はあなたの組織の活動や通信を監視して、自分たちの攻撃が検知されていないかを知ろうとする。したがって、組織で協力して、攻撃を検知したことや対策を取ろうとしていることを攻撃者に知られないように、電話などネットワーク以外の通信手段でシステムを隔離すること。さもないと攻撃者は横展開して攻撃を続けようとしたり(これはすでにありふれた戦術になっている)、ネットワークをオフラインにされる前にランサムウェア感染を拡大しようとする。

注:下記のステップ2は、ランサムウェア感染の形跡やメモリ上に残っているかもしれない感染の証拠を保全できなくなるので、ネットワークを一時的にシャットダウンしたり、影響を受けたホストを他の手段でネットワークから切り離せない場合にのみ実施すること。

2. ネットワークからデバイスを切り離せない場合のみ、ランサムウェアのさらなる感染拡大を防ぐため電源を落とす

3. 影響を受けたシステムのリストアとリカバリの優先順位付けをおこなう

  • リストアすべき重要システムの特定と優先順位付けをおこない、影響を受けたシステム内のデータの性質を確認する
    • リストアやリカバリの優先順位付けは、あらかじめ定義しておいた重要情報資産リストに基づいて行う。そのリストには安全衛生、収益源となるシステム、他の重要な情報システムや、それらシステムが依存するシステムも記載しておくこと。
  • 影響を受けていないと思われるためリストアやリカバリの優先順位を下げたシステムやデバイスも記録しておくこと。そうすればあなたの組織はより効率的に業務を再開できるようになる。

(訳注:ここまでが必ず実施すべき最初の3ステップ)

4. あなたのチームと話し合って、起こった事実について最初の分析にもとづく最初の理解を文書化しておく

5. 下記の連絡先情報を利用して、社内外のチームや関係者がインシデントによる被害の低減や対応、リカバリのために何ができるかを合意しておく。

  • あなたが入手できる情報を共有して、インシデントに関係する支援をいちばんタイムリーに受けられるようにすること。状況の変化に応じて、マネジメントや管理職に定期的に情報提供すること。関係者の中には、IT部門、マネージド・セキュリティサービスプロバイダー、サイバー保険会社、各部署の選任されたリーダーを含めること。
  • 関係する政府機関や、ISAC、地方や国家の司法機関などの支援をうけることも考慮すること。下記連絡先リストを参照。
  • 必要に応じて、広報部門と連携して社内および社外に正確な情報が伝わるようにすること。
  • Public Power Cyber Incident Response Playbook」には組織としてのコミュニケーション手順の指針や、対外的なセキュリティインシデント発表のひな型があるので、あなたのチームと協力してできるだけ早く同様の手順や公式発表の草稿を作っておくこと。インシデント発生中に公式発表文を作成するのは最善策ではない。社内外とどの程度詳細に情報共有するのが適切か、情報をどのように流すのかは、このPlaybookを参照すれば事前に決めておくことができる。

(訳注:連絡先リストはこのブログ記事の末尾に付けた)

注意:身代金を支払っても、あなたのデータが確実に復号されることはなく、あなたのシステムやデータが二度と攻撃を受けないわけでもない。CISA, MS-ISAC、連邦法執行機関は身代金を支払うことを推奨していない。

封じ込めと除去

6. 影響を受けたデバイス(例 ワークステーションやサーバ)のサンプルからシステムイメージとメモリのキャプチャを採取する。さらに関連するログと、先行して侵入しているマルウェアのバイナリ、それに関連する観測事項やセキュリティ侵害インディケーター(IoC)をすべて収集すること(例. 疑わしいコミュニケーション・アンド・コントロールのIPアドレス、疑わしいレジストリエントリ、その他の検知された関連ファイル)。下記連絡先リストはこれらの作業を支援してくれる。

  • 非常に消失しやすい性質のエビデンスや、一部しか確保できないエビデンスについては、損失や改ざんを防ぐために十分注意して保存すること(例. システムメモリ、Windowsセキュリティログ、ファイアウォールのログバッファ内のデータ)

7. 入手可能な復号方法があるかもしれないので国の法執行機関に相談する。セキュリティー・リサーチャーはすでにいくつかのランサムウェアの暗号化アルゴリズムを解明している。

引き続きインシデントの封じ込めと被害の低減のため、以下のステップを続けること。

8. 特定のランサムウェアについて信頼できるガイダンスを調査し(例. 政府や各種ISAC、著名なセキュリティーベンダー等)、追加の推奨手順を実施して、影響を受けたことが確定しているシステムを特定し、封じ込める。

  • 既知のランサムウェアのバイナリの実行を停止、または無効化し、システムに対する被害や影響を最小化する。その他、関連する既知のレジストリ値やファイルを削除する。

9. 最初に不正侵入を受けたシステムとアカウントを特定する。電子メールアカウントも含む。

10. ここまでで特定された不正侵入や侵害にもとづいて、さらなる不正侵入に継続的に悪用される可能性のある関連システムをすべて封じ込める。不正侵入は機密情報の大量窃取をともなうことが多い。引き続き認証情報の悪用による不正アクセスから、ネットワークやその他の情報源を守るには、以下の対策を含めてもよい:

  • VPN、リモートアクセスサーバー、シングルサインオン、クラウド、その他の外部公開されている情報資産の無効化。

11. 追加の推奨対策ーサーバ側データの暗号化を素早く特定する手順:

  • 感染したワークステーションによってサーバ側データが暗号化されてしまった場合、それを素早く特定する手順は以下のとおり:
    1. 関連するサーバーで「コンピュータの管理」>「セッション」および「開いているファイル」をチェックし、それらのファイルにアクセスしているユーザーやシステムを特定する。
    2. 暗号化されたファイルやランサムノートのファイルプロパティーをチェックし、それらのファイルの所有者となっているユーザーを特定する。
    3. ターミナルサービスのリモート接続マネージャーのイベントログをチェックし、成功しているRDP接続がないか確認する。
    4. Windowsセキュリティログ、SMBイベントログ、関連するすべてのログをチェックし、重要な認証イベントやアクセスイベントがないか確認する。
    5. 影響を受けたサーバーでWiresharkを実行し、ファイルの書き込みや名前の変更に関係するIPアドレスをフィルタで特定する(例 “smb2.filename contains cryptxxx”)。

12. 組織にある既存の検知システムまたは防止システム(ウイルス対策、エンドポイント検知対応(EDR)、IDS、侵入防止システム(IPS)等)およびログの精査をする。それによって攻撃の初期段階に関係していた、別のシステムやマルウェアについてエビデンスを明らかにできる。

  • 先行して侵入している「ドロッパー」マルウェアのエビデンスを探す。ランサムウェア感染はそれ以前に起こっていた未解決のネットワーク不正侵入の証拠かもしれない。ランサムウェア感染は、TrickBot、Dridex、Emotetといったランサムウエアがすでに存在していた結果であることが多い。
    • これら最新のマルウェアのオペレーターはネットワークへのアクセス方法を販売していることが多い。場合によっては、攻撃者はそうしたアクセス方法を悪用してデータを窃取してから、データを公開するぞと脅迫した後で、さらに被害者を脅迫して支払いを迫ろうとネットワークをランサムウェアに感染させる。
    • 攻撃者はネットワークに手動でランサムウェアをドロップし、不正侵入後の活動を分かりにくくする場合がある。継続的な侵入を防ぐには、バックアップから復旧させる前にそのようなドロッパーを注意して特定しておく必要がある。

13. 外部から内部、内部から外部への継続的攻撃のメカニズムについて踏み込んだ分析を行う

  • 外部から内部(outside-in)の継続的攻撃には、不正アカウントによる外部システムへの認証済みアクセスや、境界システムのバックドア、外部システムの脆弱性の不正利用などが含まれることがある。
  • 内部から外部(inside-out)の継続的攻撃には、内部ネットワークに埋め込まれたマルウェア、または環境寄生(自給自足)型のシステム変更(例. Cobalt Strikeのような市販の侵入テストツールの悪用、PsExecを含むPsToolsの悪用、マルウェアを遠隔インストールし制御することによるWindowsシステムの情報収集や遠隔管理操作、PowerShellスクリプトの悪用)が含まれることがある。
  • これらを特定する方法として、エンドポイント検知・対応(EDR)ソリューションの導入や、ローカルとドメインのアカウント監査、集中ログ収集システムで見つかったデータの精査、環境内での動きが一度でも特定された場合は、その該当するシステムのより深いフォレンジック分析が含まれることがある。

14. 重要なサービスの優先順位付けに基づいたシステム復旧(例 安全衛生または収益源となるサービス)。できればあらかじめ設定済みの標準イメージを利用する。

15. 環境が完全にクリーンにされ復旧した後(影響を受けたすべてのアカウントや継続的な不正メカニズムの除去を含む)、影響を受けたすべてのシステムのパスワードリセットを行い、セキュリティ面や可視化されていなかった部分の脆弱性や未対応部分に対処すること。パッチの適用、ソフトウェアのアップグレード、その他それまで講じていなかったセキュリティ予防策の実施が含まれることもある。

16. 上述の手順を踏むことや外部の支援を得ることも含め、確立された規準にもとづいて、所定のIT部門またはITセキュリティ責任者がランサムウェア・インシデントの終了を宣言する。

リカバリーとインシデント後の活動

17. システムを再接続し、重要なサービスの優先順位付けにもとづいてオフラインで暗号化されたバックアップからデータをリストアする。

  • リカバリー中にクリーンなシステムを再感染させないように注意すること。例えば、リカバリのために新たなVLANを構成する場合、確実にクリーンなシステムのみを追加すること。

18. インシデントからの学びや関連するインシデント対応活動を文書化することで、組織のポリシー、計画、手順を更新・改善するための情報源として活かし、同様のインシデントについて今後の演習のガイドとする。

19. インシデントからの学びや関連する侵害インディケーター(IoC)を当局に共有し、さらに業界ISAC、情報共有分析機関(ISAO)にも共有し、コミュニティー内部の他の人々や組織の利益にもなるように考慮する。

連絡先リスト

万一あなたの組織がランサムウェアの被害者になったときのために、以下の連絡先リストを埋めておくこと。被害低減やインシデント対応の支援をうけたり、通知をする目的でこれらの組織と連絡をとること。

連絡先24×7連絡先役割と責任
IT部門/ITセキュリティチーム – 情報や報告の集約
部門のリーダーまたは選任されたリーダー
州および地方政府の法執行機関
連邦政府と地方政府の調整機関
(訳注:日本には関係ない)
システム管理/セキュリティ管理委託先
サイバー保険会社