マルウェアとランサムウェアによる被害を最小化する方法 　英国NCSCのガイドライン

（画像）イギリス”National Cyber Security Centre”のWebサイトより

イギリスの国家サイバーセキュリティセンター（National Cyber Security Centre）が、マルウェア及びランサムウェアに関して、どのような対応・対策をするべきかというガイドラインを発表しました。対策を考える上で参考にできる点が多くあるためマキナレコードにて翻訳しました（リンク先は未翻訳）。

マルウェアとランサムウェアによる被害を最小化する方法

マルウェアやランサムウェアの攻撃から組織を防衛するには？

このガイダンスは、民間および公共セクターの組織が、ランサムウェアを含むマルウェアの脅威に対処する上で役立てられます。マルウェアへの感染を予防するための行動、そして既に感染している場合に踏むべき手順をお伝えします。

このガイダンスを守ることで、以下のことが軽減されるでしょう：

感染の可能性

組織内におけるマルウェアの拡散

感染による影響

既にマルウェアに感染している場合は、今すぐ取るべき手順のリストを参照してください。

・比較的小さな規模の組織はNCSCの「小規模事業者向けガイダンス」を参照してください。
・比較的大規模の組織 / 企業はNCSCの「モバイルデバイスガイダンス」を参照してください。
・自宅でデバイスを保護することに関する情報につきましては、NCSCが個人および家族向けに作成したガイダンスをお読みください。

目次

マルウェアとは？
Action 1：定期的なバックアップを取る
Action 2：マルウェアへの感染と他のデバイスへの拡散を防ぐ
Action 3：デバイス上でのマルウェアの実行を防止
Action 4：インシデントの事前準備
組織がすでに感染している場合の対処法
補足

マルウェアとは？

マルウェアとは、英語でいう「malicious software（悪意のあるソフトウェア）」のことです。
もし実行されれば、さまざまな害をもたらします。

例えば、
・デバイスをロックしたり、利用不能にしたりする。
・データを盗んだり、削除したり、暗号化したりする。
・他の組織を攻撃するために、デバイスを乗っ取る。
・被害者が利用する組織のシステムやサービスにアクセスするための認証情報を、不正に入手する。
・暗号通貨を「マイニング（採掘）」する。
・被害者に金銭的負担を負わせる可能性があるサービスを利用する（例：割増料金の発生する通話など）。

ランサムウェアとは？

ランサムウェアはマルウェアの一種で、被害者は自分のコンピュータや、そこに保存されたデータにアクセスできなくなります。コンピュータ自体はロックされ、保存されたデータは盗難、削除、あるいは暗号化される可能性があります。ランサムウェアの中には、さらにネットワーク上の他のマシンに拡散しようとするものも存在します。例えば、2017年5月にNHS（英国政府が運営する国民保健サービス）に影響を与えた「Wannacry」マルウェアなどです。

被害者は通常、金銭を支払うために、匿名のEメールアドレス経由で攻撃者と連絡を取ったり、匿名のWebページ上に書かれた指示に従ったりするよう要求されます。コンピュータの暗号を解除したり、データにアクセスしたりするために、必ずビットコインなどの暗号通貨で支払うよう要求されます。しかし、たとえ身代金を支払ったとしても、コンピュータやファイルにアクセスできる保証はどこにもありません。マルウェアをランサムウェアとして提示されたものの、身代金を支払った後もファイルが復号されないという事例が、時折発生しています。これはワイパー型マルウェアと呼ばれています。以上の理由から、最も重要なファイルとデータに関しては、最新のオフラインバックアップを常に取っておくことが大切です。

身代金は支払うべき？

警察が要求された身代金の支払いを奨励、承認、黙認することはありません。たとえ身代金を支払ったとしても、
・データやコンピュータにアクセスできるようになる保証はどこにもありません。
・コンピュータは依然として感染したままです。

また被害者は、
・犯罪者グループに金銭を支払うことになります。
・今後標的とされる可能性が高まります。

また、攻撃者は支払わなければデータを公表すると脅迫するでしょう。これに対抗するため、組織はデータの盗難による影響を最小化する対策を取らなくてはなりません。これには、NCSCのガイダンス「大量の個人データを保護する」および「ロギングとモニタリング」が役立つでしょう。

「多層防御」戦略を採用する

組織をマルウェア感染から完全に保護する方法は存在しません。したがって「多層防御」の手法を取り入れるべきです。これは、複数の軽減策を持つ防御手段を何層にも重ねて利用することを意味します。これにより、マルウェアを検出して組織に実害を与える前に阻止するチャンスが増えるでしょう。起こりうる影響を抑える手順を踏み、対応の速度を上げるためには、自分の組織にもマルウェアが侵入することを前提とすべきです。

Action１：定期的にバックアップを取る

最新のバックアップを取ることは、ランサムウェア攻撃から復旧する方法として最も効果的です。次のような行動を取りましょう。

・最も重要なファイル（組織によって異なる）の定期的なバックアップを取る。また、バックアップからファイルを復元する方法を知っているか確認する。そして、バックアップが期待通りに機能しているかを定期的に検証する。

・ランサムウェアは支払いを受ける可能性を高めようと、バックアップを盛んに狙っています。したがって、自組織のネットワークおよびシステムから、異なる場所（オフサイトが理想）へと隔離された、オフラインバックアップを確実に取っておきましょう。隔離先は、同様の目的で設計されたクラウドサービスでも可です。NCSCのブログ「オンラインの世界におけるオフラインバックアップ」では、組織向けにさらなる有益なアドバイスをお伝えしています。

・ファイルのコピーは、異なるバックアップソリューション、および格納先を利用して複数作成すること。単一の取り外し可能ドライブ上に２つのコピーを持ったり、単一のクラウドサービスに複数のコピーを持ったりすることで満足しないこと。

・バックアップを含むデバイス（外付けハードドライブやUSBなど）は、組織のネットワーク上には絶対に接続しないこと。攻撃者は回復を難しくするため、接続されたバックアップ機器およびソリューションを狙います。

・利用するクラウドサービスにおいて、過去のバックアップが即刻削除されないこと、および元のファイルへの復元が可能であることを確認する。クラウドサービスでは、ファイルが暗号化済みデータに置き換えられた後、即座に自動同期されてしまうことがよく起こります。上記の対策により、現在のデータとバックアップデータの両方がアクセス不能になることを防ぎます。

・バックアップが既知の感染されていないデバイスとだけ接続されていることを確認してから、復元を始める。

・ファイルを復元する前に、バックアップがマルウェアに感染していないかスキャンする。ランサムウェアはネットワーク上に長期間潜入し、検出前にバックアップへと感染している可能性があります。

・バックアップに使用される製品を定期的にパッチし、そこに含まれるよく知られた脆弱性を、攻撃者が一切悪用できないようにする。

攻撃者がランサムウェア攻撃を実行する前に、コピー済みファイルを破壊したり、リカバリープロセスを妨害したりしていた事例があります。バックアップアカウントおよびソリューションは、PAW（Privileged Access Workstations）、および「IP allow listing」を強化するハードウェアファイアウォールを用いて保護されていることが理想です。多要素認証（MFA）を有効にすべきですが、MFAの手法は、バックアップ管理に使われるのと同じデバイスには導入すべきではありません。特権アクセス管理（PAM）ソリューションを利用すれば、管理者が重要なバックアップシステムに直接アクセスする必要がなくなります。

Action ２：マルウェアへの感染と他のデバイスへ拡散を防ぐ

次の行動を組み合わせることで、デバイスに悪意のコンテンツが送られる可能性を縮減できます。

・自分が受け取りたいファイルタイプのみを許可するフィルタリングを行う。
・既知の悪質Webサイトをブロックする。
・コンテンツを積極的に調べる。
・既知の悪質コードをブロックするため、シグネチャを利用する。

以上のことは、ユーザーのデバイスではなく、ネットワークサービスによって行われます。例えば、

・悪質なEメールをブロックし、実行可能な添付ファイルを削除できるメールフィルタリング（スパムフィルタリングと併用）。これには、NCSCの「Mail Check」プラットフォームも役立ちます。
・既知の悪質Webサイトをブロックするインターセプティングプロキシ。
・特定のプロトコル（暗号化されたプロトコルを含む）のコンテンツが既知のマルウェアではないか精査する、インターネット・セキュリティゲートウェイ。
・悪質なコンテンツをホストしていると知られるサイトへのアクセスを防ぐ、ブラウザ内のセーフブラウジング・リスト。

公共セクターの組織は、NCSCのサービス「Protective DNS」の利用を推奨されています。これは、ユーザーが悪質サイトにアクセスすることを予防するものです。

ランサムウェアは、リモートデスクトッププロトコル（RDP）のような公開サービスや、未パッチのリモートアクセスデバイスを経由してアクセスを獲得する攻撃者によって展開されることが増えています。これを阻止するため、組織は次の行動を取るべきです。

・ネットワークに繋がる全てのリモートアクセスポイントで、MFAを有効にする。 また、ハードウェアファイアウォールを利用して「IP allow listing」を実施する。

・サービスへのリモートアクセスの際、NCSCの勧告に適合したVPNを利用する。つまり、インターネットに接続されたサービスとしてのソフトウェア（SaaS）やその他サービスでは、アクセスポリシーを明確にできるシングルサインオン（SSO）を利用する（さらに詳しい情報については、管理インターフェースの保護に関するブログ記事をご覧ください）。

・リモートアクセスの提供には、最小な権限モデルを利用する。（権限の弱いアカウントを認証に利用する。また、リモートセッション中のユーザーの権限昇格を必要に応じて許可する際は、監査済みのプロセスを提供する。）

・全てのリモートアクセスにおける既知の脆弱性、および外部と接触するデバイスへのパッチを早急に行う（組織内の脆弱性を管理する方法に関するガイダンスをご参照ください）。また、新たなパッチのインストールを盛り込んだ、ベンダーによる改善に関するガイダンスを、利用可能になり次第速やかに遵守する。

マルウェアが組織全体に広がるのを防ぐには、NCSCのラテラルムーブメントを防ぐためのガイダンスに従ってください。また、以下にもご注意ください：

・マルウェアが盗み出した認証情報を簡単に再利用されないように、MFAを利用してユーザーを認証してください。

・旧式プラットフォーム（OSやアプリなど）が他のネットワークから適切に分離されていることを確認します。詳細はNCSCの旧式プラットフォームガイダンスをご確認ください。

・定期的にユーザーの権限を見直し、不要になったユーザーの権限を削除することで、マルウェアの拡散能力を制限します。

・システム管理者が自分のアカウントをEメールやウェブ閲覧に使用しないようにする（マルウェアが高度なシステム権限で実行されないようにする）。

・デバイスにインストールされているソフトウェアのバージョンを把握し、セキュリティ更新を迅速に行えるようにするなど、優れた資産管理を心がけましょう。

・デバイスやインフラの最新パッチを維持し、特にネットワーク境界上のセキュリティを強化するデバイス（ファイアウォールやVPN製品など）を実装します。

Action ３：デバイス上でのマルウェアの実行を防止

「多層防御」アプローチでは、マルウェアが組織の全てのデバイスに感染していることを前提としています。したがって、マルウェアの実行を防ぐための対策を講じる必要があります。必要な対策はデバイスの種類、OS、バージョンによって異なりますが、一般的にはデバイスレベルのセキュリティ機能を利用することをお勧めします。また、以下の対策が考えられます：

・デバイスの一元管理 − AppLockerなどを使用して、企業が信頼するアプリケーションのみをデバイス上で実行し、信頼できるアプリストア（またはその他の信頼できるショップ）で入手したアプリのみ許可。

・ウイルス／マルウェア対策ソフトが必要かどうかを検討し、ソフトウェア（およびそのファイル）を最新の状態に保つ。

・セキュリティ教育と意識向上のためのトレーニングを組織内で実施。（例：NCSCのスタッフのためのトップヒント）

・スクリプト環境やマクロを無効化・制限するには：
⚪︎User Mode Code Integrity (UMCI) ポリシーを介してPowerShell 制約言語モードを実行 – AppLocker を UMCI のインターフェイスとして使用して、自動的に制約言語モードを適用。
⚪︎悪意のあるMicrosoft Officeマクロからシステムを保護。

・外部メディアの自動実行を無効化 (リムーバブルメディアは必要最小限に)。

攻撃者はデバイスの脆弱性を悪用し、コードを強制的に実行させることができます。デバイスを適切に設定し、最新の状態にしておくことで、これを防ぐことができます。以下を検討しましょう：

・製品の悪用可能なバグを修正し、すぐにセキュリティアップデートをインストール。

・可能であれば、OS、アプリケーション、ファームウェアの自動アップデートを有効化。

・OSやアプリケーションの最新バージョンを使用して、最新のセキュリティ機能を活用。

・ホストベースのファイアウォールとネットワークファイアウォールを設定し、デフォルトで受信接続を許可しないように設定。

NCSCのモバイルデバイスガイダンスでは、様々なプラットフォームでこれを実現するためのアドバイスを提供しています。

Action 4：インシデントの事前準備

ランサムウェア攻撃で使用されるマルウェアは、特に組織にとって壊滅的な被害をもたらす可能性があります。コンピュータシステムが使用できなくなり、場合によってはデータが回復しないこともあります。復旧が可能な場合は数週間かかることもありますが、企業の評判やブランド価値の回復にはさらに長い時間がかかる可能性があります。以下のアドバイスは、組織が迅速に復旧できるようにするために役立ちます。

・組織内の最も重要な資産を特定し、マルウェア攻撃を受けた際の影響範囲を評価

・可能性が低いと思っていても、攻撃に備えて計画を立てましょう。攻撃者が意図した標的ではなくても、間接的にマルウェアの影響を受けた組織の例は数多くあります。

・社内外のコミュニケーション戦略を策定しましょう。適切な情報を適切な利害関係者にタイムリーに届けることが重要です。

・身代金の要求と、組織のデータが公開されるという脅威にどのように対応するかを決めておきましょう。

・コンピュータシステムにアクセスできない場合に備えて、インシデント管理のプレイブックやチェックリスト、連絡先などのサポートリソースを利用できるようにしてください。

・規制当局へのインシデント報告に関する法的義務を明確にし、そのアプローチ方法を理解しておきましょう。

・インシデント管理計画を実行します。これにより、社員と第三者の役割と責任を明確にし、システムの復旧に優先順位をつけることができます。例えば、ランサムウェアの攻撃が広範囲に及んでネットワークの完全なシャットダウンが必要になった場合、以下の点を検討しましょう：
⚪︎必要最小限のデバイス数を復元し、再設定するまでにかかる時間。
⚪︎仮想環境と物理サーバをどのように再構築するか。
⚪︎バックアップソリューションからサーバーとファイルを復元するには、どのようなプロセスを踏む必要があるか。
⚪︎オンサイトシステムやクラウドバックアップサーバーが使用不能で、オフラインバックアップからの再構築が必要な場合、どのようなプロセスを踏む必要があるか。
⚪︎重要業務の運営をどのように継続するか。

・インシデントが発生した後は、インシデント管理計画を見直し、同じインシデントが再発しないように、教訓を組み込みましょう。

NCSCの無料オンラインツール「エクササイズ・イン・ア・ボックス」には、設定、計画、配信、実用後の活動のための資料が含まれています。

組織がすでに感染している場合の対処法

組織がすでにマルウェアに感染している場合は、以下の手順で影響を抑えることができます：

1．有線、無線、携帯電話をベースにしているかどうかに関わらず、感染したコンピュータ、パソコン、またはタブレットをすべてのネットワーク接続から直ちに切断します。

2．非常に深刻なケースでは、Wi-Fiをオフにして、コアネットワークの接続（スイッチを含む）をすべて無効にし、インターネットから切断する必要があるかもしれないかどうかを検討してください。

3．パスワードを含む資格情報をリセットしてください（特に管理者やその他のシステムアカウントの場合） – しかし、復旧に必要なシステムから自分自身をロックアウトしていないことを確認してください。

4．感染したデバイスを安全にワイプし、OSを再インストールします。

5．バックアップから復元する前に、マルウェアがないことを確認しましょう。バックアップと接続先のデバイスがクリーンであることを確信している場合にのみ、バックアップから復元してください。

6．クリーンなネットワークにデバイスを接続して、OSやその他すべてのソフトウェアのダウンロード、インストール、アップデートを行います。

7．ウイルス対策ソフトをインストール、アップデート、実行。

8．ネットワークに再接続してください。

9．ネットワークトラフィックを監視し、ウイルス対策スキャンを実行して、感染が残っているかどうかを確認します。

NCSCは、共同でアドバイザリーを公表しました：「悪意のある活動の発見と修復のための技術的アプローチ」は、修復プロセスに関するより詳細な情報を提供しています。

備考：ランサムウェアによって暗号化されたファイルは、通常、攻撃者以外の誰にも復号化できません。しかし、No More Ransom Projectでは、主要なマルウェア対策ベンダーが提供する復号化ツールやその他のリソースをまとめたものを提供していますので、参考になるかもしれません。

補足

（訳注：以下はイギリス国内での対応がまとめられています。日本では具体的な対応が異なります）

・自組織でセキュリティ上のインシデントが発生した場合、https://report.ncsc.gov.uk/ にアクセスして NCSC に報告することができます。また「Action Fraud」のWebサイトへの報告も奨励しています。

・NCSCは、「サイバー・インシデント・レスポンス」と呼ばれる企業向けのサービスを提供しており、認定を受けた企業による支援を受けることができます。

・サイバーセキュリティ情報共有パートナーシップ （Cyber Security Information Sharing Partnership; CiSP）は、コミュニティを支援し、英国のサイバー耐性を高めるための情報を協議・共有するための安全なポータルを国内組織に提供しています。新しいマルウェア、特にランサムウェアの影響を軽減するために、技術情報や侵害の指標を共有することをメンバーに奨励しています。

・また、「サイバーエッセンシャルズ」認証スキームを検討しましょう。顧客やパートナーは、自組織がこれらのリスクに対処していることを確認することができます。これらの緩和策の多くは、フィッシングなどの他のタイプの攻撃に対しても有効です。

・フィッシング攻撃から自組織を保護するためのNCSCのガイダンスに従ってください。

参考資料

翻訳元：National Cyber Security Centre　“Mitigating malware and ransomware attacks”
（2020年2月13日公開、9月11日改訂）
https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks

参考： “Open Government Licence”
Contains public sector information licensed under the Open Government Licence v3.0.
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/