ランサムウェア攻撃の検出と対応

ランサムウェアのインシデントを示唆する可能性のあるトリガーはいくつかあります。 他の多くの種類のマルウェアとは異なり、信頼度の低いトリガー (インシデントを宣言する前に追加の調査や分析が必要になる可能性が高い) ではなく、ほとんどは信頼度の高いトリガー (インシデントを宣言する前に追加の調査や分析が必要になることがほとんどない) になります。

一般的に、このような感染は、基本的なシステムの動作、重要なシステム ファイルやユーザー ファイルの消失、身代金の要求などによって明らかになります。 この場合、アナリストは、攻撃を軽減するための自動化されたアクションを含めて、すぐにインシデントを宣言してエスカレートするかどうかを検討する必要があります。

ランサムウェア攻撃の検出

Microsoft Defender for Cloud は Extended Detection and Response (XDR) とも呼ばれる高品質の脅威検出と対応機能を提供します。

VM、SQL Server、Web アプリケーション、および ID に対する一般的な攻撃を迅速に検出して修復します。

• 一般的なエントリ ポイントの優先順位付け –ランサムウェア (およびその他の) 使用者は、エンドポイント/電子メール/ID + リモート デスクトップ プロトコル (RDP) を好みます。

  • 統合 XDR - Microsoft Defender for Cloud などの統合された Extended Detection and Response (XDR) ツールを使用して、高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑えます。
  • ブルートフォース - パスワード スプレーなどのブルート フォースの試行を監視します。

• セキュリティを無効にする敵対者を監視 - これは、多くの場合、人間が操作するランサムウェア (HumOR) 攻撃チェーンの一部です

• イベント ログのクリア - 特にセキュリティ イベント ログと PowerShell の操作ログ。

  • (一部のグループに関連付けられている) セキュリティ ツールとコントロールの無効化。

• 市販のマルウェアを無視しない - ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダーク マーケットから定期的に購入しています。

• プロセスに、Microsoft インシデント応答チーム (旧 DART/CRSP) など、外部の専門家を統合して専門知識を補完します。

• オンプレミス デプロイで Defender for Endpoint を使用して、侵害されたデバイスを迅速に隔離します。

ランサムウェア攻撃への対応

インシデントの宣言

ランサムウェア感染の成功が確認されたら、アナリストは、これが新しいインシデントを表しているのか、それとも既存のインシデントに関連しているのかを確認する必要があります。 類似したインシデントを示す、現在開かれているチケットを探します。 見つかった場合は、現在のインシデント チケットを、チケット発行システムの新しい情報で更新します。 これが新しいインシデントの場合は、関連するチケット発行システムでインシデントを宣言し、適切なチームまたはプロバイダーにエスカレートしてインシデントを封じ込めて軽減する必要があります。 ランサムウェア インシデントの管理には、複数の IT チームとセキュリティ チームによる対応が必要になる場合があることに注意してください。 可能であれば、ワークフローをガイドするために、チケットがランサムウェア インシデントとして明確に識別されていることを確認してください。

封じ込め/軽減

一般に、さまざまなサーバー/エンドポイントのマルウェア対策、電子メールのマルウェア対策、およびネットワーク保護ソリューションは、既知のランサムウェアを自動的に封じ込めて軽減するように構成する必要があります。 ただし、特定のランサムウェアの亜種がそのような保護を回避し、ターゲット システムに感染することができる場合もあります。

Microsoft では、Azure のセキュリティに関する上位のベスト プラクティスに基づいて、インシデント対応プロセスの更新に役立つ広範なリソースを提供しています。

次に示すのは、マルウェア対策システムによって実行された自動アクションが失敗した場合に、ランサムウェアに関連するインシデントを封じ込めるか軽減するための推奨されるアクションです。

1. 標準のサポート プロセスを通じてマルウェア対策ベンダーと協力する
2. マルウェアに関連するハッシュおよびその他の情報をマルウェア対策システムに手動で追加する
3. マルウェア対策ベンダーの更新プログラムを適用する
4. 修復可能になるまで、影響を受けたシステムを封じ込める
5. 侵害されたアカウントを無効にする
6. 根本原因分析を使用する
7. 影響を受けたシステムに関連するパッチと構成の変更を適用する
8. 内部および外部のコントロールを使用してランサムウェアの通信をブロックする
9. キャッシュされたコンテンツを削除する

回復のための行程

Microsoft Detection and Response Teamは、攻撃からの保護を支援します。

ランサムウェアのターゲットにとって、最初に侵害の原因となった根本的なセキュリティ上の問題を理解し、修正することが優先されるべきです。

Microsoft インシデント応答など、外部の専門家をプロセスに統合して専門知識を補完します。 Microsoft インシデント応答は世界中のお客様と連携し、攻撃が発生する前に攻撃に対する保護と強化を支援すると共に、攻撃が発生したときに調査して修復します。

お客様は、Microsoft Defender ポータル内で、セキュリティの専門家と直接やり取りして、タイムリーで正確な回答を得ることができます。 専門家は、組織に影響を与える複雑な脅威を深く理解するために必要な分析情報を提供します。この分析情報は、アラートの問い合わせ、侵害された可能性のあるデバイス、疑わしいネットワーク接続の根本原因などから取得し、継続的な高度な脅威キャンペーンに関する追加の脅威インテリジェンスに提供されます。

Microsoft は、会社が安全な業務に戻ることができるように支援する準備ができています。

Microsoft は、何百ものセキュリティ侵害からの回復を実行し、実証済みの方法論を持っています。 より安全な状況に移行させるだけでなく、状況に反応するだけではない、長期的な戦略を検討する機会を提供することができます。

Microsoft では、高速ランサムウェア復旧サービスを提供しています。 これに基づいて、ID サービスの復元、修復とセキュリティ強化、監視のデプロイなど、あらゆる領域で支援が提供されます。これらは、ランサムウェア攻撃のターゲットが最短の時間で通常のビジネスに戻るために役立ちます。

この高速ランサムウェア復旧サービスは、エンゲージメント期間中は "機密" として扱われます。 高速ランサムウェア復旧エンゲージメントは、Azure Cloud & AI ドメインの一部である侵害回復セキュリティ プラクティス (CRSP) チームによって独占的に提供されます。 詳細については、「Request contact about Azure security(Azure のセキュリティについての問い合わせ)」で CRSP にお問い合わせください。

参照トピック

「ランサムウェア攻撃に対する Azure の防御 ホワイト ペーパー」をご覧ください。

このシリーズの他の記事:

• Azure でのランサムウェア対策
• ランサムウェア攻撃の準備
• 保護、検出、対応を支援する Azure の機能とリソース