ランサムウェア攻撃の検出と対応

ランサムウェアのインシデントを示す可能性のあるトリガーがいくつかあります。 他の多くの種類のマルウェアとは異なり、信頼度の低いトリガー (インシデントを宣言する前に追加の調査や分析が必要になる可能性が高い) ではなく、ほとんどは信頼度の高いトリガー (インシデントを宣言する前に追加の調査や分析が必要になることがほとんどない) になります。

一般的に、このような感染は、基本的なシステムの動作、重要なシステム ファイルやユーザー ファイルの消失、身代金の要求などによって明らかになります。 この場合、アナリストは、攻撃を軽減するための自動化されたアクションを含めて、すぐにインシデントを宣言してエスカレートするかどうかを検討する必要があります。

ランサムウェア攻撃の検出

Microsoft Defender for Cloud は Extended Detection and Response (XDR) とも呼ばれる高品質の脅威検出と対応機能を提供します。

VM、SQL Server、Web アプリケーション、および ID に対する一般的な攻撃を迅速に検出して修復します。

• 一般的なエントリ ポイントの 優先順位付け – ランサムウェア (およびその他) オペレーターは、エンドポイント/電子メール/ID + リモート デスクトップ プロトコル (RDP) を優先します
  • 統合 XDR - Microsoft Defender for Cloud などの統合された Extended Detection and Response (XDR) ツールを使用して、高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑えます。
  • ブルートフォース - パスワード スプレーなどのブルート フォースの試行を監視します。
• 敵対者によるセキュリティ 無効化の監視 - これは多くの場合、人間が操作するランサムウェア (HumOR) 攻撃チェーンの一部であるため
  • イベント ログのクリア - 特にセキュリティ イベント ログと PowerShell の操作ログ。
  • (一部のグループに関連付けられている) セキュリティ ツールとコントロールの無効化。
• 市販のマルウェアを無視しない - ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダーク マーケットから定期的に購入しています。
• Microsoft Detection and Response Team (DART) など、外部の専門家をプロセスに統合して専門知識を補完する。
• オンプレミスのデプロイで、Defender for Endpoint を使用して、侵害されたコンピューターを迅速に分離する。

ランサムウェア攻撃への対応

インシデントの宣言

ランサムウェアの感染が正しく確認された後に、アナリストはこれが新しいインシデントを表すか、または既存のインシデントに関連しているかを確認する必要があります。 類似したインシデントを示す現在開かれているチケットを探します。 見つかった場合は、現在のインシデント チケットを、チケット発行システムの新しい情報で更新します。 これが新しいインシデントの場合は、関連するチケット発行システムでインシデントを宣言し、適切なチームまたはプロバイダーにエスカレートしてインシデントを封じ込めて軽減する必要があります。 ランサムウェアのインシデントを管理する場合は、複数の IT チームおよびセキュリティ チームによるアクションの実行が必要になる場合があることに注意してください。 可能であれば、ワークフローをガイドするために、チケットがランサムウェア インシデントとして明確に識別されていることを確認してください。

封じ込め/軽減

一般に、さまざまなサーバー/エンドポイントのマルウェア対策、電子メールのマルウェア対策、およびネットワーク保護ソリューションは、既知のランサムウェアを自動的に封じ込めて軽減するように構成する必要があります。 ただし、場合によっては、特定のランサムウェアのバリエーションが、このような保護をバイパスし、ターゲット システムを感染させることができる場合もあります。

Microsoft では、Azure のセキュリティに関する上位のベスト プラクティスに基づいて、インシデント対応プロセスの更新に役立つ広範なリソースを提供しています。

次に示すのは、マルウェア対策システムによって実行された自動アクションが失敗した場合に、ランサムウェアに関連するインシデントを封じ込めるか軽減するための推奨されるアクションです。

1. 標準のサポート プロセスを通じてマルウェア対策ベンダーと協力する
2. マルウェアに関連するハッシュおよびその他の情報をマルウェア対策システムに手動で追加する
3. マルウェア対策ベンダーの更新プログラムを適用する
4. 修復可能になるまで、影響を受けたシステムを封じ込める
5. 侵害されたアカウントを無効にする
6. 根本原因分析を使用する
7. 影響を受けたシステムに関連するパッチと構成の変更を適用する
8. 内部および外部のコントロールを使用してランサムウェアの通信をブロックする
9. キャッシュされたコンテンツを削除する

回復のための行程

Microsoft Detection and Response Teamは、攻撃からの保護を支援します。

ランサムウェアの犠牲者は、最初のセキュリティ侵害の原因となっている基本的なセキュリティの問題を理解し、修正することを優先する必要があります。

Microsoft Detection and Response Team (DART) など、外部の専門家をプロセスに統合して専門知識を補完する。 DART は世界中のお客様と連携し、攻撃が発生する前に攻撃に対する保護と強化を支援すると共に、攻撃が発生したときに調査して修復します。

お客様は、Microsoft Defender ポータル内からセキュリティの専門家と直接連携して、タイムリーかつ正確な対応を行うことができます。 専門家は、組織に影響を与える複雑な脅威を深く理解するために必要な分析情報を提供します。この分析情報は、アラートの問い合わせ、侵害された可能性のあるデバイス、疑わしいネットワーク接続の根本原因などから取得し、継続的な高度な脅威キャンペーンに関する追加の脅威インテリジェンスに提供されます。

Microsoft は、会社が安全な業務に戻ることができるように支援する準備ができています。

Microsoft は、何百ものセキュリティ侵害からの回復を実行し、実証済みの方法論を持っています。 より安全な状況に移行させるだけでなく、状況に反応するだけではない、長期的な戦略を検討する機会を提供することができます。

Microsoft では、高速ランサムウェア復旧サービスを提供しています。 これにより、ID サービスの復元、修復とセキュリティ強化、監視の展開など、あらゆる領域の支援を提供します。これらは、ランサムウェア攻撃の被害者が最短の時間で通常のビジネスに戻るために役立ちます。

この高速ランサムウェア復旧サービスは、エンゲージメント期間中は "機密" として扱われます。 迅速なランサムウェア復旧のエンゲージメントは、Azure Cloud と AI Do の一部である Compromise Recovery Security Practice (CRSP) チームによってのみ提供メイン。 詳細については、「Request contact about Azure security(Azure のセキュリティについての問い合わせ)」で CRSP にお問い合わせください。

参照トピック

「ランサムウェア攻撃に対する Azure の防御 ホワイト ペーパー」をご覧ください。

このシリーズの他の記事:

• Azure でのランサムウェア対策
• ランサムウェア攻撃の準備
• 保護、検出、対応を支援する Azure の機能とリソース