書籍発刊「ランサムウエアから会社を守る～身代金支払いの是非から事前の防御計画まで」の見どころ

こんにちは、ラックサイバー救急センターの佐藤敦です。

2022年11月21日にラックサイバー救急センターのメンバーが共同執筆した書籍『ランサムウエアから会社を守る～身代金支払いの是非から事前の防御計画まで』が発刊されます。

ランサムウェアとは身代金を要求するサイバー攻撃のことです。ランサムウェア被害が日々増加する状況を、われわれの手で少しでも変えることはできないかーー企業経営層の皆さまに「備えのない会社はランサムウェア攻撃の格好のターゲットとなり、その被害は甚大であること」を知ってもらう必要があり、実務担当者には「身を守るために必要な対策方法」を知ってもらう必要があります。世の中にこの両方を発信しよう、そのような思いで執筆に至りました。

この記事では、サイバー救急センターのメンバーが本書を執筆した経緯や本書の特徴などをお伝えします。

執筆に至った思い

ランサムウェア被害の深刻化

独立行政法人情報処理推進機構（IPA）が2022年5月に公開した「情報セキュリティ10大脅威2022」において、組織に対する最大の脅威は「ランサムウェアによる被害」となっています。前年2021年もランサムウェアが最大の脅威であり、2年連続の1位です。ここでもし、「狙われるのは資産の多い大企業だからうちの会社は大丈夫」と思っていたら危険です。

警察庁が2022年4月に公開した「令和３年におけるサイバー空間をめぐる脅威の情勢等について」によると、被害を受けた組織の規模別内訳は、大企業34％、中小企業54％となっており、高額な身代金を期待できる大企業のみを攻撃対象としているわけではなく、企業規模を問わず攻撃対象になっていることが分かります。

企業・組織にとって事業継続を脅かす最大の脅威の1つにランサムウェアが挙げられるでしょう。

サイバー救急センターによるサイバー攻撃被害相談対応

ラックサイバー救急センターは、サイバー攻撃や情報漏えいなどが発生した企業や団体を救済するサービスを提供しています。1年間の救済に出動する件数は400件を超え、これまで4,000件を超える事故に対応してきました。事故発生時には、電話などによる相談に対応し、緊急対応が必要な場合には専門のコンサルタントを派遣し、原因を確認する追跡調査、緊急的な対策、対外コミュニケーションのあり方までもサポートしています。

被害相談・対応支援から思うこと

現在のランサムウェア攻撃は、標的型ランサムウェアと呼ばれる特定の組織を狙った攻撃が主流となっています。組織のコンピューターシステムに穴を開けて侵入し、組織にダメージを与えるデータを狙い撃ちにします。防ぐのが難しく、侵入された後の対処も難しくなります。サイバー救急センターでは、標的型ランサムウェアの被害が表面化する以前から、標的型攻撃（APT）と呼ばれる組織内部に深く侵入される事案に対処してきました。標的型ランサムウェアの手口は、これらに共通点が多く、インシデントを対処するにあたってその経験やノウハウが大いに役立っています。

一方で、お客様と一緒にインシデント対応を実施していると「この部分の簡単な対策だけでもしていれば、ここまで甚大な被害にはならなかったのに」と歯がゆい思いをすることがよくあります。

そこで、われわれのインシデント対応から得た知見を余すところなく提供し、被害防止や実際に被害に遭った際の被害低減などに生かしてもらいたいと考え、本書を執筆することにしました。

本書の特徴

専門用語が少なく読みやすい

ランサムウェアに関する書籍は多くがエンジニア向けで、専門用語が多くエンジニア以外の方が理解するのは難しいものでした。本書では、ランサムウェアに関するビジネスインパクトとインシデント対応時の経営判断など、会社経営に携わる人が知りたいであろう内容については、できる限り専門用語を使わないように工夫しています。

ITに苦手意識を持っている方でも、ランサムウェアによる被害がいかに甚大なものであり、その対策が重要であることを理解していただけるかと思います。

具体的な調査・対応方法を提供

ランサムウェアは適切な対策を取ることで被害を最小限に抑えることができます。しかし、そのような対策を取っていない状況で被害に遭うケースもまだまだ少なくありません。本書では、そのような状況で被害に遭ってしまった場合を想定し、被害を最低限とするためには実務者・技術者がどのように対応を進めるべきか、その具体的な調査・対応方法を記載しています。

具体的な対応内容をまとめた資料を巻末に「標的型ランサムウェアチェックリスト」として掲載しましたので、対応漏れがないか確認する資料として活用できます。

ランサムウェア被害を最小限にするための対策方法を提供

今後、ランサムウェアによる攻撃を受けた場合でも被害を最小限にするための対策方法も記載しています。
現在、その有力な具体策の1つとして、攻撃者がOSの標準ツールを使用した場合などの不審な挙動も検知できるEDR（Endpoint Detection and Response）の導入が不可欠だとして注目を集めています。
しかし、世の中にはEDRと呼ばれている製品が数多く存在し、利用できる機能は様々で玉石混交です。

サイバー救急センターでは、EDR製品のアラートを監視しアラート発生時に原因調査を行う「マネージドEDRサービス」も提供しており、様々な製品の検証も行っています。

本書では、製品検証による知見から得た選定基準「ランサムウェアから身を守るためにはどのような観点でEDR製品を選定すればよいのか」をお伝えしています。

攻撃者の人物像も紹介

攻撃者グループからリークされたチャットログなどの分析から、攻撃者グループの組織構成やどのように被害組織と交渉を進めているのかなど、攻撃者の人物像についても紹介しています。

実際のチャットログを紹介し、攻撃者グループが会社組織としての体を成していることや勤務ローテーション、雇用体系、給与支払い方法などの内情を知ることができます。

攻撃者グループ内で犯行前に共謀している内容や、被害組織との交渉内容など臨場感たっぷり伝わりますので、攻撃者グループと被害組織の両面を疑似体験できます。

書籍情報

概要

目次

• 仮想ドキュメンタリー1 被害の発覚
• 第1章 ランサムウエアは企業経営に大きな打撃を与える
  1-1　ランサムウエアはリスクの低い誘拐
  1-2　ランサムウエアで国民の生活にも被害
  1-3　日本の被害状況～半年で被害は倍増
  1-4　標的は個人から企業にシフト
  1-5　攻撃者はビジネス化した組織
  1-6　調査・復旧に掛かる費用
• 仮想ドキュメンタリー2 臨時取締役会
• 第2章 ランサムウエア被害に遭ったらどのような判断をするべきか
  2-1　対応手腕が企業の信頼に直結する
  2-2　身代金は支払うか支払わないか
  2-3　身代金を支払った事例
  2-4　支払いを選択する場合の留意点
  2-5　ビジネスを復旧するには
  2-6　取引先などへの報告と情報の公表
  2-7　インシデント対応時の留意事項
• 仮想ドキュメンタリー3 復旧への道のり
• 第3章 ランサムウエア被害に遭ったらどのような技術対応をするべきか
  3-1　戦う前に敵を知る
  3-2　インシデント対応で実施すること、しないこと
  3-3　応急処置をしながら攻撃を食い止める初動対応
  3-4　手掛かりを利用した被害範囲特定
  3-5　調査データの収集と可視化
  3-6　被害リソースのクリーン化
  3-7　不十分なインシデント対応で終わらないために
  3-8　通常業務に戻るために
• 仮想ドキュメンタリー4 攻撃者たちの日記
• 第4章 ランサムウエアによる手口と攻撃者像
  4-1　ランサムウエアは何をするのか
  4-2　どこから感染してしまうのか
  4-3　攻撃者グループのリークされた情報
  4-4　攻撃者の糸口
  4-5　今後予想されるランサムウエアの影響
• 第5章 ランサムウエアによる被害を抑えるには
  5-1　ランサムウエア対策の考え方
  5-2　侵入されうる経路を考える
  5-3　被害に備えて
  5-4　侵入を検知するには
  5-5　管理体制を整える
  5-6　対策の優先順位とコスト

著者プロフィール

佐藤 敦（さとう あつし)
元千葉県警察サイバー犯罪特別捜査官。
法執行機関および監査法人にて、サイバー犯罪事件捜査、企業内不正調査、デジタル・フォレンジック調査、e-Discovery業務に従事。2017年ラック入社。2019年よりサイバー救急センター フォレンジックサービスグループマネジャー。
2017、2018年セキュリティ・キャンプ全国大会講師。2019年サイバー犯罪に関する白浜シンポジウム セキュリティ道場講師。
CISSP、情報処理安全確保支援士（第001406号）、公認不正検査士。
第1章、第2章担当、全体監修

漆畑 貴樹（うるしばた たかき）
2018年 東京大学大学院理学系研究科天文学専攻博士課程修了。博士（理学）。
同年ラック入社。CDNおよびクラウドWAF製品のプリセールス業務に従事後にWAFの運用管理およびポリシー設計業務に従事。
2021年よりサイバー救急センターにてコンピュータフォレンジック調査員としてインシデント対応業務に従事。
GCFE、情報処理安全確保支援士（第019530号）。
第3章担当

武田 貴寛（たけだ たかひろ）
2016年 中央大学総合政策学部卒業。
同年ラック入社。セキュリティ監視センターJSOCにてアナリスト業務に従事。
2017年、日本サイバー犯罪対策センター（JC3）にてマルウェア解析やログ解析、解析基盤の構築に従事。
2019年よりサイバー救急センターにて脅威情報取集・マルウェア解析に従事。
PACSEC、AVAR、HITCONの海外カンファレンスに登壇経験あり。GREM。
第4章担当

古川 雅也（ふるかわ まさや）
2018年 会津大学大学院コンピュータ理工学研究科博士前期課程修了。
同年ラック入社。サイバー救急センターにてネットワークフォレンジック、他社CSIRT支援、コンピュータフォレンジック調査に従事。
2021年より同センターにてマネージドEDRサービスにおけるアナリストを担当。
GCFE、情報処理安全確保支援士（第022885号）。
第5章担当

関 宏介（せき こうすけ）
2005年 東京工業大学生命理工学部卒業。
同年ラック入社。2008年からインシデント対応業務、フォレンジック技術を使用した情報漏えい事件の調査・対策支援などに従事。
2021年よりサイバー救急センター長。2021年農林水産省最高情報セキュリティアドバイザー。セキュリティ・キャンプ全国大会やデジタル・フォレンジック研究会の講師として後進の育成にも取り組んでいる。
CISSP、GCFA、情報処理安全確保支援士（第003706号）。
全体監修

おわりに

サイバー救急センターでは、企業の様々な情報セキュリティ事故発生時に、ラックの事件・事故対応ノウハウによって、迅速な調査、原因究明、復旧などを行う緊急事故対応サービスを提供しています。

マルウェアなどのウイルス感染やサイバー攻撃、Webサイト改ざん、情報漏えいなどのサイバー事故の疑いや、被害などが発生したらすぐにご相談ください。