10年間に渡り気付かなかった「顧客情報持ち出し」

ところで、昨年(2023年)12月26日にNPO法人日本ネットワークセキュリティ協会(JNSA)から「JNSA 2023セキュリティ十大ニュース」^*1が公開されていることをご存じでしょうか。

その中にも、インシデント対応が世の中の批判となって現れた事件・事故が入っていました。例えば、第2位に挙げられているNTTマーケティングアクトProCX社とNTTビジネスソリューションズ社が共同発表した元派遣社員による顧客情報持ち出しです。これまでにも他社で同様な事件が起きてきた中で、10年間に渡って気づかなかったことが残念でなりませんし、その分、インシデント認知後の社内調査や分析には多大なご苦労があったのだろうと推察します。

インシデント認知後に早期復旧できたケースも

また、第6位に挙げられている名古屋港運協会から公式発表された名古屋港統一ターミナルシステムでのランサムウェア感染事故では、インシデントを認知後、速やかに発生状況の確認や関係先への通知、プレス発表などが行われたようです。認知後約2.5日での復旧ということからも、適切な組織マネジメントが実行されていたのではないかと感じました。それだけに、これまで何度も注意喚起のあったVPN機器の脆弱性を突く攻撃被害に遭ってしまったことがとても残念に思いました。

ニュースで取り上げられた他のインシデントも含め、さまざまなインシデントにどのように対応すれば良いかという点では、これまでにお話ししてきた情報資産の把握（第2回）や4つのポイントを押さえたセキュリティ対策の実施（第3回）、基本ステップに促したインシデント対応に依拠することが大切であることを改めて実感しているところです。

ある日突然、インシデントの報告を受けたら、あなたはどうする・・・

それを理解したとしても、現実的にはいろいろなタイプのインシデントへの対応レベルを一度に上げることは困難ですので、ここではランサムウェアに感染したケースで考えてみたいと思います。

読者のあなたは総務部長で、ITシステムの管理も兼務していると想定します。ある日、従業員から「ファイルが開けず仕事ができません。周りのプリンタから『身代金を支払わなければデータが公開される』と書かれた紙が連続して印刷されています。」との報告を受けました。さて、それを聞いたあなたはどうしますか。

先ず、被害状況を確認して下さい。どんな種類のファイルが利用できないのか、どれだけのパソコンなどの端末が同じ状況になっているのかなど、被害の様子や範囲を把握することが大事です。そして、優先的に対処することも決定します。また、対応記録を残すことは忘れずに。

インシデント発生後、電源切断が正解とは限らない

次いで、被害拡大を防止しましょう。感染が明らかになっている端末は勿論、感染していることが少しでも想定される端末は全てネットワークから外します。この時、端末の電源切断は、それを実行しない限り復旧することができない場合を除き、行わないで下さい。再起動した結果、解析に必要な情報を失う、バックアップに必要な情報が暗号化されてしまうなどの不都合が発生し、その後の解析活動を困難にしてしまう可能性があります。

感染端末（恐れを含む）を隔離した後は、端末の画面表示などから感染したランサムウェアの種類を特定しましょう。その後の解析やデータ復号の処置の際に活用できます。そして、ウイルス対策ソフトでウイルスチェックを行い、端末内のランサムウェアを完全に駆除して下さい。

その後、バックアップからデータを復元します。もし、バックアップが無い場合はJPCERT/CC^*2のサイト^*3から案内されている復号ツールを試行してみるのも良いと思います。バックアップの取得はとても大事ですね。

忘れてはいけない、警察本部への通報

最後に、組織外への被害拡大防止や攻撃者の特定などのために、最寄りの警察本部に通報しましょう。身代金については、支払っても確実にデータ復元ができると断言できませんし、盗まれたデータを攻撃者が完全消去してくれるとも言い切れません。また、支払うことによって、再度狙われる可能性も高まるので、身代金は支払わないようにして下さい。

大事なのは、「対応ルール」の整備と、「訓練」の実施

もうお気付きかもしれませんが、突然訪れるインシデントに慌てず対処するためには、事前のインシデント対応ルールの準備が必須ですよね。準備するだけでなく、是非、訓練も行って下さいね。

さて、ここまでランサムウェア感染後の対応についてお話ししてきましたが、内部不正やシステム障害など、他の要因のケースでは違った対応が求められますので、今年度（2023年度）より追加されたセキュリティ分野の事業継続力強化計画認定制度を活用され、明確にしておきましょう。

残念ながら、筆者のコラムシリーズは今回が一旦最後になります。これまでお付き合い頂きましてありがとうございました。このシリーズのコラムが、読者の皆さまの安全・安心な事業活動の継続に少しでもお役に立てたのならとても嬉しいです。それでは、またどこかでお会いしましょう。

*1 https://www.jnsa.org/active/news10/

*2 JaPan Computer Emergency Response Team Coordination Center (JPCERT/CC)
サイバー攻撃の情報を収集・分析し、セキュリティ対策の支援や警告を技術的な立場で提供している中立の組織。

*3 https://www.jpcert.or.jp/magazine/security/nomore-ransom.html#4