近年のランサムウェア攻撃手法は「メールばらまき型」ではなく「不正侵入型」へ変化。侵入後の侵害拡大を行い、Active Directory(AD)など を乗っ取って、組織内のサーバやパソコンに対して一斉に ランサムウェア感染を狙う。また、復旧を阻害するため、バックアップサーバ等も狙わ れる場合があります。ランサムウェアの実行は「攻撃の最終フェーズ」であるこ とから、感染判明時には既に大規模インシデントが発生し ている可能性があります。

インシデント発生を前提とした対策を

▶︎脆弱性管理の徹底
• 脆弱性情報の適切な入手と把握、迅速かつ適切な脆弱性対応

▶︎強固な認証方式の利用
• 二要素認証やクライアント証明書などを活用した強固な認証方式の利用
• パスワード認証を利用する場合は、強固なパスワードポリシーの利用

▶︎定期的なアカウントの棚卸し
• 定期的にアカウントの棚卸しを実施し、不要なアカウントの無効または削除

▶︎ログの安全な保存、定期的なログレビューの実施
• ログの長期保存
• 利用状況の把握、定期レビューによる不審なアクティビティの検出

▶︎インシデントに対する体制整備・サイバーセキュリティ保険
• インシデント発生を前提とした体制の整備、リソースの確保、対応訓練の実施、費用計画など