NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

内閣サイバーセキュリティセンター（NISC）は4月30日、重要インフラ事業者等に向けてランサムウェアによるサイバー攻撃について注意喚起を行った。

NISCでは、日本国内でもランサムウェアによるサイバー攻撃が活発化し、クライアント端末だけでなくサーバへの被害も確認される中、ランサムウェア感染によるデータの暗号化、業務情報や個人情報の窃取等の被害は、経済・社会に大きな影響を与えることを踏まえ、予防策、感染した場合の緩和策、対応策等を検討するよう呼びかけている。

NISCでは対策について、予防、検知、対応、復旧の観点から行う必要があり、以下の通り具体的な例を示している。

1.【予防】ランサムウェアの感染を防止するための対応策
・セキュリティパッチの迅速な適用
・不要なポート（137（TCP/UDP）、138（UDP）、139（TCP）、445（TCP/UDP）、3389（TCP/UDP）やプロトコルを外部に開放しない
・悪用が報告されている以下のソフトウェアや機器の脆弱性への対処
　Fortinet 製 Virtual Private Network（VPN)装置の脆弱性（CVE-2018-13379）
　Ivanti 製 VPN 装置「Pulse Connect Secure」の脆弱性（CVE-2021-22893、CVE-2020-8260、CVE-2020-8243、CVE-2019-11510）
　Citrix 製「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix SD-WAN WANOP」の脆弱性（CVE-2019-19781）
　Microsoft Exchange Server の脆弱性（CVE-2021-26855 等）
　SonicWall Secure Mobile Access （SMA）100 シリーズの脆弱性（CVE-2021-20016）
　QNAP Systems 製 NAS（Network Attached Storage)製品「QNAP」に関する脆弱性（CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等）
　Windows のドメインコントローラーの脆弱性（CVE-2020-1472 等）
・職場から持ち出したPCを職場で再び利用する際のパッチ適用やウイルススキャン
・ウイルス対策ソフトの導入と最新化、定期スキャンの実施

2.【予防】データの暗号化による被害を軽減するための対応策
・重要なデータの定期的なバックアップ
・バックアップデータから実際に復旧できることの確認
・機微なデータや個人情報に対し特別なアクセス制御や暗号化の実施

3.【検知】不正アクセスを迅速に検知するための対応策
・サーバ、ネットワーク機器、PC等のログの監視強化
・振る舞い検知、EDR、CDM等の活用

4.【対応・復旧】迅速にインシデント対応を行うための対応策
・ランサムウェアへの対応計画が適切に策定できているかの確認
・一部職員が不在であっても、他の職員が迅速にシステム管理者に連絡できることを確認する
・組織内外に迅速に連絡できるよう連絡体制を確認