初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 | ScanNetSecurity
2024.05.29(水)

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月26日、JPCERT/CCが対応したランサムウェア攻撃事案の分析と、初動対応段階に必要なファーストレスポンダーや専門組織同士の情報共有のポイントについての解説記事を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
ファーストレスポンダー/専門組織同士の情報共有
ファーストレスポンダー/専門組織同士の情報共有 全 1 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月26日、JPCERT/CCが対応したランサムウェア攻撃事案の分析と、初動対応段階に必要な「ファーストレスポンダー(インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関)」や、専門組織同士の情報共有のポイントについての解説記事を発表した。

 経済産業省が3月11日に公開した「攻撃技術情報の取扱い・活用手引き」は、インシデント対応支援にあたるファーストレスポンダーや専門組織同士の情報共有を促進するためのレファレンスで、JPCERT/CCは検討会共同事務局として参加し、手引き案の作成にも携わっている。同手引きではファーストレスポンダーについて、インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関などのこととしている。

 2024年1月に開催されたJSAC2024では、JPCERT/CC 佐々木氏の発表にて、いかに初動対応時点でランサムウェアの特定やアクターの推測を行い、適切な初動判断につなげるべきか、事例分析に基づく問題提起を行っている。

 JPCERT/CCでは、ランサムウェア攻撃のインシデント対応の相談があった際には、最初に下記を行っている。

・ランサムウェアの特定と種別に応じた初動対応方法のアドバイス
・アクターの特定と当該アクターが直近で多用するアタックベクターに関する情報提供
・アクセスログなどの分析による侵入経路・横展開範囲の特定支援

 また、ランサムウェア攻撃についてはこの3~4年で被害が拡大してきた経緯から、ファーストレスポンダーとなるセキュリティベンダー等の多くで知見が不足しており、特にグループ特定が難しいランサムアクターの特定のために、平時からファーストレスポンダー同士の情報共有が重要であると指摘している。

 JPCERT/CCでは今後の普及啓発活動のために3月25日から、ファーストレスポンダー向けの相談/セカンドオピニオン相談窓口を新たに設置する。

《ScanNetSecurity》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

    社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

  2. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  3. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  4. 総務省 SBOM 対応ノスゝメ

    総務省 SBOM 対応ノスゝメ

  5. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

ランキングをもっと見る
PageTop