ランサムウェアの種別特定やセカンドオピニオンも ～ セキュリティ企業も頼りにできる JPCERT/CC

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月12日、インシデント相談・情報提供窓口対応状況について発表した。

　JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しており、被害組織に加え調査を支援するセキュリティベンダーやシステム運用会社など被害組織以外からも相談を受け付けている。

　JPCERT/CCでは、同窓口への相談と対応について、下記の通り紹介している。

1.セキュリティベンダーよりランサムウェア攻撃への対応方法の相談
ESXi上の仮想マシンが暗号化されるという、通常みられるファイル暗号化パターンのランサムウェア被害とは異なる事象であったため、同様の事例がないか照会

・JPCERT/CCの対応
関連するインシデントのIoC情報の提供
ランサムウェアの種別特定
セカンドオピニオンとしてのログ分析サポート
対応状況のヒアリングとアドバイス

2.クラウドサービス事業者のランサムウェア攻撃被害の相談
セキュリティベンダーがインシデント調査にあたっているものの、JPCERT/CCからもサポートして欲しいという内容であった。

・JPCERT/CCの対応
Windowsイベントログの調査
漏えいした可能性のある情報の特定
マルウェアの分析
対応状況のヒアリングとアドバイス

3.AWS S3のデータが暗号化された被害の相談
被害組織からシステム開発で使用しているAWS環境のデータが攻撃者に暗号化されたため、復旧に向けたアドバイスが欲しいという内容であった。

・JPCERT/CCの対応
初動対応のヒアリングとアドバイス
攻撃者の脅迫に応じる選択肢に関する相談
他社の被害事例の紹介
ダークウェブ上での情報漏えい有無の確認

4.Ivanti Connect Secureの脆弱性を悪用した攻撃の調査方法についての相談
セキュリティベンダーからIvanti Connect Secureの脆弱性を悪用した攻撃の被害を受けたVPN機器を調査する方法についての問い合わせ

・JPCERT/CCの対応
過去の調査事例などを参考に、どのようなログを調査したらよいのか、実際のインシデント事例を紹介

5.マルウェアNOOPDOORの感染被害の情報提供
セキュリティベンダーの調査でマルウェアNOOPDOORが確認されたことから、被害組織からマルウェアなどの情報提供

・JPCERT/CCの対応
セカンドオピニオンとしてログの分析やディスクイメージのフォレンジック調査を実施し、侵入経路の特定や情報漏えいの有無、攻撃者による感染拡大の有無の調査を実施

6.Palo Alto Networks製品の脆弱性を悪用する攻撃の情報提供
複数の組織から、Palo Alto Network製品の脆弱性（CVE2024-3400）を悪用したと思われる攻撃ログが発見されたとの情報提供

・JPCERT/CCの対応
ログを分析するとともに、攻撃元IPアドレスの特定、攻撃により発生する被害を相関的に分析・特定し、情報提供のあった各組織にフィードバック