ITシステム管理サービスのKaseyaのランサム攻撃との戦いについて

ITシステム管理サービスがランサムウェア攻撃を受けた場合、多くのMSP(マネジメントサービスプロバイダー)、いわゆるITシステム管理代行サービスは、訴訟リスクを伴う復旧対策が必要となります。
この度、2021/7/2に発生したKaseyaのランサム攻撃を受けたMSPの担当者とHuntress社の貴重なアドバイスがredittで取り交わされていました。

今後は日本においても情報漏洩に詳しい弁護士(ブリーチコーチ)との連携、サイバーセキュリティ保険などが普及すると感じます。


MSP企業オーナー:昨夜は眠れませんでした…RMM(リモート監視と管理)が危険にさらされた場合はどうしたら良いでしょうか?

体制を整える

状況が発生したらすぐに、弁護士/外部の法務チームに、この状況に対処できるかどうかを迅速に判断してもらいます。1000%の自信がない場合は、ブリーチコーチ(弁護士)を連れてきて、この状況を回避し、会社の内部/外部メッセージを作成し、企業の責任を最小限に抑えるように依頼します。「ブリーチ」(漏洩)という言葉は、ほとんどの州で法的意味があり、非常に具体的な通知要件が必要になる可能性があるため、使用しないでください(ブリーチコーチ/弁護士が詳細を提供します)。法務部門は通常、弁護士と依頼人の権利に関する懸念事項(州/国によって異なります)をナビゲートするために、インシデント対応プロバイダーと連絡を取ります。法が執行されたらすぐに、サイバーセキュリティ保険会社に連絡してください。彼らは上記の事について、あなたの法律顧問よりも助けになります。

リーダーは戦術的なリスク分析を迅速に実行して、月曜日の朝一から始まる業務に影響を与える重要なシステムを特定する必要があります。重要なシステムと、訴訟を起こされる可能性が高い顧客のベン図を作成することから始めてください。復旧作業には数週間程度掛かります。

証拠の保全と対応を開始します

これには、リーダーシップが必要となる2つの取り組みがあります。

多くのログは数日後に「ロールオーバー」し始め、「ハッカーはどのようにして侵入したのか」を知ることができる貴重な痕跡を失います。この情報は、訴訟準備のためにも保存する必要があります。チームの一部が、少なくとも重要なサーバー(理想的にはすべてのホスト)、O365またはVPN認証、ESXiログ(リモートコードの悪用の指標)、およびその他の意味のあるログ(バックアップおよび認証システムへのログイン)からイベントログをすばやくダンプして確認します。外部のインシデント対応はこれらを支援し、企業に独立した専門家の証言を与えることができます。

もう一つの作業は、バックアップ、ドメイン管理、およびリモート管理ツールが機能しているかどうかを把握する必要があります。パスワードのリセットを自動化し、ログオフを強制し、保護/検出/応答機能を展開するシステムがなければ、回復にかかる期間が長期化します。復旧に優先順位を付けることができるように、24時間以内にすべての暗号化されたシステムの検証済みインベントリを作成することも必要です。チームの作業をガントチャートで管理しましょう。

例えるならばマラソンです。これは短距離走ではありません。

チームが休んでいる間に、食事ができる計画を開始します。睡眠/シャワーのスケジュールを作成します。定期的に会議するグループ通話専用の通信手段を確立します。今後10日間は仕事に集中し続けることを、すべての夫/妻に告知します。例えばベビーシッターを依頼するための計画していますか?いっそのこと書面を配偶者へ持参し、緊急事態の呼び出しに応じて支援する承諾書を読み上げます。競合しないMSPを活用して、キャパシティを超える場合に対処するための追加のオンサイト支援を提供します(NDAを忘れないでください)。メンバーのやる気を引き出します。ポジティブな行動を呼びかけます。ほとぼりが冷めたら、この機会を利用して長年にわたって溜め込まれた負債を解消してください。深呼吸。。。

私たちが協力しているほとんどのMSPは、これらのインシデントからクライアントの15%以上を失うことはありません。多くのMSPは、クライアントとの信頼を高め支払い額を増やしています。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター