ランサムウェア攻撃への対応

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

ランサムウェア攻撃を受けていると思われる場合、または現在ランサムウェア攻撃を受けていると思われる場合は、すぐにインシデント対応チームと安全な通信を確立します。 攻撃を中断し、ダメージを軽減するために、次の応答フェーズを実行できます。

• 調査と封じ込め
• 根絶と回復

この記事では、ランサムウェア攻撃に対応するための一般化されたプレイブックを提供します。 この記事で説明されている手順とタスクを、独自のセキュリティ操作プレイブックに適応することを検討してください。 注: ランサムウェア攻撃の防止については、「ランサムウェア の防止をすばやく展開する」を参照してください。

コンテインメント

封じ込めと調査は可能な限り同時に行う必要があります。ただし、封じ込めをすばやく実現することに焦点を当てる必要があるため、調査する時間が長くなります。 これらの手順は、攻撃の範囲を特定し、影響を受けるエンティティ (ユーザー アカウントやデバイスなど) のみに分離するのに役立ちます。

手順 1: インシデントのスコープを評価する

この質問とタスクの一覧を実行して、攻撃の範囲を検出します。 Microsoft Defender XDRは、インシデント対応評価を支援するために、影響を受ける資産またはリスクの高い資産をすべて統合して表示できます。 「Microsoft Defender XDRを使用したインシデント対応」を参照してください。 インシデント内のアラートと証拠リストを使用して、以下を決定できます。

• 侵害される可能性のあるユーザー アカウントはどれですか?
  • ペイロードの配信に使用されたアカウントはどれですか?
• どのオンボードデバイスと検出されたデバイスが影響を受け、どのように影響を受けますか?
  • 発信元デバイス
  • 影響を受けたデバイス
  • 疑わしいデバイス
• インシデントに関連付けられているネットワーク通信を特定します。
• 影響を受けるアプリケーションはどれですか?
• どのペイロードが拡散されましたか?
• 攻撃者は侵害されたデバイスとどのように通信していますか? (ネットワーク保護を 有効にする必要があります):
  • インジケーター ページに移動して、IP と URL のブロックを追加します (その情報がある場合)。
• ペイロード配信メディアとは

手順 2: 既存のシステムを保持する

既存のシステムを攻撃から保護するには、次のタスクと質問の一覧を実行します。

• オンライン バックアップがある場合は、攻撃が含まれていると確信できるまで、バックアップ システムをネットワークから切断することを検討してください。ランサムウェアから保護するためのバックアップと復元の計画に関するページを参照してください。 |Microsoft Docs。
• 差し迫ったアクティブなランサムウェアのデプロイが発生している場合、または想定されている場合:
  • 攻撃の一部であると思われる特権アカウントとローカル アカウントを一時停止します。 これは、Microsoft Defender ポータルのインシデントのプロパティの [ユーザー] タブから行うことができます。
  • すべてのリモート ログオン セッションを停止します。
  • 侵害されたユーザー アカウントのパスワードをリセットし、侵害されたユーザー アカウントのユーザーに再度サインインするように要求します。
  • 侵害される可能性のあるユーザー アカウントでも同じ操作を行います。
  • 共有ローカル アカウントが侵害された場合は、IT 管理者に、公開されているすべてのデバイスでパスワードの変更を強制できるようにします。 Kusto クエリの例:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• まだ分離されておらず、重要なインフラストラクチャの一部ではないデバイスの場合:
  • 侵害されたデバイスをネットワークから分離しますが、シャットダウンしないでください。
  • 発信元デバイスまたはスプレッダー デバイスを特定する場合は、最初にデバイスを分離します。
• 分析のために侵害されたシステムを保持します。

手順 3: 拡散を防ぐ

この一覧を使用して、攻撃が追加のエンティティに拡散されないようにします。

• 共有ローカル アカウントが攻撃で使用されている場合は、 ローカル アカウントのリモート使用をブロックすることを検討してください。
  • ローカル管理者であるすべてのネットワーク ログオンに対する Kusto クエリ:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• RDP 以外のログオンに対する Kusto クエリ (ほとんどのネットワークではより現実的):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• 検疫し、感染したファイルのインジケーターを追加します。
• ウイルス対策ソリューションが最適な保護状態で構成できることを確認します。 Microsoft Defenderウイルス対策の場合、これには次が含まれます。
  • リアルタイム保護 が有効になっています。
  • 改ざん防止 が有効になっています。 Microsoft Defender ポータルで、[設定>エンドポイント>] [高度な機能>] [改ざん防止] の順に選択します。
  • 攻撃面の縮小 ルールが有効になっています。
  • クラウド保護 が有効になっています。
• Exchange ActiveSyncとOneDrive 同期を無効にします。
  • メールボックスのExchange ActiveSyncを無効にするには、「Exchange OnlineのユーザーのExchange ActiveSyncを無効にする方法」を参照してください。
  • メールボックスへの他の種類のアクセスを無効にするには、次を参照してください。
    • メールボックスの MAPI を有効または無効にします。
    • ユーザーの POP3 または IMAP4 アクセスを有効または無効にします。
  • OneDrive 同期を一時停止すると、感染する可能性のあるデバイスによってクラウド データが更新されるのを防ぐことができます。 詳細については、「 OneDrive で同期を一時停止および再開する方法」を参照してください。
• 影響を受けるシステムに関連するパッチと構成の変更を適用します。
• 内部コントロールと外部コントロールを使用してランサムウェア通信をブロックします。
• キャッシュされたコンテンツを消去する

調査

このセクションを使用して、攻撃を調査し、対応を計画します。

現在の状況を評価する

• ランサムウェア攻撃を最初に認識した理由は何ですか?
  • IT スタッフが、バックアップが削除されていること、ウイルス対策アラート、エンドポイント検出と応答 (EDR) アラート、疑わしいシステムの変更など、初期の脅威を特定した場合は、通常、この記事で説明する封じ込めアクションによって、攻撃を阻止するための迅速な決定的な対策を講じることが多くなります。
• インシデントについて最初に知った日付と時刻は何ですか?
  • その日付にデバイスにインストールされなかったシステムとセキュリティの更新プログラムは何ですか? これは、他のデバイスで対処できるように、どのような脆弱性が利用された可能性があるかを理解するために重要です。
  • その日付に使用されたユーザー アカウントは何ですか?
  • その日付以降に作成された新しいユーザー アカウントは何ですか?
  • インシデントが発生した時間の前後に自動的に開始するために追加されたプログラムは何ですか?
• 攻撃者が現在システムにアクセスしていることを示していますか?
  • 異常なアクティビティが発生している疑いのある侵害されたシステムはありますか?
  • 敵対者が積極的に使用しているように見える、侵害された疑いのあるアカウントはありますか?
  • EDR、ファイアウォール、VPN、Web プロキシ、およびその他のログにアクティブなコマンド アンド コントロール (C2) サーバーの証拠はありますか?

ランサムウェア プロセスを特定する

• 高度なハンティングを使用して、他のデバイスのプロセス作成イベントで識別されたプロセスを検索します。

感染したデバイスで公開されている資格情報を探す

• 資格情報が侵害される可能性があるユーザー アカウントの場合は、アカウント パスワードをリセットし、ユーザーにもう一度サインインするように要求します。
• 次の IOA は、横移動を示している可能性があります。

クリックして展開する

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• ミミカッツ Defender アンプ
• PARINACOTA が使用するネットワーク スキャン ツール
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• プロセス アクセス Lsass
• 疑わしい Rundll32 プロセスの実行
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• odbcconf による疑わしい DLL 登録
• 疑わしい DPAPI アクティビティ
• 疑わしい Exchange プロセスの実行
• 不審なスケジュールされたタスクの起動
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• 信頼されていないアプリケーションが RDP 接続を開く

インシデントが原因で利用できない基幹業務 (LOB) アプリを特定する

• アプリには ID が必要ですか?
  • 認証はどのように実行されますか?
  • 証明書やシークレットなどの資格情報はどのように保存および管理されますか?
• アプリケーションの評価されたバックアップ、その構成、およびそのデータは使用できますか?
• 侵害の復旧プロセスを決定します。

根絶と回復

脅威を根絶し、破損したリソースを回復するには、次の手順を使用します。

手順 1: バックアップを確認する

オフライン バックアップがある場合は、ランサムウェア ペイロード (マルウェア) を環境から削除した後、および Microsoft 365 テナントに不正なアクセスがないことを確認した後に、暗号化されたデータを復元できます。

手順 2: インジケーターを追加する

既知の攻撃者通信チャネルをインジケーターとして追加し、ファイアウォール、プロキシ サーバー、エンドポイントでブロックします。

手順 3: 侵害されたユーザーをリセットする

既知の侵害されたユーザー アカウントのパスワードをリセットし、新しいサインインを必要とします。

• Domain Admins グループのメンバーなど、広範な管理権限を持つ特権アカウントのパスワードをリセットすることを検討してください。
• ユーザー アカウントが攻撃者によって作成された可能性がある場合は、アカウントを無効にします。 インシデントに対してセキュリティ フォレンジックを実行する計画がない限り、アカウントを削除しないでください。

手順 4: 攻撃者のコントロール ポイントを分離する

企業内の既知の攻撃者コントロール ポイントをインターネットから分離します。

手順 5: マルウェアを削除する

影響を受けるデバイスからマルウェアを削除します。

• ランサムウェアに関連付けられているペイロードを検出して削除するために、疑わしいすべてのコンピューターとデバイスで完全な現在のウイルス対策スキャンを実行します。
• データまたはマップされたネットワーク ドライブのターゲットを同期するデバイスをスキャンすることを忘れないでください。

手順 6: クリーンアップされたデバイス上のファイルを回復する

クリーンされたデバイス上のファイルを回復します。

• Windows 7 の Windows 11、Windows 10、Windows 8.1、および System Protection でファイル履歴を使用して、ローカル のファイルとフォルダーの回復を試みることができます。

手順 7: OneDrive for Businessでファイルを回復する

OneDrive for Business内のファイルを回復します。

• OneDrive for Businessでのファイルの復元を使用すると、過去 30 日以内に OneDrive 全体を以前の時点に復元できます。 詳細については、「OneDrive を復元する」を参照してください。

手順 8: 削除されたメールを回復する

削除された電子メールを回復します。

• まれに、ランサムウェアによってメールボックス内のすべてのメールが削除された場合は、削除されたアイテムを回復できます。 「Exchange Onlineでユーザーのメールボックス内の削除されたメッセージを回復する」を参照してください。

手順 9: Exchange ActiveSyncとOneDrive 同期を再度有効にする

• コンピューターとデバイスをクリーンアップし、データを回復したら、コンテインメントの手順 3 で以前に無効にしたExchange ActiveSyncとOneDrive 同期を再度有効にすることができます。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。