このページは、「侵入型ランサムウェア攻撃を受けたら読むFAQ」についての紹介のページです。
概要
【JPCERT/CC】が紹介する「侵入型ランサムウェア攻撃を受けたら読むFAQ」では、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃の被害に遭った場合の対応のポイントや留意点などをFAQ形式で記載しています。(JPCERT/CCでは、こうした攻撃を他のランサムウェアを用いた攻撃と区別し、「侵入型ランサムウェア攻撃」と呼ぶとしています。)
- ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった
- 自組織から窃取されたとみられるファイルを暴露する投稿が行われた
- 攻撃者から通知が届いた
などの状況を確認している場合、企業や組織のCSIRTや情報セキュリティ担当の方は、インシデント対応を進める上での参考情報としてご活用ください。
FAQの内容
- 被害を受けたら
- Q1-1. 被害について相談したいがどうしたらいいか?(被害報告/相談)
- Q1-2. 被害を受けたかどうか判断がつかないがどうしたらいいか?(被害の状況把握)
- Q1-3. 被害にどのように対応すべきか?(対応方針決定)
- 被害への対応
- Q2-1. 被害を抑えるためにはどうすべきか?(被害を抑える)
- Q2-2. 被害の原因をどのように特定し対処するのか?(原因に対処する)
- Q2-3. 被害からどのように復旧すべきか?(被害から復旧する)
- 関連情報
- 3-1. ランサムウェアについて
- Q3-1-1. どのランサムウェアに感染したのか?
- Q3-1-2. ランサムウェアに暗号化されたファイルを復号できるのか?
- Q3-1-3. ランサムウェアをオンラインスキャンサービスにアップロードしていいか?
- 3-2. 身代金の支払いについて
- Q3-2-1. 攻撃者に身代金を支払うべきか?
- Q3-2-2. 攻撃者と交渉を行うべきか?
- 3-3. 情報漏えいおよび暴露について
- Q3-3-1. 攻撃者が機微な情報を窃取した可能性はあるか?
- Q3-3-2. リークサイトとは何か?
- Q3-3-3. リークサイトに自組織に関する投稿があるようだがどうすべきか?
- Q3-3-4. リークサイトをどのように確認するのか?
- Q3-3-5. リークサイトに掲載されたファイルを削除できるか?
- Q3-3-6. 被害公表前になぜ被害に関する情報が報じられているのか?
- 3-1. ランサムウェアについて