JPCERT/CC、侵入型ランサムウェア攻撃へのFAQを公開

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は1月13日、「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開した。

　同FAQでは、企業や組織の内部ネットワークに攻撃者が「侵入」し、情報窃取やランサムウェアを用いたファイルの暗号化などの攻撃被害に遭った際の対応のポイントや留意点などをFAQ形式で紹介している。

　ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった、自組織から窃取されたとみられるファイルを暴露する投稿が行われた、攻撃者から通知が届いた等の状況を確認した場合、「侵入型ランサムウェア攻撃」の被害を受けている可能性がある。

　同FAQでは、下記項目について自組織の対応を確認できる。

1.被害を受けたら
Q1-1.被害について相談したいがどうしたらいいか？（被害報告/相談）
Q1-2.被害を受けたかどうか判断がつかないがどうしたらいいか？（被害の状況把握）
Q1-3.被害にどのように対応すべきか？（対応方針決定）

2.被害への対応
Q2-1.被害を抑えるためにはどうすべきか？（被害を抑える）
Q2-2.被害の原因をどのように特定し対処するのか？ （原因に対処する）
Q2-3.被害からどのように復旧すべきか？（被害から復旧する）

3.関連情報
3-1.ランサムウェアについて
Q3-1-1.どのランサムウェアに感染したのか？
Q3-1-2.ランサムウェアに暗号化されたファイルを復号できるのか？
Q3-1-3.ランサムウェアをオンラインスキャンサービスにアップロードしていいか？

3-2.身代金の支払いについて
Q3-2-1.攻撃者に身代金を支払うべきか？
Q3-2-2.攻撃者と交渉を行うべきか？

3-3.情報漏えいおよび暴露について
Q3-3-1.攻撃者が機微な情報を窃取した可能性はあるか？
Q3-3-2.リークサイトとは何か？
Q3-3-3.リークサイトに自組織に関する投稿があるようだがどうすべきか？
Q3-3-4.リークサイトをどのように確認するのか？
Q3-3-5.リークサイトに掲載されたファイルを削除できるか？
Q3-3-6.被害公表前になぜ被害に関する情報が報じられているのか？