ONTAP でランサムウェア攻撃が本物かどうかを判断する
自律型ランサムウェア対策(ARP)は、保護対象ボリューム内で異常なアクティビティを検出すると、警告を発し、疑わしいファイルやエントロピーの急上昇に関する詳細情報を表示します。この異常なアクティビティを評価し、それが許容範囲内(誤検知)なのか、潜在的に悪意のあるものなのかを判断する責任はお客様にあります。
ARPは検出とスナップショット作成を自動化しますが、ファイルやイベントが本当に悪意のあるものかどうかを最終的に判断するには、手動による調査が必要です。ARPは、発生した事象が実際のランサムウェア攻撃であるかどうかを明確に判断することはできません。不審なアクティビティを検知しますが、それが実際のランサムウェアなのか、誤検知(無害なアクティビティ)なのかは、調査して確認する必要があります。
以下の例は、ランサムウェア攻撃が発生しているかどうかを判断するのに役立ちます。
|
|
お客様は、すべてのアラートを評価し、疑わしいファイルを調査し、お客様の環境における潜在的なセキュリティ脅威に対して適切な対応を決定する責任を単独で負います。これらの調査例は情報提供のみを目的としており、網羅的なものではありません。 |
報告されたファイルのファイル拡張子を確認してください。ランサムウェアの明らかな兆候の一つは、ファイル名に通常とは異なる、あるいはランダムな文字の組み合わせが付加されているファイルが存在することです。例えば、 `document.docx`というファイルは `document.docx.wcry`になる場合があります。
既知のランサムウェア拡張子には .wcry、 .locked、 .akira、 .zcrypt、 `.phobos`などがあります。拡張子についてはオンラインまたはAIツールで調べてください。
拡張子がランサムウェアに関連付けられていない場合、その警告は誤検知である可能性が高いです。拡張子がランサムウェアに関連付けられている場合、実際の攻撃を受ける可能性が高くなります。
|
|
ランサムウェアの中には、ファイル拡張子を変更しないものもあります。異常な拡張子がないからといって、ランサムウェア攻撃の可能性がなくなるわけではありません。 |
ARPを有効にしてから数時間または数日以内にアラートが発生した場合は、誤検知である可能性が高いです。ARPを有効にしてから数日間アラートが発生せず、その後アラートが発生した場合、実際に攻撃が行われた可能性が高くなります。
フラグが立てられたファイルを、関連付けられているアプリケーションで開いてみてください。
ファイルが開いて内容が正常であれば、誤検出の可能性が高いです。ファイルが開けない、または内容が判読できない場合は、ランサムウェアによって暗号化されている可能性があります。
|
|
疑わしいファイルを開くことは危険を伴います。侵害の可能性のあるファイルにアクセスしようとする場合は、組織のセキュリティプロトコルを必ず遵守してください。 |
影響を受けたディレクトリ内のランサムウェアノートを確認します(例: README.txt`または `DECRYPT_INSTRUCTIONS.html)。
システムやアプリケーションが正常に動作している場合、そのアラートは誤検知である可能性が高いです。ファイルシステムのアクティビティ(読み取り、書き込み、削除)が突然、説明のつかないほど急増した場合、多くの場合、バックグラウンドでランサムウェアによる暗号化が活発に行われていることを示しています。