課題

ランサムウェア攻撃を受けて、端末やデータ、会計ソフトなどが暗号化されて使用できなくなる事態が発生。外部システム会社に依頼して、一度は解決したものの、サイバーセキュリティの専門会社ではないため、完璧な対応ができたのかどうか懸念が生じ、サイバーセキュリティの専門会社である弊社・Pipelineに追加調査をご依頼いただきました。

Pipelineのサポート内容

現地オフィスにて、大規模なランサムウェアインシデント調査を実施しました。セキュリティのオペレーションチームがオフィスに赴き、弊社ツール（DatalaiQ、ThreatIDR）を活用して、内部ネットワークの調査を行いました。

結果

サイバー犯罪者／ハッカーに感染あるいは侵入された形跡のあるユーザーやデバイスを特定。約2週間で完全に復旧できました。

ーランサムウェアに感染し、どのような事態に陥ったのでしょうか？

2024年3 月17 日、ランサムウェア攻撃を受けて、電子メールサーバーがハッキングされ「身代金を支払わない限り、サーバーへのアクセスを永久に阻止するか、被害者の個人データを開示する」という脅しがありました。兼ねてからの取引先であるシステム会社に対応を依頼して、直ちに疑わしいサーバーを隔離し、電子メールやすべての内部通信を中断しました。

感染により、端末やデータ、会計ソフトなどが暗号化されて使用できなくなり、ニュースとして報じられましたした。幸いなことに、顧客管理システムは他社に委託して管理していたため、顧客の個人情報流出などの影響はありませんでした。また飛行機の運行にも影響はありませんでした。

弊社は国営の航空会社のため、国に報告する義務があります。外部システム会社に依頼して、一度は解決したものの、サイバーセキュリティの専門会社ではないため、完璧な対応ができたのかどうか、対応に漏れがないかどうかを入念に確認したく、サイバーセキュリティの専門会社であるPipeline社に追加調査を依頼しました。

‍

‍

‍

ー弊社に対応を依頼いただいた理由は？

バングラデシュでインシデントに対応できる、唯一の企業だからです。総合的なサービスを提供しているシステム企業は他にもありますが、セキュリティの専門家ではありません。セカンドオピニオンとして御社へ調査を依頼しました。

ーPipelineはどんな対応をしましたか？

緊急対応のため、セキュリティのオペレーションチームがすぐにオフィスに駆けつけてくださいました。

脅威の探索とインシデントの特定のため、DatalaiQ（データレイク） を利用して、1,100台すべてのシステムログの収集を開始。具体的には、ネットフロー（NetFlow）、シスログ（Syslog）、ファイアウォール、エンドポイントデバイスのログを収集しました。

またシステムがコマンド・アンド・コントロール・サーバーや、ランサムウェア、マルウェアなどの既知の悪意のあるシステムと通信していないかどうかを特定するため、ThreatIDR（スレットアイディーアール） を活用して調査を進めました。

複数ユーザーの端末から、マルウェアに感染し不審な通信を行っていたユーザー・端末を特定。感染源となったそれらの端末を遮断してすべてをリセットし、約2週間で完全に復旧できました。

‍

DatalaiQとは？

DatalaiQは、ファイアウォール、ネットワーク、エンドポイントなどのさまざまなシステムから大量のログデータを収集、管理、分析するために設計された包括的なデータ分析ソリューションです。データ収集と可視化を一元化し、統合ダッシュボードを通じてリアルタイム分析を提供します。

ThreatIDRとは？

ThreatIDRは、悪意のある活動をリアルタイムで監視しブロックすることで企業を保護するように設計されたサイバーセキュリティソリューションです。マルウェア、ランサムウェア、フィッシング攻撃、ウイルス、その他の悪意のあるサイトをブロックする保護DNSサービスとして機能します。

‍

‍

＜パイプラインよりコメント＞
‍

ランサムウェア攻撃の増加は、業務の中断や金銭的損失を引き起こすなど、企業にとって大きな脅威となっています。ThreatIDRやDatalaiQなどの高度なサイバーセキュリティ対策に積極的に取り組むことは、被害を最小限に抑えるために迅速な検知と対応を行う上で不可欠です。企業は、これらの進化する脅威から身を守るために、サイバーセキュリティに対する意識の向上と迅速な対応を優先しなければなりません。

‍

‍

‍

‍