ビーマン・バングラデシュ航空」のランサムウェア感染からの復旧をサポート! 1,100台の端末から感染源を特定し、迅速な対応で拡大を防止。

近年、世界的に「ランサムウェア」による被害が増加しています。「ランサムウェア」とは身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。データを暗号化して利用不可能な状態にした上で、その解除と引き換えにビットコインや仮想通貨などの金銭を要求するマルウェアを指します。

 

一度感染するとデータの復元は極めて困難であり、金銭的被害や業務の一時停止、企業への信頼性の喪失など損失は多岐にわたります。企業が攻撃を受けた場合、被害リスクを最小限に留めるためには、専門家による迅速な対応が必要不可欠です。

 

以下では、バングラデシュの国営航空会社「ビーマン・バングラデシュ航空」における、弊社のインシデント対応事例をご紹介します。

会社名:ビーマン・バングラデシュ航空(Biman BangladeshAirlines)

会社ウェブサイト:https://www.biman-airlines.com/

業種:航空会社

事業内容:バングラデシュの国営航空会社。国内線および国際線を運航。

通部署:IT部門

従業員数:2,318人(2024年時点)

今回の調査端末数(携帯、パソコン、ネットワーク機器):1,100台

課題

 

課題

ランサムウェア攻撃を受けて、端末やデータ、会計ソフトなどが暗号化されて使用できなくなる事態が発生。外部システム会社に依頼して、一度は解決したものの、サイバーセキュリティの専門会社ではないため、完璧な対応ができたのかどうか懸念が生じ、サイバーセキュリティの専門会社である弊社・Pipelineに追加調査をご依頼いただきました。

Pipelineのサポート内容

現地オフィスにて、大規模なランサムウェアインシデント調査を実施しました。セキュリティのオペレーションチームがオフィスに赴き、弊社ツール(DatalaiQThreatIDR)を活用して、内部ネットワークの調査を行いました。

結果

サイバー犯罪者/ハッカーに感染あるいは侵入された形跡のあるユーザーやデバイスを特定。約2週間で完全に復旧できました。

 

ーランサムウェアに感染し、どのような事態に陥ったのでしょうか?

2024年3 月17 日、ランサムウェア攻撃を受けて、電子メールサーバーがハッキングされ「身代金を支払わない限り、サーバーへのアクセスを永久に阻止するか、被害者の個人データを開示する」という脅しがありました。兼ねてからの取引先であるシステム会社に対応を依頼して、直ちに疑わしいサーバーを隔離し、電子メールやすべての内部通信を中断しました。

 

感染により、端末やデータ、会計ソフトなどが暗号化されて使用できなくなり、ニュースとして報じられましたした。幸いなことに、顧客管理システムは他社に委託して管理していたため、顧客の個人情報流出などの影響はありませんでした。また飛行機の運行にも影響はありませんでした。

 

弊社は国営の航空会社のため、国に報告する義務があります。外部システム会社に依頼して、一度は解決したものの、サイバーセキュリティの専門会社ではないため、完璧な対応ができたのかどうか、対応に漏れがないかどうかを入念に確認したく、サイバーセキュリティの専門会社であるPipeline社に追加調査を依頼しました。

ー弊社に対応を依頼いただいた理由は?

バングラデシュでインシデントに対応できる、唯一の企業だからです。総合的なサービスを提供しているシステム企業は他にもありますが、セキュリティの専門家ではありません。セカンドオピニオンとして御社へ調査を依頼しました。

 

Pipelineはどんな対応をしましたか?

 

緊急対応のため、セキュリティのオペレーションチームがすぐにオフィスに駆けつけてくださいました。

脅威の探索とインシデントの特定のため、DatalaiQ(データレイク) を利用して、1,100台すべてのシステムログの収集を開始。具体的には、ネットフロー(NetFlow)、シスログ(Syslog)、ファイアウォール、エンドポイントデバイスのログを収集しました。

またシステムがコマンド・アンド・コントロール・サーバーや、ランサムウェア、マルウェアなどの既知の悪意のあるシステムと通信していないかどうかを特定するため、ThreatIDR(スレットアイディーアール) を活用して調査を進めました。

複数ユーザーの端末から、マルウェアに感染し不審な通信を行っていたユーザー・端末を特定。感染源となったそれらの端末を遮断してすべてをリセットし、約2週間で完全に復旧できました。

DatalaiQとは?

DatalaiQは、ファイアウォール、ネットワーク、エンドポイントなどのさまざまなシステムから大量のログデータを収集、管理、分析するために設計された包括的なデータ分析ソリューションです。データ収集と可視化を一元化し、統合ダッシュボードを通じてリアルタイム分析を提供します。


ThreatIDRとは?

ThreatIDRは、悪意のある活動をリアルタイムで監視しブロックすることで企業を保護するように設計されたサイバーセキュリティソリューションです。マルウェア、ランサムウェア、フィッシング攻撃、ウイルス、その他の悪意のあるサイトをブロックする保護DNSサービスとして機能します。

<パイプラインよりコメント>

ランサムウェア攻撃の増加は、業務の中断や金銭的損失を引き起こすなど、企業にとって大きな脅威となっています。ThreatIDRやDatalaiQなどの高度なサイバーセキュリティ対策に積極的に取り組むことは、被害を最小限に抑えるために迅速な検知と対応を行う上で不可欠です。企業は、これらの進化する脅威から身を守るために、サイバーセキュリティに対する意識の向上と迅速な対応を優先しなければなりません。

<Pipelineからのコメント>

<パイプラインよりコメント>

ランサムウェア攻撃の増加は、業務の中断や金銭的損失を引き起こすなど、企業にとって大きな脅威となっています。ThreatIDRやDatalaiQなどの高度なサイバーセキュリティ対策に積極的に取り組むことは、被害を最小限に抑えるために迅速な検知と対応を行う上で不可欠です。企業は、これらの進化する脅威から身を守るために、サイバーセキュリティに対する意識の向上と迅速な対応を優先しなければなりません。

スマートセキュリティ
パイプラインを構築

組織における新たな知見・洞察を得ることで、意思決定とビジネスアクションをスピードアップさせます