一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月26日、JPCERT/CCが対応したランサムウェア攻撃事案の分析と、初動対応段階に必要な「ファーストレスポンダー(インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関)」や、専門組織同士の情報共有のポイントについての解説記事を発表した。
JNSA「今すぐ実践できる工場セキュリティハンドブック」リスク対策編公開
経済産業省が3月11日に公開した「攻撃技術情報の取扱い・活用手引き」は、インシデント対応支援にあたるファーストレスポンダーや専門組織同士の情報共有を促進するためのレファレンスで、JPCERT/CCは検討会共同事務局として参加し、手引き案の作成にも携わっている。同手引きではファーストレスポンダーについて、インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関などのこととしている。
2024年1月に開催されたJSAC2024では、JPCERT/CC 佐々木氏の発表にて、いかに初動対応時点でランサムウェアの特定やアクターの推測を行い、適切な初動判断につなげるべきか、事例分析に基づく問題提起を行っている。
JPCERT/CCでは、ランサムウェア攻撃のインシデント対応の相談があった際には、最初に下記を行っている。
・ランサムウェアの特定と種別に応じた初動対応方法のアドバイス
・アクターの特定と当該アクターが直近で多用するアタックベクターに関する情報提供
・アクセスログなどの分析による侵入経路・横展開範囲の特定支援
また、ランサムウェア攻撃についてはこの3~4年で被害が拡大してきた経緯から、ファーストレスポンダーとなるセキュリティベンダー等の多くで知見が不足しており、特にグループ特定が難しいランサムアクターの特定のために、平時からファーストレスポンダー同士の情報共有が重要であると指摘している。
JPCERT/CCでは今後の普及啓発活動のために3月25日から、ファーストレスポンダー向けの相談/セカンドオピニオン相談窓口を新たに設置する。
