一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、1月13日、侵入型ランサムウェアの被害に遭った企業や組織のCSIRTおよび情報セキュリティ担当を対象に、対応のポイントや留意点をFAQ形式でまとめた「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開した。
企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃を、同センターでは「侵入型ランサムウェア攻撃」と呼んでいる。本FAQは初動対応に焦点を絞り、「1.被害を受けたら」「2.被害への対応」「3.関連情報」の3カテゴリー、17の項目で構成。各項目は、図解と文章によるコンパクトな解説となっている。
例えば「被害について相談したいがどうしたらいいか?」という項目では、JPCERT/CCのほか、情報処理推進機構(IPA)、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)、警察庁の相談窓口を紹介。「被害にどのように対応すべきか?」では、「被害の最小化を図る」「考えられる侵入経路を塞ぐ」「バックアップから復旧する」を3つの方針として示し、それぞれの詳細な対応方法も解説している。
同センターでは、必要のないネットワーク/システム停止により被害が拡大する例や、再発防止策を放置して活動を再開する被害組織などの、初動対応時に適切な対応が取られていないケースが散見されるとしており、インシデント対応の参考資料として活用してほしいとしている。