法人向けサービスサポート情報

調べたい内容を探す

お知らせ

インシデント管理

概要

ランサムウェア検知・予防から被害ファイルの特定と復旧までが可能なインシデント管理機能の利用方法について説明します。

1.本サービスのWebにログインします。

2.ツール - 管理コンソールをクリックします。
incident0004.PNG


3.編集を開始するをクリックし、閲覧モードから編集モードへ変更します。
incident0005.PNG


4.管理コンソールからインシデント管理クリックします。
incident0006.PNG


5.インシデント画面が表示されます。
incident0007.PNG

メイン画面

ストレージサービスドライブが疑わしい挙動として検知したインシデントがプロセス単位で一覧表示されます。

表示される種類としては以下の4種類です。

incident0008.PNG

SUSPICIOUS(サスピシャス):不審なプロセス検知・オープン状態・未処理

”疑わしい”として検知された状態です。「インシデントを見る」からインシデントの詳細を確認し、このインシデントを”悪意のあるプロセスである”か”信頼されたプロセスである”かを判断する必要があります。

参考
検知したプロセスからのファイル更新が中断され、クラウド上のデータ更新がされない状態です。



incident0009.PNG

MALICIOUS(マリシャス):悪意のあるプロセスとして判断済み・オープン状態

”悪意のあるプロセスである”と判断され対処中の状態です。(以降「悪意のあるプロセス」タブにも登録されます。)

該当プロセスが操作した他のファイルを”影響範囲の調査”で一覧を抽出、確認したうえで”ファイルの復旧”にて復旧させる必要があります。

ここに注意
悪意のあるプロセスとして判断すると、以降、組織内の全てのストレージサービスドライブで、このプロセスによって行われた未同期の変更は破棄されます。慎重に確認・判断検討してください。



incident0010.PNG

TRUSTED(トラステッド):信頼されたプロセスとして判断済み・オープン状態

”信頼されたプロセスである”と判断され対処中の状態です。(以降「信頼されたプロセス」タブにも登録されます。)問題がなければクローズしてインシデントを完了してください。

参考
検知したプロセスから通常利用と同様にクラウド上のデータ更新がされます。 ランサムウェアを誤って信頼済みプロセスと判断したとしてもこのプロセスを信頼済みプロセスから削除し、再度手動でインシデントとして起票しなおすことで改めて悪意のあるプロセスと判断、ファイル復旧といった作業が可能です。



incident0011.PNG

クローズ:処理済み・クローズ状態

インシデントの判断と対処が完了した状態です



インシデントを起票

incident0012.PNG

ストレージサービスドライブが検知していないプロセスを手動でインシデントとして登録することができます。

一度クローズしてしまったインシデントのプロセスを改めて処理したい時、別途特定のプロセスをインシデントとして対応したい時 などに利用します。「インシデントを起票」ボタンを押すと下記画面に遷移します。

incident0013.PNG

インシデントの登録には、一覧に表示される”名前”と”実行ファイルのSHA256ハッシュ値”の入力が必要です。

”実行ファイルのSHA256ハッシュ値”について

過去にインシデントとして登録されたことがあるプロセスの場合、「インシデントを見る」から”全般情報”内の”実行ファイルのSHA256”から確認できます。インシデントとして登録されたことのないプロセスのハッシュ値を取得する場合は一般的な方法として下記ドキュメントを参照してください。



■Get-FileHash (Microsoftドキュメント)※外部サイト

https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-7.3

インシデントを見る(インシデントの詳細)

「インシデントを見る」からインシデントの詳細の確認と対応ができます。

incident0014.PNG



全般情報

検知したプロセスの詳細と検知元のストレージサービスドライブの詳細を確認できます。

影響範囲の調査

このプロセスによって影響を受けたファイルを”過去にさかのぼって”一覧が作成できます。

incident0015.PNG



「影響を受けたファイルを抽出する」を押すとリスト作成が始まります。

作成が完了すると以下のように画面が変わり、CSV形式のファイルで影響を受けたファイル一覧をダウンロード、確認ができます。

incident0016.PNG

解決

このインシデントを”悪意のあるプロセス”か”信頼されたプロセス”かを判定します。

判定の際に、各々判定理由が必要になります。
incident0017.PNG

・悪意のあるプロセスである → MALICIOUS(マリシャス)

incident0018.PNG

・信頼されたプロセスである → TRUSTED(トラステッド)

incident0019.PNG

ファイルの復旧

「影響を受けたファイルを抽出する」の結果をもとに復旧する範囲を指定してファイルを復旧します。完了すると下記のように結果がダウンロードできるようになります。

incident0020.PNG

参考

復旧対象のファイル数などにより時間がかかる場合があります。



クローズ

インシデントをクローズします。

incident0021.PNG

ここに注意
ファイル復旧を行っていない場合、下記メッセージが表示されます。クローズ後に復旧が必要な場合、改めて「インシデント起票」から インシデントを作成する必要があります。


incident0022.PNG



信頼されたプロセス

”信頼されたプロセスである”と判定されたプロセスが一覧表示されます。

incident0023.PNG

「プロセスを見る」を押すと、該当プロセスのハッシュ値を確認できます。

incident0024.PNG

オープン中のインシデント(未クローズのインシデント)は「プロセスを削除する」ボタンがグレーアウトしていますが、クローズされたインシデントは「プロセスを削除する」が有効になり削除ができるようになります。

誤ってインシデントを”信頼されたプロセスである”と判定してしまった場合、一度インシデントをクローズして削除を行ってください。

incident0025.PNG

プロセスを登録する

incident0026.PNG

手動でプロセスを登録できます。

incident0027.PNG

インシデントの登録には、一覧に表示される”名前”と”実行ファイルのSHA256ハッシュ値”の入力が必要です。

”実行ファイルのSHA256ハッシュ値”について

過去にインシデントとして登録されたことがあるプロセスの場合、インシデント一覧から

「インシデントを見る」から”全般情報”内の”実行ファイルのSHA256”から確認できます。

インシデントとして登録されたことのないプロセスのハッシュ値を取得する場合は一般的な方法として下記ドキュメントを参照してください。

■Get-FileHash (Microsoftドキュメント)※外部サイト

https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-7.3

悪意のあるプロセス

”悪意のあるプロセスである”と判定されたプロセスが一覧表示されます。
incident0028.PNG

参考
「不審なプロセスを表示する」をチェックするとSUSPICIOUS(サスピシャス)となったプロセスも表示されます。
incident0029.PNG



「プロセスを見る」を押すと、該当プロセスのハッシュ値を確認できます。

incident0030.PNG

オープン中のインシデント(未クローズのインシデント)は「プロセスを削除する」ボタンがグレーアウトしていますが、クローズされたインシデントは「プロセスを削除する」が有効になり削除ができるようになります。

誤ってインシデントを”悪意のあるプロセスである”と判定してしまった場合、一度インシデントをクローズして削除を行ってください。
incident0034.PNG

incident0031.PNG

手動でプロセスを登録できます。

incident0032.PNG



インシデントの登録には、一覧に表示される”名前”と”実行ファイルのSHA256ハッシュ値”の入力が必要です。

”実行ファイルのSHA256ハッシュ値”について

過去にインシデントとして登録されたことがあるプロセスの場合、インシデント一覧から

「インシデントを見る」から”全般情報”内の”実行ファイルのSHA256”から確認できます。

インシデントとして登録されたことのないプロセスのハッシュ値を取得する場合は一般的な方法として下記ドキュメントを参照してください。



■Get-FileHash (Microsoftドキュメント)※外部サイト

https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-7.3


【参考】検知されたインシデントの調べ方

検知されたインシデントが悪意のあるプロセスであるかどうかの調べ方について一例を記載します。
incident0033.PNG

プロセスハッシュからの確認

インシデント管理の全般情報から、検知された疑わしいプロセスのハッシュ値を確認することができます。

(”実行ファイルのSHA256”が該当の項目です)

このハッシュ値を、以下のような複数のアンチウイルスエンジンで検査可能なサイトで

検索することで、検知されたプロセスがランサムウェアかどうかの判断に使用することができます。

≪参考サイト≫

VirusTotal ※外部サイト

https://www.virustotal.com/gui/home/search

参考

プロセスのハッシュ値とは プロセスを一意に識別するために使用される固定長の値です。 プロセスのデータから生成され、プロセスが異なる場合は異なる値が生成されます。



プロセスハッシュからの確認

判断ポイントとして、たとえば以下の情報をランサムウェアかどうかの判断に活用することができます。

アンチウイルスエンジンの検出数

レポートの先頭に、スキャンに使用された各アンチウイルスエンジンでどのように判定されたかの統計が表示されます。検出数が多いほど、ランサムウェアとしての疑いが高いと考えられます。

検出されたランサムウェアの名称

検出されたランサムウェアの名称を確認してください。もしその名称が既知のランサムウェアである場合、ファイルやURLがランサムウェアである可能性が高いです。

セキュリティ ベンダーの検出情報

各セキュリティ ベンダーにどのように判定されたかを確認することができます。



ここに注意
インシデント検知の際に自動的にプロセスのハッシュの確認を行っています。 脅威情報であった場合、脅威名 脅威カテゴリー に記載されています。”ransomware”(ランサムウエア)、”trojan”(トロイの木馬)といった 記載があった場合、他のセキュリティ ベンダーでも脅威とみなされたものとして”危険性が高い”と判断できます。 ※すべてのランサムウェアが脅威名、脅威カテゴリーが表示されるわけではないため 「表示されていない=問題がない」というわけではありません。 影響を受けたファイルの確認や、端末の操作者への確認など総合的に確認してください。

”影響を受けたファイルの一覧”の確認

プロセスのハッシュ値からは判断できなかった場合、もしくはランサムウェアではない可能性が高い場合でも、プロセスによって操作されたファイルの一覧を確認してください。

検知されたDriveのユーザに対して、意図したファイル操作かどうかを確認し操作がユーザによって意図されたものであるかを確認してください。

その他、有名なランサムウエアの関連プロセスは

すでにインターネット上で情報が公開され警戒が呼びかけられている場合があります。

プロセス名をインターネット上で検索し脅威情報として周知されているものではないか

確認してください。

≪参考サイト≫

・公的機関運営サイト

ランサムウエア対策特設サイト

https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

情報処理推進機構(IPA)

ランサムウェア対策特設ページ

https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

・民間企業運営サイト

ランサムウェア対策2023

https://cybersecurity-jp.com/ransomware/column/93/

今後のサポートサイト改善のため、お客様の声をお聞かせください。
このページの情報はお役に立ちましたでしょうか?

😀役に立った理由
役に立ったと思う理由について以下より選択ください。
😟役に立たなかった理由
役に立たなかったと思う理由について以下より選択ください。
今後の改善のため、よろしければご意見をお寄せください。
こちらでいただいた内容への返信はしておりません。
お問い合わせや個人情報の入力はご遠慮ください。