緊急事態ですか? +971 58 594 6337 までお電話ください · SIGNAL 対応 · 24時間365日対応のレスポンスブリッジ 平均封じ込め時間:47分 LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — 復号ライブラリを更新 感染したホストの電源を切らないでください — メモリを保持してください アクティブなインシデントが発生していますか?+971 58 594 6337 までお電話ください · SIGNAL 対応 · 24 時間 365 日のレスポンスブリッジ 平均封じ込め時間:47分 LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — 復号ライブラリが更新されました 感染したホストの電源を切らないでください — メモリを保持してください
英語 スペイン語 Magyar アラビア語 Русский ウクライナ語 Deutsch スロベニア語 タイ語 中文 日本語 한국어 Română Français ヒンディー語 বাংলা インドネシア語 ポルトガル語 Italiano タガログ語 Tiếng Việt Farsi スワヒリ語 ミャンマー語 アムハラ語 トルコ語 ウルドゥー語 ジャワ語 Polski チェコ語
system.log
過去5分間 · 20件のイベント
スナップショット
過去7日間 · 7件のスナップショット
バックアップが見つかりません
最終確認リポジトリ: 到達不可

対処されていない
インシデントが実際にどれほどのコストを招くか。

2024年から2025年にかけての、当社内部のインシデント対応データおよび検証済みの公開レポート(多業種・多地域)に基づいています。

01
508万ドル
ランサムウェアまたは恐喝インシデントの平均総コスト
02
241
専任のインシデント対応チームがいない場合の、侵害の特定と封じ込めに要する平均日数
03
24
ランサムウェア攻撃1件あたりの平均稼働停止日数
04
4
最初の侵入から暗号化ペイロードの実行までの中央値(日)
05
50
ランサムウェア攻撃の50%は依然としてデータの暗号化で終了する
06
28%
データの暗号化被害者のうち、恐喝目的でデータが流出させられたケースも
自己診断 // 4つの質問 • 30秒

パニックになる前に、
事態の規模を把握しましょう。

4つの質問に答えてください。リアルタイムの深刻度スコアと、誰かが怒りに任せてキーボードを叩く前に、チームが今すぐ取るべき最初の4つのアクションを提示します。

質問 01 / 04
最初に何が見つかりましたか?
最初に確認できた事象によって、残された時間が決まります。
質問 02 / 04
感染はどの程度広がっているか?
暗号化または改ざんが確認されたホストの数を数えてください。
質問 03 / 04
バックアップの状態は?
「不変」とは、真に不変であることを意味します — オブジェクトロック、エアギャップ、またはオフライン。
質問 04 / 04
データ盗難の兆候?
データの流出により、復旧作業は情報開示作業へと変わる。
結果
トリアージ完了。
これは暫定的な評価です。PWN-ALLのアナリストがレスポンスブリッジ上で15分以内に詳細を絞り込むことができます。
レスポンスブリッジを開く
▸ ライブ・バーディクト
入力待ち
左側の質問に答えてください。深刻度はリアルタイムで更新されます。
00255075100

▸ 最初の4つのアクション

  1. 影響を受けたホストをネットワークから隔離する — 電源を切らないでください。
  2. 少なくとも 1 台のホストで、メモリとボリュームシャドウコピーを保存しておく。
  3. 過去 72 時間に使用された認証情報を無効化し、サービスアカウントをローテーションする。
  4. バックアップに手を加える前に、PWN•ALL と対応ブリッジを開設する。
レスポンスパイプライン

4つのフェーズ。
1つのブリッジ。

すべてのインシデントを、監査済みの単一のレスポンス・ブリッジ上で処理します。お客様のチーム、当社のDFIRアナリスト、共有タイムライン、そして各ステップでの記録がすべて含まれます。

フェーズ 01// 0~60分

封じ込め

証拠を破壊することなくネットワークレベルで隔離します。スイッチレベルで横方向の移動を阻止し、C2通信を遮断し、特権アカウントを凍結し、ピボットホストのメモリを保全します。

暗号化までの平均潜伏期間:4日。封じ込めのための時間は、シフト単位ではなく、時間単位で計測されます。
フェーズ 02// 1~6 時間

スコープ

暗号化されたすべての資産、初期侵入経路、持続化手法、および情報流出の痕跡に対するフォレンジック・トリアージを実施します。亜種、オペレーターのTTP(戦術・技術・手順)、および潜伏期間を特定します。

専任のインシデント対応(IR)チームがいない場合、侵害から封じ込めまでの平均ライフサイクルは241日です。
フェーズ 03// 6~48 時間

復旧

クリーンルーム環境での再構築、バックアップの整合性チェック、社内ライブラリとの照合による復号ツールの特定、および(鍵が存在する場合)本番データの段階的な復号化。

ランサムウェアによる平均ダウンタイムは24日間です。事前の準備が整っている組織では、この期間を1週間未満に短縮できます。
フェーズ 04// 2~14 日

強化

根本原因の是正、IDのクリーンアップ、未導入のEDR/MFAの導入、そして取締役会、保険会社、規制当局が実際に読める書面による報告書の作成。

ランサムウェアインシデントの32%は、脆弱性の悪用から始まります。フェーズ4では、侵入を許したその扉を閉ざします。
対応範囲

あらゆる亜種には
弱点があります。私たちはそれを見つけ出します。

当社の復号ツール研究ライブラリと交渉情報は、毎週解決する実際の事例から常に更新されています。支払いをせずに復旧する方法があるなら、私たちが真っ先にそれを見つけ出します。

ファミリー // Windows中心

LockBit • BlackCat • Play

  • ドメインコントローラーおよびVeeamの標的
  • vssadmin/WMI経由でのシャドウコピーの消去
  • MEGA/Rclone 経由での段階的なデータ流出
  • 該当する場合のキーの一部復元
ファミリー // ハイパーバイザー

Akira • Royal • Rhysida

  • ESXiのVMFSレイヤーでの停止および暗号化
  • アプライアンス上のLinux ELFランサムウェア
  • データストアレベルのボリューム復旧
  • ハイパーバイザー側の整合性監査
ファミリー // 身代金要求のみ

Cl0p • Karakurt • RansomHub

  • 純粋なデータ窃取(暗号化なし)
  • リークサイトの監視および削除
  • 法的開示の調整
  • 当社によるオペレーターとの通信管理
レスポンス・ブリッジ

あるアナリストはすでに
時計を注視しています。

電話をかけた瞬間、タイムスタンプ付きのアクション、証拠の保管、リアルタイムの深刻度ボードを備えた共有ブリッジが立ち上がります。保険会社や法務チームは読み取り専用で参加できます。

00
47
12
ライブ
00:02アナリスト-04がブリッジに参加
00:05 ホストdc01 をスイッチで隔離
00:11横方向の攻撃をブロック — 10.4.2.88 → 10.4.2.12
00:18メモリスナップショットを取得 — 4 ホスト
00:26ストレイン一致: lockbit 3.x (87%)
00:34バックアップリポジトリは正常 — veeam01 は未変更
00:41復旧計画案 — 承認待ち

不透明さもなく、沈黙もありません。

すべてのPWN-ALLインシデントは、規制当局やサイバー保険会社がすでに承認しているのと同じブリッジテンプレート上で実行されます。私たちが見ているものを、あなたも確認できます。破壊的なアクションはすべてあなたの承認が必要です。あなたの承認なしに、暗号化、削除、または支払いが行われることはありません。

封じ込め後、お客様には、スクリーンショットだらけのPDFではなく、証拠保全の連鎖レポート、MITRE ATT&CKにマッピングされたタイムライン、および30/60/90日間のセキュリティ強化計画が提供されます。

よくある

午前3時に
午前3時に寄せられる質問。

身代金を支払うべきでしょうか?

ほとんどの場合、これは正しい最初の対応ではありません。我々は、復旧オプションの評価が行われている間、最終手段としての手段としてのみ交渉を行い、かつ法的および制裁上の承認を得た場合に限ります。我々のケースの約94%において、支払いを伴わずに完全または部分的な復旧が可能です。

ブリッジへの接続はどのくらい速くできますか?

当社のSLAでは、最初の連絡からアナリストがお客様のチームと共有するブリッジに参加するまで60分以内を保証しています。通常、最初の15分以内に封じ込めのガイダンスを開始し、並行して被害範囲の特定を行います。

すでにすべての電源を切ってしまったのですが、問題でしょうか?

理想的とは言えませんが(揮発性メモリには鍵、注入されたプロセス、オペレーターの痕跡が残っているため)、復旧は可能です。当社が接続するまでは、いかなる機器も再起動しないでください。コールドトリアージの手順を用意しています。

御社のサイバー保険会社とは連携していますか?

はい。PWN-ALLは標準的なIRパネルに連携できるよう設計されています。保険会社には、タイムスタンプ付きの対応記録、コスト管理情報、およびほとんどの保険会社が受け入れる形式の最終報告書を提供します。

データが暗号化されただけでなく、盗まれた場合はどうなりますか?

データの流出については別途調査を行います。何が、どこから、どのくらいの期間にわたって持ち出されたかを特定します。その後、情報開示、法務対応、そして必要に応じて流出サイトの監視や攻撃者との交渉を調整します。

次回の攻撃を防ぐことはできますか?

それはフェーズ4です。根本原因の是正、ID管理の適正化、EDR/MFAの導入、継続的な監視に加え、境界防御としてVulnScanと ConnGuardを組み合わせます。

24時間365日

月曜の朝まで
月曜の朝を待ってはいけません。

対応を遅らせるごとに、バックアップは消去され、証拠は失効し、犯人はさらに深く潜り込んでいきます。PWN-ALLは平日、週末、祝日を問わず対応します。時間は容赦しません。私たちも同様です。

お電話:+971 58 594 6337 → リテーナーに関するお問い合わせ
同じ番号でSIGNALも利用可能
攻撃の50%は依然として暗号化で終わります。どちらの半数に属するか、確認するのを待ってはいけません。