サイバー攻撃遭遇時には
先頃、明らかになった角川ホールディングスのサイバー攻撃被害。被害の詳細な情報が徐々に洩れはじめています。運営しているニコニコ動画のサーバーが狙われており、長期にわたるサービス停止を余儀なくされ、情報の流出などを含め相当の規模で関係先やユーザーにも影響を及ぼしています。実際には数億円規模の身代金が支払われたとみられますが、被害の拡大を防ぐことにはつながっておらず、むしろ延々と犯罪グループにたかられているとの噂もあるくらいなのです。
社内PCやサーバがランサムウェアに感染、やるべきは?
身代金を支払えば暗号データは戻され、運が良ければそのまま事業やサービスを通常通り継続していけるはずとの甘い幻想を抱くのはよくある大間違い。もし支払っても、犯罪グループがファイル暗号化を完全に解除する保証は全然ないばかりか、小出しに解除するやり口で延々とゆすりたかりを繰り返されるのが関の山。カモだと認識されれば、次から次へと標的にされ、新たな被害を受け続ける羽目に陥るのが現実なのです。それでも目先の利益を優先して、支払ってしまう企業・組織が絶えないのもまた事実ではあります。
調査報告では身代金を支払ってデータを復旧できたとのケースは全体の57%、全体の30%は身代金を支払ったにもかかわらずデータ復元に失敗。身代金を支払わずデータを復旧できたケースは全体の13%にとどまります。
攻撃を受け、被害の拡大を防ぐためにやるべきなのは、「侵入経路の解析」「外部記録装置との切断」「全デバイスのシャットダウン及びネットワークからの分離」「仮想マシンを含む全デバイスからのデータ消去、OS再インストール」「クラウド保存されたバックアップデータからの復元」「クリーンデバイスへのリストア」等の作業を実際には矢継ぎ早に実施しなければなりません。
感染予防策とその注意点は
まず重要なのは常日頃からファイルバックアップをとっておく。しかしながらランサムウェアはバックアップシステムも攻撃対象としており、緊急時には外付けHDDやクラウドストレージとの接続を解除、通信手段をいつでも切れるよう体制を組んでおくこと。感染デバイスが判明した直後にネットワークケーブルを外してWi-Fiオフ、シャットダウンが鉄則です。ネットワーク接続が残っていれば感染はさらに急速に再拡大します。
早急に管理者が決断してネットワークからの切断タイミングを速めることができれば、さらなる侵入を食い止められ、日頃から警戒監視と緊急対応訓練を怠らないことが重要となってきます。感染に伴い、全ての共有ドライブを一時オフラインにさせ、新たにファイルが暗号化されたり消去されたりしていないかシステム監視体制を強化できるかが問われてくるのです。
サイバー攻撃の実情
どうにかすればサイバー攻撃を免れると思うのは災難のもと。攻撃はあらゆる業種規模の企業で増加しています。中小企業は特に防御を強化できる必要なリソースを持たず、「簡単な標的」とみなされ被害を受けやすい。どのような組織・事業であっても攻撃対象から外れることはありません。
管理体制が不十分かつITインフラが時代遅れで未整備な組織や企業では、自社ITシステム及び特にバックアップデータを保護する予防措置を講じていない場合、いつ攻撃の被害を受けてもおかしくはありません。調査レポートではデータのバックアップ保存用のストレージやデータベース、バックアップリポジトリが攻撃者からの格好の標的となっているのです。
具体的な対処策
高速ランサムウェアへの感染事例では、たった一つのエンドポイントからネットワーク全体に急拡大、データを封じ込める直前の数秒から数分というあっという間にファイルロックを終えられてしまいます。そこで、たとえ1台だけだとしても対象PCをネットワークの他のエンドポイントやストレージデバイスから隔離。ネットワーク通信を無効にさせ、接続されたローカルエリアネットワークやストレージデバイスもろとも電源オフにして感染拡大を食い止め、ランサムウェアが攻撃者と通信できないようにさせることが鉄則。
1台のみ感染と判断していても複数の攻撃ベクトルから侵入されている可能性もあり、被害対応を始めた時点で別のランサムウェアが社内システムに潜り込むこともあり得る話。確認が終わるまでネットワーク接続された全PCやサーバをランサムウェアの潜在的なホストマシンとして扱うのは当然のことです。
また「ID Ransomware」や「NO MORE RANSOM」と言った対策Webサイトを用いて、どのようにランサムウェアに感染したのかを調査特定を行います。ランサムウェアの種類を知り、どのように増殖、どんな種類のファイルをターゲットとし、除去や駆除へ向けたオプションはどんなものがあるのか理解を深めること。
ランサムウェアを除去するソフトウェアパッケージやツール自体も存在してはいますが、全ての既知のランサムウェアに対応できるツールはなく、復号ツールが開発されても新たなランサムウェアが次々と登場。こうした脅威から最終的に自社を守るにはシステムをゼロから復元するか、完全に最初の開発からやり直すかいずれかの判断となってきます。
ランサムウェアが完全削除されたことの確認には、全てのHDDやSSDの内容を全消去してゼロからインストールし直すこと。そのためには事前に感染ファイルの日付や犯罪グループからの受信メッセージや関連情報を調べあげ正確な感染日を特定する必要があります。またランサムウェアのアクティブ化の兆候やシステムの重大な改変前に休眠状態にあったことを示すログデータ等を採取・解析できるようにしておくことも重要です。
そもそもリカバリー作業を急ぐ必要性は全くありません。業務への悪影響を懸念して適切にスキャンを実施せず、拙速に侵入された環境に直接リストアを行えば脅威が再侵入するリスク要因となってくるのです。またバックアップを用いた復元作業を行う場合、ランサムウェア感染日よりかなり前に作成されたファイルを使うべきでしょう。ローカルバックアップとオフサイトバックアップの両方が残っていれば、攻撃以降にネットワーク接続されていなかったことを保証するバックアップコピーが保護されているのが通常です。
最後に本番環境をオンラインに戻すには、確実に安全な隔離環境においてテストを実施、データにランサムウェアが潜んでいないことを事前に入念に確認しておくべきでしょう。