本当に復旧できる？　ランサムウェアからの回復で知っておくべきこと

2022年05月09日 14時00分更新

文● Melissa Palmer／ヴィ―ム・ソフトウェア

本記事はヴィームソフトウェアが提供する「Veeamブログ」に掲載された「ランサムウェアからの復旧：知っておくべきこと」を再編集したものです。

　ご存じでしたか？ Sophosがまとめたランサムウェアの現状の調査によると、ランサムウェア攻撃の間に復旧されるデータの割合は、65%しかないそうです。今日は、ランサムウェアからの復旧について非常によく聞かれる質問と、ランサムウェアの攻撃を受ける前に知っておいたほうがよいことについて、詳しく説明したいと思います。

ランサムウェアからの復旧とは何ですか？

　ランサムウェアからのデータ復旧とは、ランサムウェア攻撃を受けた後でITシステムをオンラインに戻すために行なう作業のことです。復旧は必ずしも複雑な作業ではありません。既に用意しているディザスターリカバリー計画がきちんと文書化されていて、しっかりと（かつ最近）テストされているのであれば、既存のディザスターリカバリー・プロセスの多くを利用することができます。

　データ保護の領域で大きな注目を集めているのは復元、特にバックアップからの暗号化されたVMの復元です。これは、ランサムウェアからの復旧において大きな部分ではありますが、IT環境の他の部分にも幅広い影響があります。

　フォレンジック分析もサイバーセキュリティーインシデント対応の一環として行なわれます。ランサムウェアが環境内に侵入した方法やランサムウェアの被害を受けたシステムを特定するためです。現時点では、その後で、ランサムウェアを排除して、侵入を許してしまった脆弱性を取り除き、被害を受けたシステムをリストアする作業を行なうことができます。

ランサムウェアを削除することは可能ですか？

　サイバーセキュリティーインシデント対応のプロセス中に、ランサムウェアが環境内に侵入した方法や、データの暗号化だけでなく、それ以外にもシステムが受けた影響について評価する作業が行なわれます。

　ランサムウェアソフトウェアそのものを暗号化されたマシンから取り除くことも必要ですが、犯人の侵入方法を特定する作業や、これらの攻撃ベクトルを軽減する作業も行なわねばなりません。ランサムウェアのイベントが発生すると、攻撃を受けたランサムウェアの亜種を検知する適切な定義をマルウェア対策システムに設定できるようになります。

ランサムウェアの攻撃を受けたシステムは復旧可能ですか？

　近年、ほとんどのIT組織から寄せられる最も切迫した質問は、「ランサムウェアから復旧できるのでしょうか？」というものです。復旧は、ほとんどの場合で可能です。残念ながら、復旧プロセスに不安を抱いている組織も多く、そのため、ランサムウェアからの環境の復旧を保証する作業を行なうことが重要となっています。

　ランサムウェアからデータを保護するために最初に行なうことは、エラーのない、最近のバックアップを保持しておくことです。マシンが暗号化されると、このバックアップが重要となります。暗号化されたら、以前のバックアップをリストアしなければならないためです。

　ランサムウェアがシステム内にアイドル状態で潜んでいた期間によっては、脅威を再び環境に戻すことのないよう、リストアしたシステムをスキャンする必要もあります。

ランサムウェア攻撃後の復旧作業はどのようなものですか？

　ランサムウェアで最も分かりにくい側面のひとつは、通常、攻撃を受けた後に発生することです。まずは、自社のITセキュリティーチームに連絡しましょう。インシデントへの対応作業を始めてもらうためです。このインシデントへの対応作業は、ほとんどのバックアップ管理者にとっておなじみのデータのリストア作業とは少し異なる場合があります。

　ランサムウェアから復旧可能になる前に、検知と分析、封じ込め、撲滅と復旧など、インシデントへの対応計画で完了しなければならない段階が数多くあります。ランサムウェアから復旧する方法は、「検知と分析」段階で決定された内容によって異なります。したがって、複数の復旧戦略を用意しておくこと、かつそれらを徹底的にテストしておくことが重要となります。

　サイバーセキュリティーインシデント対応について詳しくない場合は、先日CISAから発行されたサイバーセキュリティーインシデントと脆弱性対応のプレイブックを必ずご確認ください。

ランサムウェア攻撃にはどのような種類がありますか？

　ランサムウェア攻撃にはいくつか種類がありますが、最も典型的なのはデータの暗号化です。他にも、二重脅迫攻撃や三重脅迫攻撃といったものもあります。二重脅迫攻撃とは、データを暗号化するだけでなく、データの窃取も行なうランサムウェア攻撃を指します。三重脅迫攻撃は、マシンを暗号化したうえでデータも盗み取る攻撃です。悪意のある攻撃者はそこからさらに踏み込んで、組織の顧客や業者のデータを探します。次のターゲットにするためです。

ランサムウェアはデータを盗み取るのですか？

　ランサムウェア攻撃と聞いてよく思い浮かべるのは、データの暗号化です。この他に増えてきているのが、脅迫系のものです。環境内で悪意ある攻撃者が被害者からデータを盗み取り、身代金を払わないと盗んだデータを流出させるぞ、と脅す手口のものです。

ランサムウェアはどのように拡散するのですか？

　ランサムウェアは、実に様々な手口で拡散します。ランサムウェアが拡散する最も一般的な手口のひとつは、フィッシングメールです。一度環境内に侵入されると、あとはもう何でもできてしまいます。忘れないでいただきたいのですが、攻撃者に必要なのは侵入口だけです。それさえあれば、皆さんの環境を急停止させることができるのです。

ランサムウェア攻撃から重要なファイルを守る一番の対策はどれですか？

　ランサムウェアを防ぎたいと考えている人は多くいますが、実際のところは、ランサムウェア攻撃は受けるものと思っておいたほうがよいです。環境に潜り込んでランサムウェアを展開する新たな手口を常に探しているランサムウェアグループは多数存在します。岩のように強固なITセキュリティー戦略であれば、ランサムウェアを防ぐのに大いに役立つこともあるかもしれません。しかし、ランサムウェアの発生を100%防げるものなどないのです。

　一番の対策は、強固なバックアップ戦略です。その中には書き換え不能なバックアップも含まれ、これは悪意ある攻撃者によってバックアップが暗号化されたり削除されたりするのを防ぎます。

ランサムウェアの種類はいくつありますか？

　ランサムウェアには実にさまざまな種類があり、常に新たなタイプが出現しています。よく話題になるランサムウェアで有名どころを挙げると、REvil、Conti、DarkSideです。

　これらの種類の異なるランサムウェアについて知っておくべきことは、運用の仕組みは普通のIT組織と変わらないということです。開発担当者がいて、ITシステムに対する危険度が増すよう、常にランサムウェアの改良を行なっています。

ランサムウェアから復旧するのにかかる時間はどれくらいですか？

　ランサムウェアからの復旧の場合、復旧までにかかった時間について、恐ろしい話がたくさんあります（本当に復旧できるのであれば、ですが）。よく聞くのは、復旧に何週間も何ヶ月もかかったという話ですが、こんなことはあってはなりません。

　ランサムウェアからの復旧は、ディザスターリカバリー計画のように、定期的にテストしなければならないものです。むしろ、ディザスターリカバリー計画が最新の状態でしっかりとテストされているのであれば、ランサムウェアからの復旧のスタート地点としては最高です。

　復旧のテストが済んだら、追加のインフラストラクチャを環境に展開するなど、ビジネス要件に応じて復旧スピードを速めるための措置を講じましょう。

　ランサムウェアからの復旧に長い期間をかける必要はありませんが、RTOを満たすには復旧プロセスのテストは欠かせません。

ランサムウェアによる暗号化にかかる時間はどれくらいですか？

　ランサムウェアによる暗号化のスピードは、攻撃してきたランサムウェアによって異なります。忘れないでいただきたいのですが、ITチームに気づかれる前に、なるべく短時間で事を起こして、なるべく多くダメージを与えられるよう、ランサムウェアグループはソフトウェアの改良を常に行なっています。

　たとえば、REvilというランサムウェアの場合、マルチスレッド化したプロセスを用い、ターゲットのリソースを全て使用して暗号化を行ないます。

ランサムウェアは復号化できますか？

　被害を受けた情報は身代金を支払えば復号化できる、というのは犯人グループが使う文句ですが、実際は、全てのデータが完全に復号化されるわけではありません。さらにやっかいなのは復号化された後のデータの完全性です。復号化されたデータに完全性などありません。ランサムウェア攻撃を受けて、その後サーバーを復号化したとしても、サーバーはバックアップからリストアしなければならないのです。

Windowsを再インストールすればランサムウェアは消えますか？

　被害を受けたマシンにWindowsを再インストールするだけでは、ランサムウェアは消えません。マシンを完全にワイプ（出荷時の状態にリセット）してからWindowsを再インストールした場合は、システムからランサムウェアを消すことができますが、最初にデータをきちんとバックアップしていないと全てのデータを失うことになります。

ランサムウェアは個人情報を盗み取りますか？

　ランサムウェアの攻撃者は、環境内にある脆弱性を見つけようとします。これによって、その環境で見つけられる中で最も影響の強いデータを狙うことが可能になります。従業員や顧客の個人情報や金融関連の情報、機密情報などを思い浮かべてください。いいですか、被害者が確実に身代金の支払いに応じるよう、犯人グループは可能なことはどんなことでもしてきます。

　ランサムウェアからの復旧については、考えることがたくさんあります。一番重要なことは、今現在、自社の環境を保護する手段を講じているということです。これは、犯人に入り口を見つけられないように環境を強化するということだけではありません。疑わしいリンクを従業員がクリックして、ランサムウェアの侵入を簡単に許してしまうことのないよう、サイバーセキュリティーに関するユーザーの意識トレーニングも大切です。

　結局のところ、最後の防衛線となるのは安全なバックアップです。ランサムウェアによる暗号化や消去ができない書き換え不能なバックアップを持つことに加えて、復旧のテストを行なうことも重要です。復旧のテストは、バックアップが機能していることを検証できるだけでなく、攻撃を受けた際にRTOを満たすことができるということも確認できます。

　ランサムウェアからデータを保護する方法について詳しくはVeeamのランサムウェア対策キットをご覧いただき、是非導入をお願いいたします。

■関連サイト

ツイートする

カテゴリートップへ