第43回ランサムウェアの対策をしましょう

情報セキュリティ連載
第43回ランサムウェアの対策をしましょう

2021年5月6日に米国の石油パイプライン最大手コロニアル・パイプラインの社内システムデータがランサムウェアによりロックされ、そのデータの一部によりパイプラインの制御を奪われる可能性があったため、パイプラインの操業が全停止に追い込まれる事件が起きました。

1 攻撃後の経過

パイプラインを自ら停止させ、ロックされたシステムからのパイプラインへの攻撃の可能性調査、その後の復旧作業でパイプラインの復旧まで約1週間の期間を必要としました。

この発表が米国政府から発せられたこと、石油というインフラシステムが止まってしまった事などから、原油価格の高騰、物流の停止など社会への影響が大きいものとなってしまいました。

2 保険業界の動き

2020年ころからランサムウェアの攻撃は急増しており、それをカバーする保険商品が販売されるようになり、契約件数が伸びています。

しかしながら、身代金額が高額になっていること、企業側のセキュリティレベルが様々であり相対的にランサムウェアの攻撃を受けやすい状況になっていることなどから、保険料は前年比3割増、今後も高騰すると見られています。また、一定のセキュリティ基準に達していない#企業の場合契約出来ないケースも出てきています。

3 ランサムウェア被害の範囲

では、実際にランサムウウェアの被害にあった場合の被害範囲、復旧期間について見ていきましょう。

図は、独立行政法人情報処理推進機構（IPA）刊行「ランサムウェアの脅威と対策」に掲載されているファイル暗号型ランサムウェアの被害範囲です。図中央のユーザAのパソコンがランサムウェアに感染、発症します。ランサムウェアは社内ネットワークを通じユーザAがアクセスできるファイルは全てロックしますし、外部のクラウド上にアップロードされたファイルもロックされてしまいます。

4 ファイルの復旧方法

これは一概には言えませんが、バックアップの有無で大きく変わって#きます。

⒈バックアップから復旧できるケース

⒜手動で定期的にバックアップしている場合

定期的に手動でバックアップを行い、バックアップファイルをバックアップ時以外ネットワークから遮断している場合はそのバックアップを使い復旧作業を進めることができます。

⒝クラウドサービスにロールバック機能がついている場合

DropboxやGoogleDriveにはバックアップデータを一定期間前に戻す機能がついています。この機能を利用すれば、単体データごとになりますがデータ復旧は可能です。システム上バックアップが求められるシステムについては、バックアップの保存先をロールバック機能が付いたクラウドサービスにすることで、復旧ができるようになります。

⒉バックアップから復旧できないケース

⒜常時同期を取っている場合

常に同期させるタイプのバックアップの場合、ランサムウェアでロック後もそのロックされた状態で同期がかかってしまうため、復旧はできません。クラウドにバックアップする場合も常に同期している場合はやはりロックされた状態のファイルが同期されるため、復旧は厳しいでしょう。ただし、⒈ ⒝ のロールバック機能が付いているクラウドサービスの場合は復旧できます。

⒊その他復旧できるケース

その他の復旧方法としては下記の通りです。

・バックアップがない場合は専用業者に依頼し、ファイルロックの解除を試みるほかありません。

・ランサムウウェア救済サイト「No More Ransom」や各ベンダーが提供している復旧ツールを利用する。

まとめ

完全復旧までには専門業者に依頼する場合でも平均で10日以上かかっています。ランサムウェア感染の場合ネットワーク全体、さらには接続していたUSBメモリ等まで汚染されてしまうため新しく機材を入れネットワークを組み直す方が早いですし、バックアップからデータを復旧できる場合は通常業務に必要なデータごとに新しいパソコンなどランサムウェアに感染していないパソコンから復旧をかけ、そこから必要なツールをインストールなどして部分ごとに復旧させていくのが一番確実な方法です。

ランサムウェア対策としてロールバック機能が付いたクラウドサービスは、地味ですが有効な手段なので導入を検討してみてはいかがでしょうか。

《参考文献》『ランサムウェア犯罪の急増、保険業界をゆるがす』2021年6月4日付日本経済新聞電子版