ランサムウェア攻撃は、ミサイル攻撃みたいに突然炸裂するわけではなく、気づかぬうちに静かに始まります。
ある朝、システム管理者がログインしたら、モニタリング用のダッシュボードにいくつかアラートが立っていて、CPU使用率の上昇やエンドポイントの接続エラーか何かが通知されています。取り立てて珍しいことではないので、夜間のパッチがうまくいかなかったのかな?などと思いながら、とりあえずコーヒーでも淹れてからゆっくりログを確認しよう!という、いつもとさほど変わらない一日の始まりです。
いざ確認作業を始めると、リモートサーバーにアクセスできなかったりして、あれ?どうしたかな、といろいろ試しているうちに社内ユーザーからのサポートリクエストが増え始め、このあたりで異変に気づかされます。
そうこうするうち、同僚から次々と電話がかかってきたりして、社内のざわつきが伝わり始めます。やがて、誰かがハッカーからのメッセージを見つけて、スクリーンショットがシェアされます。
実際のランサムウェア脅迫メッセージ(英文)はネット上にも掲載されていますが、あえて機械翻訳の不自然さも含めて日本語化すると、以下のような文面になります。
こんにちは、皆様。
あなたが誰で、どんな役職の方であっても、これを読んでいるということは、貴社の内部インフラが完全に、あるいは部分的に機能停止し、すべてのバックアップ(仮想、物理)が完全に削除されていることを意味します。さらに、暗号化前に大量の企業データを取得済みです。
さて、今は涙と憤りは胸の内に留め、建設的な対話を目指しましょう。貴社の社内リソースをロックしたことで、どれほどの損害をもたらしたかは重々承知しています。今、知っておいていただきたいのは、以下の点です。
1. 弊社とご契約いただくことで、お客様は大きな節約になります。なぜなら、弊社は貴社の財務状況、銀行の損益計算書、貯蓄、投資などを徹底的に調査し、妥当な価格を提示いたします。有効なサイバー保険にご加入されている場合は、お知らせください。適切な利用方法をご案内いたします。また、交渉プロセスを長引かせると、取引が失敗に終わる可能性があります。
2. お支払いいただくことで、お客様の時間、費用、労力を節約し、約24時間以内に復旧作業を完了できます。当社の復号ツールはあらゆるファイルやシステムで正常に動作しますので、ご相談開始後すぐにテスト復号サービスをご利用いただければ、正常に動作することをご確認いただけます。ご自身で復旧される場合は、一部のファイルへのアクセスが永久に失われる、または誤って破損してしまう可能性があることをご承知おきください。その場合、当社では対応いたしかねます。
こんなメッセージを読み、本当なのかいたずらなのか半信半疑でシステムを詳しく調べ出すと、そのときにはもう手遅れで、マルウェアによる暗号化は社内インフラ全体に浸透しつつあり、業務の継続が不可能な状態になっています。
「ランサムウェア対策の盲点、それは時間軸」にも書いたように、ランサムウェアは静かに侵入してシステム内に潜伏し、時間をかけて機密情報を抜き取り、インフラ全般の暗号化の準備を整えてから、脅迫状を送ってきます。
初期症状があるとすれば、システムの反応がいつもより悪かったり、ファイルが保存できなかったり、アンチウィルスソフトウェアがうまく走らなかったりする程度です。これらの不具合は、それぞれ別々に生じた日常的な問題と思いがちなのですが、ランサムウェアの場合、すべてが関連したシステム全体の問題である点が異なります。
通常、ランサムウェアの被害の範囲は特定が難しく、個別の問題の相互関係が明らかになるまでに時間がかかります。
企業のシステムは部門や業務体系に応じて独立しているように見えても、実際には相互につながりが深いことを、ランサムウェアせいで初めて知る企業も少なくありません。
初動が大事
気づいた時にはもう手遅れ、とは書きましたが、それでも最初の一時間の対応は重要で、それによってその後の明暗が分かれます。
上に挙げたランサムウェアの犯行声明は、相手のパニックを誘うように書かれています。パニックに陥ったユーザーは、慌ててシステムを再起動したり、ネットワークから切断してみたり、すぐにバックアップからのリストアを試みたりします。
これらの行動は、犯罪者の手がかりを消去し、リカバリプロセスを複雑化し、影響範囲の特定を困難にします。
システム管理者でさえ、パニックに陥って慌てて状況を悪化させるくらいなので、社内の一般ユーザーはもっと浮き足立ちます。メールやチャットなどの通常のコミュニケーション手段が使えなくなり、デマも流れやすくなります。上層部や広報部門が管理する間もなく、不正確な情報が社外に流布されてしまう可能性もあります。
情報が錯綜するので、上層部も正確な状況を把握しにくく、全社的な取り組みが後手後手にまわらざるをえません。
このような混沌を避けるには、普段からサイバー攻撃の被害を想定して、予行演習しておく必要があります。誰が何をするのか、行動の手順と責任分担を明確にドキュメント化し、その実用性をテストで検証し、定期的にトレーニングすることで、いざというときのパニックを防げます。
Veeamのサイバーセキュリティ専門チームによれば、「最初の一時間は普段の準備と心構えがものをいう」のだそうです。
この普段の準備には、コミュニケーション プランも含めなければなりません。緊急時のコミュニケーション チャンネルと優先順位をあらかじめ決めておき、社内で周知徹底する必要があります。
「非常時にいち早くリカバリできるのは、資金が十分にある企業ではなく、備えが十分な企業」だと、前述のVeeamサイバーセキュリティチームが数千社をサポートしてきた経験から述べています。
ランサムウェアの衝撃は、システムのダウンだけでなく、人への影響が大きく、それがビジネスの継続をさらに困難にします。人は誰しも完全ではなく、非常事態に冷静には対応できないものですが、だからこそ、普段の準備とトレーニング、定期的なテストがものを言います。企業がランサムウェア攻撃を受けた後のリカバリへの道の険しさは、それによって大きく変わってきます。
最後にVeeamサイバーセキュリティ専門家の金言をもう一つだけ:
In the first hour, what you do matters. After that, it’s about how well you’ve planned
(ランサムウェア攻撃を受けた後)最初の一時間はいかに対応するかが重要で、その後は、どれだけ準備してきたかがものを言う
Veeam、その他の製品を用いたランサムウェア対策について詳しくは、クライムサポートまでお問い合わせください。ランサムウェア対策特集記事もぜひご覧ください。
関連トピックス
- データ損失を抑えたランサムウェア攻撃からの復旧【Druva】
- Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
- Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護 (Linuxサーバ不要)
- ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
- バックアップランサムウェア保護ソリューションのBlocky for Veeamの最新版 3.5をリリース
- VeeamON 2022 セッション情報速報⑧
- CloudBerry Backup リリース 5.8の新機能紹介
- ランサムウェアに対抗するためのZertoの7つの主要機能
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- StarWind Virtual SAN (vSAN)の機能詳細一覧
RSSフィードを取得する
