概要
ランサムウェア攻撃は増加の一途を辿り、2022年の調査では85%にのぼる企業が被害を受けています。身代金を支払うことにした企業もありますが、そのうち相当数の企業がデータを復元できず、2度目の攻撃を受けた企業も複数ありました。ランサムウェアにより企業全体が停止状態に陥る場合もあります。そのため、強力なサイバーセキュリティ対策や包括的なバックアップ戦略、そして堅牢性の高いインシデント対応計画を導入して、攻撃に備えておくことが不可欠です。バックアップの完全性を厳しくチェックし、インシデント対応を練習しておく必要があります。また、できるだけ迅速かつ効果的にランサムウェアインシデントから復旧するための方法を把握しておかなければなりません。
では、ランサムウェアのベストプラクティスと組織を保護する方法について、詳しく確認していきましょう。
ランサムウェアリカバリとは
現代のビジネスが直面している最大の脅威の1つがランサムウェアです。『2023 データプロテクションレポート 』によると、実際に攻撃を受けた企業の割合は、2021年の76%から、2022年には85%にまで増加しました。驚くべきことに、暗号化されたデータを復元できた割合はわずか55%にとどまっており、被害を受けた企業は平均で45%のデータを失っています。
ランサムウェアには複数のタイプが存在しています。一般的な手口は、ユーザーがマシンを使用できないようにして、データを暗号化し、多額の金銭を不当に要求するというものです。また、別のタイプのランサムウェアとして、スケアウェアやドクスウェアがあります。これらは、身代金を支払わなければ個人情報を漏らすと脅迫するものです。
ランサムウェアリカバリとは、企業がランサムウェア攻撃の影響を緩和するために実施する一連の計画的行動です。「企業データはハッカーに暗号化される」という前提のもとに、被害を受けたシステムを再構築するためのイミュータブル(書き換え不能)なデータバックアップと設定スナップショットのシステム一式を実装します。ランサムウェアリカバリが成功するかどうかは、組織のバックアップとデータ保護のプロセスがどれほど効果的か、また、ランサムウェア攻撃中に何が影響を受けたかによって変わります。
ランサムウェア攻撃への備え
ランサムウェアへの備えは事業継続性計画の一部であり、攻撃のリスクは高い水準にあります。攻撃が成功してしまうと重大なデータ消失が発生し、ビジネスが継続事業体として存続できなくなる可能性もあります。
ランサムウェア攻撃に備えるためには、包括的な復旧計画が必要になります。この計画は定期的に見直し、徹底的にテストする必要があります。また、強力なサイバーセキュリティ対策や包括的なバックアップ戦略など、ランサムウェア予防に関するベストプラクティスを取り入れる必要があります。
強力なサイバーセキュリティ対策の導入
最初のステップとなるのは、不正なアクセスに対してネットワークを強化し、ハッカーからシステムを保護することでしょう。主なステップは次のとおりです。
- エンドポイント保護。ノートPC、仮想マシン(VM)、サーバー、組み込みデバイス、モバイルデバイスなど、全てのエンドポイントデバイスを保護します。マルチファクター認証(MFA)を導入し、強力なパスワードポリシーを適用し、データを暗号化します。エンドポイント・セキュリティ・ソフトウェアをインストールし、ゼロトラストのセキュリティ原則を採用します。
- ネットワークセキュリティ。ネットワークを不正なアクセスから保護します。堅牢性の高いファイアウォールを使用してハッカーから保護します。仮想プライベートネットワーク (VPN)を使用してネットワークをセグメントに分割し、セキュリティ侵害の影響範囲を最小限に抑えます。
- メールのセキュリティ。先進的な脅威対策ソリューションを導入してユーザーアカウントを保護します。ユーザーに対して、メールのセキュリティや、フィッシング攻撃の兆候に気がつく方法についてのトレーニングを行います。
- ソフトウェアへのパッチ適用。ソフトウェアのセキュリティパッチを速やかにインストールして、ハッカーによる脆弱性の悪用リスクを最小限に抑えます。
包括的なバックアップ戦略の策定
ハッカーはバックアップの重要性を認識しており、特にバックアップやバックアップサーバーをターゲットにしています。セキュアで包括的なバックアップ戦略を策定し、自社用のバックアップ計画を立てる際には、次のポイントを考慮してください。
- 3-2-1-1-0ルール:従来の3-2-1バックアップ計画の発展形です。このルールでは、元のデータに加えて、バックアップを3つ用意します。それらのバックアップを2種類以上のメディアで保持します。1つのコピーはオフサイトで、それ以外のコピーはオフラインで保管します。このルールにおける「0」は、バックアップをチェックしてエラーがないか検証することを意味しています。
- バックアップのタイプ:バックアップ戦略には、フルバックアップ、増分バックアップ、または差分バックアップを組み込むことができます。通常、フルバックアップは週1回実行し、増分バックアップまたは差分バックアップは毎日実行します。増分バックアップとは、前回のフルバックアップまたは増分バックアップ以降に発生した全ての変更内容が格納される別個のバックアップです。差分バックアップは増分バックアップとは少し異なり、前回のフルバックアップ以降に発生した全ての変更内容がバックアップされます。差分バックアップは、実行されるたびにそのファイルサイズが増加します。
- オフサイト、クラウドベースのバックアップ:少なくとも1つのバックアップセットをオフサイト(リモートの強化サーバー上か、Amazon S3クラウド・オブジェクト・ストレージなどのセキュアなクラウド設備内のいずれか)に保存する必要があります。
- イミュータブルバックアップ:バックアップはイミュータブルである必要があります。これは、バックアップが読み取り専用であり、通常は事前に指定した期間、変更や削除が不可能であることを意味します。イミュータブルバックアップを使用すれば、ランサムウェア対策も強化されます。
ランサムウェアインシデントの検出方法
ランサムウェア感染の検出を早い段階で行うことは極めて重要です。これにより、本格的なランサムウェア攻撃を防止できます。ランサムウェア攻撃は複数の段階に分かれています。侵入または感染から始まり、偵察、ステージングが続き、最後にデータ暗号化が実行されます。このアクティビティを検出できれば、被害を受けたマシンを隔離して、攻撃の影響範囲を最小化することが可能です。次の3つのテクニックがこの対策に役立ちます。
- ランサムウェアの症状や兆候の特定。攻撃の初期症状として、通常よりもCPU使用率が高い状態や、ハードドライブの読み取り/書き込み量が多い状態が挙げられます。
- ネットワーク異常の監視と分析。悪意ある活動の兆候としては、通常とは異なるネットワークトラフィック、トラフィックの急増、ネットワーク帯域幅の減少、異常なネットワークリクエストなどが挙げられます。
- セキュリティ情報/イベント管理(SIEM)ソリューションの使用:SIEMソフトウェアは機械学習技術を活用して、イベントログのデータを分析し、脅威や不審なアクティビティをリアルタイムで特定します。
ランサムウェア攻撃への対応時に何をすべきか
決断力を持って速やかにランサムウェア攻撃に対応しましょう。対応は早いほどよく、特に、攻撃者がデータを暗号化する前に行動できればよいと言えます。対応時に実行できる5つのステップを以下に挙げます。
- インシデント対応計画の実施:ランサムウェアの封じ込め、隔離、対応計画を即座に発動し、上層部と全ての対応担当者に通知します。
- 感染したシステムの隔離と封じ込め:どのシステムが感染したのか割り出して、それらを内部ネットワークやインターネットから隔離します。感染した全てのデバイスのスナップショットとシステムイメージを取得しておきます。
- 関連当局や法執行機関への通知:管轄によっては、FBIやCISAなどの規制当局や法執行機関に対して攻撃を受けたことを報告する必要があります。
- サイバーセキュリティ専門企業による外部サポートの利用:専門のITサポートや、Veeamのようなサイバーセキュリティ企業に連絡し、ランサムウェアの緊急対応サポートを依頼します。
- ランサムウェアインシデント対応において法的、倫理的に考慮すべき事項の評価:影響を受ける全ての当事者を特定して通知します。データ保護、プライバシー関連法、企業の倫理的な責任の法的効果を明らかにしておきます。
ランサムウェアリカバリ戦略
復旧戦略は次のような複数の要因の影響を受けます。
- 復旧にかかる時間
- ビジネスへの財務的影響
- 身代金を支払わない場合の機密データ漏洩の脅威
ここからは、いくつかの選択肢、すなわちバックアップの使用、身代金の支払い、ランサムウェア復号化ツール、ランサムウェア・サービス・プロバイダーについて詳しく確認していきます。
バックアップからのデータのリストア
- データのリストア:Veeamバックアップからのデータのリストアは、比較的単純明快なプロセスです。元のサーバーにリストアするか、VMにリストアするかという選択肢があります。VMを選ぶと、ITチームがサーバーのクリーンアップや再インストールに取り組んでいる間に、ランサムウェア攻撃から迅速に復旧できます。Veeamを使用すれば、バックアップからレプリカを作成して、ランサムウェア攻撃を受けた際にはフェイルオーバーするようにVMを設定できます。他にも、スナップショットやフラッシュベースのリポジトリを使用するという復元オプションがあります。
- データの整合性の確保と確実な検証:バックアップが感染しておらず使用可能な状態だと保証できることが不可欠です。たとえば、Veeamのセキュアリストア機能では、リストアが完了する前に、バックアップイメージのウイルススキャンを自動で実行します。
- イミュータブルバックアップからのデータの復元:イミュータビリティ期間中は、イミュータブルバックアップの変更は不可能です。これにより、企業がランサムウェアから保護されます。イミュータブルバックアップによって、ランサムウェア攻撃への耐性が格段に向上します。
身代金支払いの分析
身代金を支払うべきかの判断は常に難しく、被害を受けた企業は身代金を支払うリスクと結果を熟考する必要があります。FBIは身代金の支払いを肯定していませんが、Veeamの『2023 ランサムウェアトレンドレポート』によると、被害を受けた企業の80%が身代金を支払うという判断を下しています。ランサムウェアの使用者と交渉するのには次のような理由があります。
- バックアップの暗号化。クリーンなバックアップにアクセスできない状況になる可能性があります。上記のレポートでは、ランサムウェア攻撃によりバックアップリポジトリの75%が被害を受けたとされています。
- 機会費用。企業が事業停止している間、日ごとに利益や信用を失うことになります。復旧にかかる総費用が支払う身代金の金額よりも高くなる可能性もあります。
- 機密データ。自社にとって不利な機密データが漏洩する脅威は現実にあり、身代金を支払ってでもそのデータを復元する方が安全だと感じることもあるでしょう。
しかし、身代金の支払いでは問題が終結しないことを示す証拠は十二分にあります。身代金を支払った企業のうち25%はデータを復元できていないことがVeeamの調査で判明しています。しかも、身代金を支払った企業の80%は、後で2度目のランサムウェア攻撃を受けていました。
企業は身代金支払いが必要となるあらゆる可能性をなくすための選択肢を精査する必要があります。
復号化のツールと技術の活用
ランサムウェアファイルを復号化できることもあります。その成功の大部分は、ランサムウェアがどのようなタイプであるか、また適切なツールを入手できるかどうかにかかっています。Kaspersky、Avast、Bitdefenderは、一部の種類のランサムウェアに効果がある復号化ツールを提供しています。一方、最も攻撃を成功させてきたサイバー犯罪組織は、128ビットと256ビットの暗号化ツールによる強力な暗号化手法を使用しています。このレベルの暗号化を復号化するのはほぼ不可能です。ただし、一部の形式のランサムウェアには、ユーザーがファイルを復号化できるような欠陥があることもエキスパートにより確認されています。
ランサムウェア・リカバリ・サービスの活用
ファイルを復号化する場合には、ランサムウェア・リカバリ・サービスの専門プロバイダーを活用する方がよい場合もあります。復号化サービスプロバイダーとして高い評価を受けてきた企業もあれば、そうでない企業もあります。サービスを利用する前に、そのプロバイダーの専門性を評価しましょう。攻撃を受けた企業の状況を評価して、データの復元が可能かどうかを正直に回答してくれる、評判のよい専門企業と取引することが最善策です。優秀なサービスプロバイダーは事業をグローバルに展開し、複数の研究ラボを所有しています。そのため、サービスの料金は高額になります。それでもデータを復元できるという保証はありません。
ランサムウェアリカバリのベストプラクティス
このように落とし穴は無数にありますが、それでもランサムウェア攻撃からの復旧は可能です。ランサムウェアリカバリにおいて、成功と失敗を分けうる4つのベストプラクティスを以下に示します。
- バックアップのテストと検証:バックアップは、機能しなければ意味がありません。検証テストを定期的に実行して、データの破損、ウイルス、マルウェアなどがないかをチェックします。バックアップをVMにマウントして、動作確認を行います。
- ランサムウェアインシデント対応計画の策定:具体的な責任について定めた詳細なインシデント対応計画を用意しておきます。復元のためにチームで進めるべきステップを、イベントが実際に起こる前にリストアップしてください。
- ランサムウェアリカバリのシミュレーションと練習:ランサムウェアインシデントのシミュレーションを行うことで計画をチェックします。オフラインのVMを使用することで、サービスを中断せずにチェックできます。全ての担当者が何をすべきかを把握できるまで、復旧プロセスの練習を行ってください。
- ランサムウェア予防戦術に関するスタッフのトレーニング:サイバー犯罪組織により使用されるフィッシング攻撃やその他の手法について、スタッフが認識できるようにトレーニングします。
ランサムウェア攻撃を受けた後に何をすべきか
攻撃を受けて復旧をした後に、何が起こったのかを分析するための詳細な事後調査を実施します。
- ランサムウェア攻撃の影響度と影響範囲の評価:復旧後評価を実施します。攻撃範囲全体を調査して、ダウンタイムと金銭的損失の観点からその影響度を測定します。ハッカーがアクセス権を取得した方法を特定して、ハッカーがバックアップの侵害に成功したかどうかを確定させます。
- 脆弱性への対処:ハードウェアとソフトウェアの脆弱性を全て特定して修正します。その後、従業員に再度トレーニングを行います。
- セキュリティの強化:システムを強化して権限を見直します。追加のVPNをセットアップしてシステムの独立性を高めます。MFAの手法を導入します。
長期的なリスク緩和戦略の実施:NISTやCISAなどのサイバーセキュリティ機構と連携します。リスクを緩和する方法、セキュリティを高める方法、システムを保護する方法を学習します。
おわりに
ランサムウェアリカバリは実現可能なことです。身代金を払うことは賢明ではありません。ほとんどの企業は身代金を支払ってもデータを完全には復元しきれないからです。復旧の成功要因として重要なのは、ランサムウェア攻撃に対して適切に備えておくことです。強力なセキュリティ対策の実施や、適切なバックアップ戦略の策定もそれに含まれます。理路整然としたランサムウェア対応戦略と、チームへの徹底的なトレーニングが必要であり、ランサムウェアを早く検出することが鍵です。複数のイミュータブルコピーを使用する強力なバックアップ戦略を策定することも、成功要因として挙げられます。進化し続ける脅威に適応できるように、継続的な改善のニーズを実現していくことも同じく重要です。
ランサムウェアリカバリの詳細については、2023年ランサムウェア対策に関する簡単な動画シリーズも参考にしてください。これらの動画では、ランサムウェア攻撃への備えと復旧の方法について、実践的な観点から説明しています。