「ランサムウェア」の被害をバックアップで防ぐことは可能か：ランサムウェアを5分で学ぶ

前回に引き続き、ランサムウェアの仕組みと対抗策を5分で学ぼう。

[畑陽一郎，キーマンズネット]

　KADOKAWAグループに対する大規模なランサムウェア攻撃を見て、自社の対策に不安を感じた方は少なくないだろう。ITが利用できなくなれば、企業活動の継続は難しくなる。

　そこで、クラウドストレージサービスを提供するBackblazeが2024年6月20日に公開したランサムウェアの仕組みと事後の対策を前回に引き続き紹介する。

ランサムウェアの仕組みと対抗策

　バックアップについて触れる前に、まずはランサムウェアの仕組みを押さえておこう。対抗策を練るにはまずは相手を知ること必要だ。

　ランサムウェア攻撃はネットワークに接続したPCやサーバがマルウェアに感染することで始まることが多い。サイバー犯罪者は電子メールの添付ファイルやスパムで送信されたリンク、洗練されたソーシャルエンジニアリングなど、PCを感染させるさまざまな方法を取りそろえている。ユーザーが古い攻撃方法に精通すると、サイバー犯罪者は戦略を新しくする。

　こうして悪意のあるファイルがエンドポイントにロードされると、社内ネットワークに広がり、犯罪者が管理する強力な暗号化によってアクセス可能な全てのファイルがロックされる。これが大まかな流れだ。

　ランサムウェアといえば暗号化だと考えられているが、次に挙げるようなものもある。

・ファイルやデータへのアクセスを制限するが、暗号化はしないもの
・HDDやSSDのマスターブートレコード（MBR）またはWindowsのファイルシステム（NTFS）を暗号化し、被害者のOSそのものが起動できないようにするもの
・リークウェアや恐喝ウェアを使ったもの。被害に遭った企業にとって流出してはこまるデータを盗み出し、身代金を支払わなければ公開すると攻撃者を脅す。このタイプは増加傾向にあり、BlackFogの調査によれば、2023年はランサムウェア攻撃の91％が何らかのデータ流出を伴っていた
・モバイル端末向けランサムウェアもある。ドライブバイダウンロードや偽アプリを通じてスマートフォンに感染する

典型的な攻撃はどのように進行するのか

　犯罪者は被害企業のシステムに侵入し、偵察を始め、目的を達成するために、手元にさまざまなツールを用意している。サイバーセキュリティの用語では、これらを「戦術、技術、手順」（TTP）と呼ぶ。大まかにいえば、ランサムウェア攻撃の典型的なライフサイクルは次の通りだ。

（1）最初の侵害　ランサムウェアは既知のソフトウェアの脆弱（ぜいじゃく）性を利用したり、フィッシングメールを使ったり、あるいはUSBメモリなどの物理メディアを使ったり、ブルートフォース攻撃を試みたり、さまざまな手段で侵入する。その後、単一のエンドポイントまたはネットワークデバイスにマルウェアをインストールし、攻撃者がリモートアクセスできるようにする。

（2）安全な鍵交換　インストール後、ランサムウェアは攻撃者が運用するコマンドアンドコントロール（C＆C）サーバと通信を始め、システムを安全にロック際に必要な暗号キーを生成し始める。

（3）暗号化　これが終わると、ランサムウェアは暗号化プロセスを開始し、ローカルや社内ネットワークにあるファイルをターゲットにして、復号キーなしではアクセスできないようにする。

（4）恐喝　 暗号化が完了後、身代金の金額や支払い方法、期限、犯罪者の要求を蹴った場合の結果などを画面に表示する。

（5）回復　被害者はランサムウェアに暗号化されたファイルやシステムを削除したり、クリーンなバックアップから復元を試みたりすることができる。

　（5）の回復プロセスの代わりに、身代金の支払いをするという選択肢もある。だが、Backblazeのデビッド・ジョンソン氏（プロダクトマーケティングマネージャー）によれば、身代金の支払いはお勧めできないという。Veeam Softwareが2024年6月に発表した「2024 Ransomware Trends Report」によると、調査に回答した企業の81％が身代金を支払った。だが、そのうち約3分の1がデータを復元できなかった。「支払ったが復旧できなかった」組織の方が「支払わずに復旧できた」企業よりも多いという。

　身代金と引き替えに受け取った復号キーが機能する保証はなく、そもそも復号キーを受け取れるという保証もない。さらに2回目、3回目の身代金支払いを要求されることもある。

　もう一つは被害を受けた企業が助かったとしても、支払った身代金がさらなる犯罪の動機になり、身代金を資金源としてさらに大規模なランサムウェア攻撃を仕掛けるきっかけになることだ。

不完全な対策は逆効果

　前回紹介したように、ランサムウェア攻撃はあらゆる規模の企業を標的にしている。中小企業から大企業まで、攻撃を免れる規模の企業はない。攻撃はあらゆる業種、あらゆる規模の企業で増加傾向にある。中でも中小企業は防御を強化するために必要なリソースを持っていない可能性があり、犯罪者から「簡単な標的」とみなされることが多い。

　サイバー犯罪者が医療施設から患者の機密写真を流出させた攻撃の事例からは、どのような組織であっても、またどのような事業を営んでいても攻撃対象から外れることないことを証明している。

　つまり、管理体制が不完全で、ITシステムが時代遅れだったり、洗練されていなかったりする組織は、自社のITシステムとデータ、特にバックアップデータを保護するために特別な予防措置を講じる必要があることが分かる。

　先ほど紹介したVeeam Softwareのレポートによると、データのバックアップを保存しておく専用のストレージやデータベース、つまりバックアップリポジトリが攻撃者にとって格好の標的だという。実際、バックアップ・レポジトリは攻撃の96％でターゲットになっており、攻撃者はそのうち76％の場合、バックアップリポジトリに影響を与えることに成功した。

ランサムウェアに対抗するには

　次に不幸にしてランサムウェア攻撃を受け、社内システムが異常を来したときにどうすればよいのかを順に紹介しよう。

　まずは自社の業種や法的要件によっては、攻撃を直ちに当局に報告する義務がある。そうでない場合は、次のような順番でダメージコントロールに徹するべきだ。

（1）感染を隔離する　感染したエンドポイントを他のネットワークや共有ストレージから速やかに隔離し、ランサムウェアの拡散を食い止める。

（2）感染を特定する　ランサムウェアは数千種類存在すると言われている。そのうちどのランサムウェアに感染しているのかを正確に特定しなければならない。メッセージを調べ、ファイルのスキャンを始め、識別ツールを活用して感染状況を明確に把握する。

（3）インシデントを当局に報告する　法的義務は異なるかもしれないが、関係当局への報告は常に望ましい。関係当局が関与すれば、対策のための貴重な支援と調整を期待できるからだ。

（4）選択肢を評価する　感染に対処するために利用可能な行動方針を評価する。具体的な状況に応じて、最も適切な方法を検討する。

（5）復元と再構築を進める　安全なバックアップや信頼できるプログラムソース、信頼できるソフトウェアを利用して、感染したシステムを復元するか、ゼロから新しいシステムをセットアップする。

　これらの対策は事前に準備できるものも多い。それぞれの対応をもう少し詳しく見てみよう。

（1）感染を隔離する

　感染したランサムウェアの種類によっては、対応する時間がほとんどない場合もある。動きの速いランサムウェアは、たった一つのエンドポイントからネットワーク全体に広がり、データを封じ込める前にファイルやシステムのロックを終えてしまう可能性がある。

　たとえ1台のPCだけの感染だという疑いがある場合でも、まず、そのPCをネットワークの他のエンドポイントやストレージデバイスから隔離する。Wi-FiとBluetoothを無効にして、接続されている可能性のあるローカルエリアネットワークやストレージデバイスの両方からPCのプラグを物理的に抜く。これ以上の感染を食い止めるだけでなく、ランサムウェアが攻撃者と通信できないようにできる。

　攻撃者は巧妙だ。1台のPCだけだと考えていても複数の攻撃ベクトルからシステムに侵入している可能性がある。慎重な攻撃者であれば、特定の企業を攻撃する前にその企業の「パターン」を観察しているはずだ。被害者が対応を始めた段階で、すでに別のランサムウェアが別の社内システムに潜り込んでいる可能性もある。確認が終わるまでは、ネットワークに接続された全てのPCやサーバをランサムウェアの潜在的なホストとして扱わなければならない。

（2）感染を特定する

　ランサムウェアを拡散させる犯罪者の他に、ランサムウェアとの戦いを手助けしてくれる善人もいる。「ID Ransomware」や「NO MORE RANSOM」のようなWebサイトを使うと、どのランサムウェアに感染したのかを特定しやすい。感染したランサムウェアの種類を知ることで、それがどのように増殖するのか、どのような種類のファイルをターゲットにしているのか、除去や駆除のオプションがあるとすればどのようなものかを理解できる。このような情報を当局に報告すれば、より多くの情報を得ることができる。ジョンソン氏は当局への報告を強く推奨している。

（3）インシデントを当局に報告する

　報告が企業にとって得策でない場合もある。攻撃を公にしたくないのかもしれない。当局を巻き込むことによる潜在的なマイナス面（調査中の生産性の低下など）が、身代金の額を上回るかもしれない。しかし、攻撃を報告することで被害が他の企業に広まることを防ぎ、将来のランサムウェア攻撃の拡散も阻止できる。攻撃が報告されるたびに、当局は攻撃の背後に誰がいるのか、どのようにしてシステムにアクセスするのか、そして攻撃を阻止するために何ができるのかをより明確に把握できるようになる。

　米国に支社や営業所があるのであれば、インターネット犯罪苦情センター（Internet Crime Complaint Center）を通じて連邦捜査局（FBI）に報告できる。

（4）選択肢を評価する

　攻撃を受け、ファイルが暗号化されてしまった後の選択肢は幾つもある。ただし、繰り返しになるが身代金を支払うことは事態を悪化させるだけだ。

　身代金を支払う方が自社の生産性を失う可能性よりも安価だと考える経営者の思考を犯罪者は当てにしている。しかし、Cybereasonによれば、身代金を支払うことは、犯罪者のエコシステムを育てるだけでなく、民事上の罰則にもつながる場合があるという。当然データが戻ってくる保証はない。ではどうすれば良いのか。ファイルの削除を試みるか、最初からやり直すことだ。

（5）復元と再構築を進める

　システムからランサムウェアを除去できる可能性のあるWebサイトやソフトウェアパッケージが幾つかある。これは事前に調べておくべきだ。

　ランサムウェアの感染を完全に取り除くことができるかどうかは、議論の余地がある。全ての既知のランサムウェアに対応した解読ツールは存在しない。善人が復号ツールを開発するたびに、悪人が新たなランサムウェアを作り出すからだ。ジョンソン氏は安全のために、システムを復元するか、完全に最初からやり直すか、どちらかを選ぶことを勧めている。

バックアップからやり直す方が良い理由

　システムからランサムウェアが削除されたことを確認する最も確実な方法は、全てのHDDやSSDの内容を完全に消去し、ゼロから再インストールすることだ。HDDなどのフォーマットがよい。

　その前にすることもある。システムに侵入したランサムウェアに対抗するには、ファイルの日付やメッセージ、その他の関連情報を調べて、正確な感染日を特定することが重要だ。さらにランサムウェアがアクティブになり、重大な改変を開始する前に、システム内で休眠状態にあった可能性に留意する。システムを標的としたランサムウェアの特徴を特定し、研究することで、機能について洞察を得ることができ、システムを最適な状態に復元するための最も効果的な戦略を立案できる。

　システムのリカバリーを急ぐことは良くない結果を生む。Veeam Softwareの調査によれば、適切なスキャンを施さず、侵害された本番環境に急いで直接リストアした組織が63％もある。これでは脅威が再び侵入する危険性が残ってしまう。

　最初のランサムウェア感染日より前に作成されたバックアップを選ぼう。健全なバックアップ戦略を採っているのであれば、感染直前までの全てのドキュメントやメディア、重要なファイルのコピーが残っている。ローカルバックアップとオフサイトバックアップの両方があれば、攻撃時以降にネットワークに接続されていなかったことが保証できるバックアップコピーを使用でき、感染から保護されるはずだ。ジョンソン氏は本番システムをオンラインに戻す前に、安全な隔離環境でテストして、データにランサムウェアが眠っていないことを確認することを推奨した。

オブジェクトロックを使ってバックアップを保護する

　バックアップのためのシステムを構築する際、オブジェクトロックが可能なものを選ぼう。オブジェクトロックに対応していれば、WORM（Write Once Read Many）モデルに沿ってオブジェクトを安全に保存できるからだ。指定された期間中、誰も保護されたデータを暗号化、改ざん、削除ができなくなり、ランサムウェア攻撃に対する強固な防御線を構築できる。

　オブジェクトロックはデータに仮想的な「エアギャップ」を作る。エアギャップという言葉は、磁気テープ（LTOテープ）に由来する。バックアップがテープに書き込まれた後、テープはネットワークから物理的に取り除かれ、バックアップと本番システムの間に文字通り空気（エア）の隙間（ギャップ）ができる。ランサムウェアの攻撃を受けても、前日のテープを引き出せばシステムを復元できる。オブジェクトロックは同じことをクラウドで実現する。物理的にデータを隔離する代わりに、オブジェクトロックは仮想的にデータを隔離する。

　オブジェクトロックは次のような幾つかの異なるユースケースに向いている。

（1）LTOテープシステムを置き換える　テープからの移行を考えたとき、テープが提供してきたエアギャップのセキュリティを維持できるかどうか懸念があるかもしれない。オブジェクトロックを使えば、高価な物理インフラを用意することなく、エアギャップテープと同様に安全なバックアップを作成できる。

（2）機密データの保護と保持　コンプライアンス要件が厳しい業界の場合、例えばHIPAA（医療保険の相互運用性と説明責任に関する法律）規制の対象だったり、法的な理由でデータを保持、保護したりする必要がある場合、オブジェクトロックを使えば、規制コンプライアンスを満たす適切な保持期間を簡単に設定できる。

（3）災害復旧や事業継続計画の立案　ランサムウェアに攻撃されたときに真っ先に気になるのは、バックアップが安全かどうかということだろう。オブジェクトロックで保存したバックアップからシステムを復元できればダウンタイムや中断を最小限に抑え、サイバー保険の要件を満たし、復旧時間目標（RTO）を容易に達成できる。重要なデータをイミュータブル（不変）にすることで、バックアップから感染していないデータを素早く復元して、展開し、中断することなくビジネスを再開できる。

　ランサムウェアの攻撃は信じられないほどの破壊力を持つ。オブジェクトロック機能を使用し、イミュータブルでエアギャップ対応のバックアップを作成することで、リカバリーできる可能性が高まる。

なぜシステムの復元を実行しないのか

　システムの機能を復元するためにシステムの復元ポイントに頼ることは魅力的に見える。だがそもそもの問題の原因、つまりウイルスやランサムウェアを排除するための最善の解決策ではない。悪意のあるソフトウェアは、システムのさまざまなコンポーネントの中に潜んでいる可能性があるため、システムの復元で全ての悪質なインスタンスを根絶することは不可能だ。

　もう一つの重大な懸念は、ランサムウェアがローカルのバックアップに感染し、暗号化する機能を持っていることだ。PCがランサムウェアに感染すると、システムに接続された他のものと同様に、ローカルバックアップもデータの暗号化を被る可能性が高い。

　ローカルのPCから分離された優れたバックアップソリューションがあれば、システムを再稼働させるために必要なファイルを簡単に入手できる。また、特定の日付からどのファイルをリストアするか、システムをリストアするために必要なファイルをどのように取得するかを柔軟に決定できる。

　次回は攻撃者が具体的にどのような方法で従業員やハードウェアを狙ってランサムウェア攻撃を仕掛けてくるのか、それに対してどのような方法で防御を固めればよいのかを紹介する。