脅しに屈して身代金を払って解決――ランサムウェアの脅威
上述のHollywood Presbyterian医療センターの例では、攻撃者側からビットコイン9,000枚か360万ドル(約4億円)を要求する脅迫があったと報道された。このランサムウェアによる攻撃により、病院のITシステムは利用できなくなり、治療の必要な患者を別の病院に移送する事態となった。この問題を解決するために、病院側が攻撃者に身代金を払うのかに注目が集まった。
この事件の簡単な経緯としては、2月5日に病院のネットワークに不正アクセスがあったことに気づく。その後マルウェアの感染が確認され、ファイルが暗号化されコンピュータが使用不能となった。感染被害は1台のPCだけでなく、病院内のネットワークに接続されている多くのコンピュータに拡大し、結果的に電子カルテのシステムなど医療行為に必要なITシステムが使えなくなってしまったのだ。
これに対して、病院側は外部のセキュリティ専門家などの手も借り、ITシステムの復旧が試みられた。しかし、暗号を復号化する鍵がないとどうにもならない状況だったようだ。結局、この病院ではこの状況を迅速に解決するには「お金を支払い、復号鍵を手に入れる」という判断をとった。そして、復号鍵を手に入れ、それを使って2月15日に病院内のシステムは復旧する。この事件により、今日ではコンピュータが使えなければ、病院のような医療施設もまともに機能しなくなることが明らかになった。
病院側が明らかにしたところによると、報道にあった4億円あまりの金額要求はどうやら間違っていたようだ。実際に支払ったのは40ビットコイン(約1万7,000ドル)。この程度の金額を支払って即座に解決できたのならば、身代金を払うとの判断は間違っていなかったかもしれない。
しかし、今回は「たまたま本物の復号鍵を手に入れることができた」が、身代金を支払ったからといって本物の鍵が手に入るとは限らない。また、マルウェアに感染したコンピュータが復号鍵で完全に元に戻るとも言い切れないだろう。場合によってはバックドアが残され、ほとぼりが冷めたころに再びファイルが暗号化されるかもしれない。
また、「この病院ならば脅せばお金を払う」と思われてしまえば、他の攻撃者からも格好のターゲットとされる可能性もある。解決のためにお金を払ったことが本当に良かったかどうか、それはこの後にどれだけ万全な対策を施すかにもかかっている。では、企業はこうした攻撃に対して、どのように向き合う必要があるのか。
最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)
本ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」、「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。
ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。
ランサムウェア対策は企業のBCPそのもの
「今回は病院の経営判断としてお金を払っていますが、個人のPCがランサムウェアに感染した場合などには、ちょっとお金を払えば解決すると思いお金を払ってしまう人もいるでしょう。自分のPCだけなら会社に報告などせずに払って済ませようと考える人もいるかもしれません」と、アクロニス・ジャパン セールスエンジニア マネージャの佐藤匡史氏は述べる。
海外の事例では「法律に違反している証拠のファイルがあるので、それを暗号化してファイルを差し押さえました」といったメッセージを出すランサムウェアもある。公的機関を巧妙に装って罰金を払えと命令されると、個人にやましいことが少しでもあれば払ってしまうかもしれない。
攻撃者にとっては、システムに侵入しそこから重要な情報を盗み出して誰かに売るには、手間もかかるしリスクもある。一方でコンピュータという人質をとり、身代金を要求する方法は、リスクも少なく簡単にお金を稼げる方法ともいえる。攻撃者に旨味があるので、ランサムウェアが急激に拡大しているというわけだ。
このランサムウェアの対策は、具体的にどのようにすればよいのだろうか。ランサムウェアとはいえ、基本的には従来のマルウェアと侵入方法は同じだ。そのため、アンチウイルスやセキュアゲートウェイなど基本的なマルウェア対策を強化するのが1つだろう。
しかし、次々と生まれる新しいマルウェアの攻撃を完璧に防げるセキュリティ対策などはもはや存在ない。境界の防御に加え、万が一侵入されてもシステムに大きな被害が出ないような対策が必要となる。
それには「システムのバックアップがあるかないかが鍵になります」と佐藤氏。そもそもシステムのバックアップを企業がきちんと取得していれば、ランサムウェアはここまで拡大することはなかっただろうと述べる。ランサムウェアの被害では、基本的には重要な情報が流出するわけではない。感染したPCやシステムが使えなくなるだけだ。そのため、被害に遭ったPCを迅速に復旧できれば、ランサムウェアの攻撃はそれほど怖くないことになる。
これはPC上で失われたものを復旧させることであり、アンチウイルスというよりは、バックアップ・リカバリーの領域だ。佐藤氏はランサムウェア対策では、単なるバックアップではなくシステムバックアップが極めて有効だと指摘する。
「以前のランサムウェアは、主要なファイルを暗号化するものでした。たとえば暗号化後にファイルの拡張子を".vvv"に変えてしまうものなどが有名です。この被害であれば、暗号化されたファイルをリストアップし、バックアップから対象ファイルを戻すことで対策できました。ところが2015年後半くらいから、ランサムウェアも進化しており暗号化する対象のファイルの種類が大きく広がっています。暗号化後の拡張子もランダムになっており、こうなると戻すべきファイルがなかなか特定できません。対処するには、システムをリセットするしかなくなるのです」(佐藤氏)
どのファイルを戻せばいいかがはっきりしなければ、PCのシステムを丸ごと復旧させるほうが手間はかからない。システムバックアップをきちんと取得しているかどうかが、ランサムウェア対策では重要となるわけだ。実際にシステムバックアップで事なきを得た事例があると、リージョナル プロダクト マネージャの古舘與章氏は述べる。
「アクロニスに相談された海外のランサムウェア被害としては、企業内の23台のPCが感染した事例があります。このユーザーは、Acronis Access Advancedを利用していて、Acronis Cloud(アクロニス クラウド)にバックアップをとっていました。海外ではクラウド上のバックアップデータをハードディスクに入れてユーザーに届けるサービスがあり、これを使って23台のPCの復旧をおよそ28時間で実施しています」(古舘氏)
ファイルを洗い出しバックアップから復旧させる方法でも、PCは使えるように復旧できるかもしれない。OSからリセットするよりは、ファイル単位で復旧するほうが速いだろう。しかし、それでPCが完全に元に戻ったかどうかは誰も保証できない。
「戻ったとIT担当者が言っても、なんらか爆弾は残っているかもしれません」と佐藤氏。そんな不安を取り除くには、システムをリセットして丸ごと復旧させるしかない。
また、最近のランサムウェアは、1台のPCだけの被害では終わらない。ネットワークにつながった他のPCにも感染し、ファイルサーバーで共有しているファイルなども暗号化してしまう。被害が数10台、数100台と拡大すれば、その復旧をOSのインストールから始め環境をセットアップし必要なファイルを戻すといった作業を行っていたのでは、復旧までには徹夜作業が何日も続くことになるだろう。その手間とコストを考えたら、身代金を支払ったほうが安いと判断してしまうかもしれない。
対してシステムバックアップをきちんととっていれば、感染していない状態に戻すのにそれほど手間と時間はかからないだろう。これは、ランサムウェアの被害だけを想定する話ではなく、日常的な災害対策(DR)や事業継続計画(BCP)といったことと同様な問題だ。「ランサムウェア対策は、企業のBCPそのものでもあります」と佐藤氏。
最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)
本ホワイトペーパー 『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。
ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。
ネットワークセキュリティとシステムバックアップの“合わせ技”が有効
システムバックアップから復旧させる場合にも、アクロニスのようなシステムバックアップの仕組みだけでなく、不正侵入を検知するようなネットワークセキュリティの仕組みの“合わせ技”が重要だと古舘氏は指摘する。いつどのように侵入されたかの細かいレベルのログがないと、どのPCをどの時点まで戻せばいいかの判断ができないからだ。こうした背景から、アクロニスでは現在、セキュリティベンダーとの協業も積極的に進めている。
「セキュリティベンダーも、今や100%不正侵入を防ぐことは不可能です。アクロニスのようなシステムバックアップのソリューションを持つベンダーと手を結ぶことで、万が一、侵入された場合でもシステムを守ることができることになります。そのため、両者が組む意味はかなり大きいと判断してくれています」(佐藤氏)
佐藤氏は、ウィルス対策とシステムのスナップショットが取得できるシステムバックアップのソリューションは、以前から協業関係はあったと説明する。マルウェアに感染した状態をスナップショットにとり、それを使ってテストや解析を行う使い方を、セキュリティベンダーはこれまでも行ってきた。あるいは、システム監査を行うような際にも、ある時点のPC状態を証明するためにシステムスナップショットは利用されている。システムバックアップは、このように多様な使い方ができるものでもある。
「今回のようなランサムウェアの事件は、日本のセキュリティに対する意識を底上げするチャンスかもしれません。一般的なセキュリティ対策とともにシステムバックアップをそれにどう組み合わせるのか。日本のセキュリティやDRの考え方を、前に進めるきっかけにすべきでしょう。そのために我々も、積極的に情報発信していきたいと考えています」(佐藤氏)
東日本大震災から5年近くの時間が経過し、バックアップの重要性、さらにはDRやBCPに対する意識が少し薄れてきたところもあると古舘氏は言う。ランサムウェアの拡大は、もう一度それらに目を向けるきっかけにもなるのかもしれない。
「アクロニスのCEOのセルゲイも、バックアップが最大のセキュリティ対策になると言っています。データの価値は今、どんどん高まっています。どのデータが重要かの重み付けをいちいちするのではなく、すべてを守っていく。ストレージの価格も下がりクラウドストレージも登場して、それが今は可能となっています」(古舘氏)
アンチウイルスなどのセキュリティ・ソフトウェアを導入するのは今や当たり前だ。それと同じように、システムバックアップも当たり前にする。そうすることで、ランサムウェアの負の連鎖を断ち切ることができるはずだ。そのためには、システムバックアップをきちんと取得し、それを確実に戻せるよう日頃から訓練する必要もある。先の28時間で戻せた例も、日頃からDRのためにシステム復旧訓練をしていたからこその結果だと古舘氏は述べる。
ランサムウェアの脅威を少しでも感じているならば、マルウェア対策の見直しはもちろん、自社のシステムバックアップ・リカバリーの体制がどうなっているか、今一度確認することをお勧めする。
最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)
本ホワイトペーパー 『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。
ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。
