IPA(独立行政法人情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」の2021版で初めて1位になったのがランサムウェアによる被害です。この10大脅威は前年の動向を元に順位が付けられるため、2020年にランサムウェアが猛威を振るったという事になります。その後も被害報告は続いているわけですが...
参考:「情報セキュリティ10大脅威2021」(IPA)
ランサムウェアに感染するとどうなるのか最近の動向を見てみると...
- 感染したパソコンを足がかりにネットワーク上のサーバーを探索
- 見つけたサーバー上のファイルを暗号化および窃取
- 何らかの形で脅迫文を送付
という流れになるようです。
以前は感染したパソコン上のファイルだけ暗号化という限定的な被害だったのですが、ここ2〜3年の傾向では暗号化のターゲットはサーバーに移っており、広い範囲に影響を及ぼし身代金を入手し易くするという流れになってきています。同時に情報の窃取を行う事で身代金が支払われなかった場合の保険(窃取した情報をダークウェブで販売しマネタイズ)をかけているケースも見受けられます。
さて、昨年10月頃ですが徳島県のある公立病院がランサムウェアの被害に遭い、事実上の業務停止状態に追い込まれるという事件がありました。この病院ではなんとかデータの復旧にこぎつけたものの、復旧には2ヶ月もの時間を要したそうです。
参考:「サイバー攻撃と戦った公立病院の2か月間『電子カルテが暗号化』過去の検査結果も病歴もわからず...手書き対応にも苦労」(MBS)
さて、このニュースを見た皆さんは疑問を持たれるかと思います。「バックアップを取ってなかったのか?」と。
実はバックアップの取り方にもよりますが、バックアップ自体も暗号化されてしまっている可能性があります。そうなるとお手上げですし、そもそもサーバー上の全ファイル(OS含む)が暗号化されてしまった場合(この可能性が高い)には、単純にバックアップから戻すという作業ができずサーバーの初期化からやり直しという事態も想定されます。まあ、それでもバックアップが生きていれば二ヶ月はかからないと思いますが...
では、どうしたら良いのでしょうか?
まず、バックアップも暗号化されないようにする事が重要になります。その為には、バックアップのローテーションを考え、全バックアップを取るタイミングでディスク装置(バックアップをディスクに取る場合)を入れ替える、もしくは、テープ(バックアップをテープで取る場合)を全て入れ替えるという一手間を入れる事で全喪失を防ぐ事ができます。
例えば、週次バックアップとして土曜日に全バックアップを取り、日次バックアップは差分を取るようにする場合には、金曜日の業務中にディスク装置もしくはテープの交換作業を行うようにするという事になります。そうする事で、最悪の場合でも1週間前の状態に戻す事が可能になります。当然、外してある方にはランサムウェアの被害は及びませんのでディスクが傷んでいるとかテープが痛んでいるとかがなければ生きたバックアップという事になります。
この場合は、バックアップからの復元後の追加作業も限られますので、即日とはいかないまでも1週間とか2週間で完全に復元する事は可能でしょう。
あとは、BCP(事業継続計画)を立てて定期的に訓練する事も大切です。ランサムウェアの被害に遭った場合にはどういう手順で連絡するのか。復元期間中の対応はどうするのか。その為には日々何をしておく事が大切なのか。そういうものが無いといざという時に全く動けなくなってしまいますし、最悪の場合は復元までの期間中は事業を停止せざるを得ない可能性もあります。
ランサムウェアに感染しない事はもちろん重要ですが、攻撃者側もあの手この手で感染確率を上げる策を講じてきます。一番大切なのは万一の時に事業の停止期間を可能な限り短くする事です。その為に、BCPの策定と意味のあるバックアップ体制を作っておく事が重要です。