ランサムウェアからの復旧:完全ガイド

ランサムウェアの攻撃が発生した際の対応会議に参加して私が学んだこと、そして、実際に復旧が必要になる前に、ほとんどのチームが犯しがちな間違いについてです。
Senior Product Marketing Manager
Image
Learn how to recover from ransomware without paying attackers. Discover the backup strategies, recovery stages, and incident response practices that reduce downtime and protect critical data.

日曜日の朝の電話

2021年初頭のある日曜日、米国南東部にあるプロフェッショナルサービス企業のCOOがHYCUのサポートに連絡しました。その2時間前、RYUKランサムウェアが同社の環境全体で活動を開始していたのです。 すべてのワークステーション。すべてのサーバー。ネットワークドライブ上のバックアップファイル。さらには、100マイル離れたDRサイトにあるレプリカも被害を受けました。これは、マルウェアがソース側でファイルを暗号化している間も、本番環境からのレプリケーションが正常に行われていたためです。 

50台のサーバー、1,000万個のファイル、そしてHIPAA規制対象の医療データ30テラバイトが利用不能になりました。攻撃者は92ビットコイン、当時で約100万ドルを要求してきました。 COOには水曜日までの猶予がありました。

彼らを救ったのは、ランサムウェアの被害を受けなかったHYCU仮想アプライアンス上の1つのキャッシュファイルでした。私たちのチームは日曜日の夜まで対応に追われました。月曜日の朝までに、すべてのVMが復旧しました。COOは後日、私たちにこう語ってくれました。「すべてのシステムとデータを取り戻せたのは、まさに奇跡でした。」 

私はあの電話のことをよく思い返します。なぜなら、復旧にとって重要な要素のほとんどすべてが、攻撃が発生する数週間前に決まっていたからです。これは、多くのチームが軽視しがちな部分です。

私が人々に身代金を支払わないよう勧める理由

身代金を支払うことは、通常業務に戻るための最速の道のように見えます。 私の経験上、それが最速の道となることはめったになく、データもそれを裏付けています。

最初の身代金要求を支払った企業のうち、60%がデータへの初期アクセスを回復しています。32%は復旧する前に追加の身代金を支払うことを求められます。8%は全く復旧できません。 復号鍵が届いたとしても、システムの復旧には通常、数週間を要します。

さらに、4つのコスト要因により、支払いは見た目以上に不利な結果をもたらします。多くのサイバー保険契約では、身代金の支払いが行われた場合、補償の対象外となります。また、米国の保険料は平均で約35%上昇しているため、支払いをすると、まさに必要な時に補償が無効になってしまう可能性があります。 米国財務省は、制裁対象団体への支払いが、意図の如何にかかわらず、OFAC(米国財務省外国資産管理室)による制裁措置を招く可能性があると警告しています。身代金を支払った組織は、犯罪エコシステム内で目印をつけられ、多くの場合同じグループから再び標的にされます。そして、支払いのたびに次の攻撃キャンペーンが助長されてしまいます。

世界中でランサムウェア攻撃を受けた組織の84.5%は、支払いをせずに復旧しています。 その道は存在します。ただ、攻撃を受ける前にその体制を整えておく必要があります。

ランサムウェアからバックアップを守るために必要な3つの要素

当社のエンジニアリングチームは、実際に効果があったと確認された手法を3つの原則として体系化しました。これらいずれかの要件を満たさないバックアップは、他のすべてのデータと同様に暗号化されてしまう可能性があります。 

不変ストレージ

バックアップは、保存期間が満了するまでデータが変更または削除できないストレージに保存されなければなりません。管理者であっても例外ではありません。つまり、Object Lockが有効化されたS3互換のオブジェクトストレージ上のWORMが適しています。 WORMストレージは、保存期間が満了する前に削除要求に応じることは、数学的に不可能です。管理者の認証情報を盗んだランサムウェアであっても、不変のバックアップには手を触れることができません。

隔離されたバックアップ

バックアップ環境は、本番環境からエアギャップで隔離されている必要があります。 ネットワークのセグメンテーションによって分離され、認証情報の共有、サービスの共有、信頼関係の共有が一切ない状態である必要があります。本番環境が侵害された場合でも、バックアップにはアクセスできない状態を維持しなければなりません。当社の仮想アプライアンスは、デフォルトでセキュリティ強化済みの状態で出荷され、セキュリティ強化済みのLinuxベースイメージを採用し、rootアクセスは許可されず、SSHは無効化されています。 

アクセス制限

権限を持つスーパー管理者であっても、手動でバックアップを削除できないようにする必要があります。ADおよびLDAPと統合されたロールベースのアクセス制御(RBAC)、マルチテナント機能、そして厳格な職務分離により、バックアップはマルウェアや内部者による脅威の両方から保護されます。 当社は設計上、手動によるバックアップの削除を無効化しています。これは社内で議論を重ねたトレードオフでしたが、柔軟性よりも復旧を優先するという判断を下しました。

HYCUとActualTechによる調査が実際に示していること

当社はActualTech Mediaと共同で、企業のITリーダーを対象に、ランサムウェアへの備えの状況について調査を行いました。 その数字は、多くの取締役会がまだ十分に認識していない実情を物語っています。

65%が、従来のバックアップソリューションに完全な信頼を置いていません。ランサムウェアの被害を受けた企業のうち、52%が測定可能なデータ損失を被り、63%が業務の混乱を経験しました。バックアップをエアギャップで隔離しているのはわずか41%に過ぎません。 定期的にテストを行っているのはわずか47%です。現在のツールが自社の環境に十分であると信じているのは、わずか35%に過ぎません。

一方、企業の取締役会の77%が、現在、ランサムウェア対策の議論に積極的に関与しています。取締役会の関心は確かにあります。 しかし、アーキテクチャ上の対策は、その多くが不十分です。

「ランサムウェア攻撃に伴う数百万ドル規模のコストは言うまでもなく、ブランドイメージや従業員の士気への悪影響も考慮すると、企業は対策を講じておく余裕などありません。」 — サイモン・テイラー、HYCU創業者兼CEO

実際に効果のある5段階のプレイブック

復旧は単一のアクションではありません。一連のプロセスであり、各段階が迅速に進めば進むほど、損失は少なくなります。 

第1段階:検知。進行中の攻撃を特定します。 異常なファイル変更パターン、予期せぬ暗号化イベント、不規則なバックアップ動作を探します。サイバーセキュリティツールがこれらのいくつかを検知します。バックアップの異常検知機能は、残りの部分を、多くの場合より早期に捕捉します。

第2段階:封じ込め。影響を受けたシステムを直ちに隔離します。侵害されたエンドポイントを切断します。 DRサイトへのレプリケーションを停止します。レプリケーションがまだ実行されている場合、正常なバックアップの上に暗号化されたデータが上書きされてしまいます。

第3段階:評価。影響範囲を特定します。どのシステムが暗号化されているか?どのバックアップがまだ正常か?最も新しい正常な復元ポイントは何か?ここで、データ資産の可視化が復旧時間を左右します。 見えないものは復旧できません。

ステージ4:復旧。最新の破損していないバックアップから復元します。アプリケーションごとに、依存関係順に復元します。次のステップに進む前に、各復元を確認してください。

ステージ5:強化。侵入経路を封じます。悪用された箇所にパッチを適用します。 アクセスポリシーを見直します。発生したばかりの事象について、机上演習を実施します。最も有用なインシデント対応計画とは、実際のインシデント発生後に改訂されたものです。

なぜほとんどのインシデント対応計画は失敗するのか

ポネモン研究所の調査によると、77%の企業が正式なインシデント対応計画を持っていません。 計画を有している企業のうち、その計画が「成熟している」と評価しているのはわずか32%です。57%が、サイバーインシデントの解決に要する時間が長くなっているとし、65%が攻撃の深刻度が増していると回答しています。

紙面上では立派に見える計画と、実際に機能する計画とを分ける5つの要素があります。役職名ではなく、実名で役割と意思決定権限を明記すること。 社内、顧客、規制当局への通知用にあらかじめ作成されたテンプレートを備えた連絡体制。ティア1システムを最優先とし、依存関係を明確にした復旧手順。復旧開始前に、選択した復元ポイントが安全であることを確認するための手順。そして、少なくとも四半期に1回の机上演習の実施。 演習を行わない計画は、単なる文書に過ぎず、保護策とは言えません。

復旧に実際に要する時間

復旧時間を決定づける3つの要素:バックアップ体制、影響範囲、そして演習です。 これまでに記録された攻撃事例から、私が確認した内容は以下の通りです。

シナリオ 一般的な復旧時間
不変のバックアップ、 隔離され、テスト済みのIRP 数時間から1日
バックアップは存在するが、エアギャップ化されておらず、IRPなし 1週間から4週間
暗号化されたバックアップ、 テープのみ 4週間から12週間、多くの場合部分的な復旧
クリーンなバックアップなし 多くの場合復旧不能、再構築が必要

コロニアル・パイプライン社は500万ドルの身代金を支払いましたが、それでもオンライン復帰までに数日かかりました。 支払いは復旧を早めるものではありません。重要なのはアーキテクチャです。

自社の準備状況を測定する方法

このために、私たちは「R-Score」を開発しました。これは getrscore.org で利用可能な無料の評価ツールで、クレジットスコアと同様のモデルに基づいて、ランサムウェア復旧の準備状況をスコア化します。 バックアップのアーキテクチャ、復旧プロセス、テストの頻度、組織の準備態勢を評価し、改善に向けた具体的な提言を提供します。

多くの組織は、予想よりも低いスコアとなっています。この「自覚している準備態勢」と「実際の準備態勢」とのギャップこそが、日曜日の朝に発生する攻撃を壊滅的なものにしてしまうのです。 

ランサムウェア復旧に関してよく寄せられる質問

他に選択肢がない場合、身代金を支払うべきでしょうか?

いいえ。データによると、60%はアクセス権を取り戻し、32%は再度支払いをし、8%は回復できないままとなっています。 また、身代金を支払うと、OFAC(米国財務省外国資産管理室)の制裁対象となるリスクがあり、サイバー保険が無効になる可能性があり、再攻撃の標的となり、次の攻撃キャンペーンの資金源となってしまいます。他に選択肢がない場合、その原因はバックアップアーキテクチャの不備にあり、支払っても問題は解決しません。

適切な体制が整っていれば、復旧はどのくらい速く行えますか? 

不変のバックアップ、エアギャップ化された復旧インフラ、そして検証済みのインシデント対応計画があれば、復旧には通常、数時間から1日程度かかります。冒頭でご紹介した日曜日の朝の事例では、1つの暗号化されていないキャッシュファイルから、50台のサーバーにまたがる30TBのデータを一晩で復旧させることができました。 

通常のバックアップと、ランサムウェア対策済みのバックアップの違いは何ですか?

通常のバックアップは、本番環境からアクセス可能な場合、暗号化される可能性があります。ランサムウェア対策済みのバックアップは、不変であり、隔離され、アクセスが制限されています。その違いは、本番データを襲った攻撃を、バックアップが乗り切れるかどうかにあります。 

サイバー保険は身代金の支払いを補償しますか?

場合によっては補償されますが、多くの保険契約では身代金が支払われた場合の補償が除外されており、米国では保険料が急騰しています。一部の保険契約では事前の承認が必要となります。インシデントが発生している最中ではなく、事前に保険契約書を注意深くお読みください。 

まずは評価から始めましょう

この記事を読んだ後、他に何もせずとも、getrscore.orgでR-Score評価を受けてください。 無料で、所要時間は約15分です。これにより、実際にどの部分に脆弱性があるかが分かります。そこから、具体的な対策が講じられます。