ランサムウェア攻撃とデータ復旧:完全ガイド
ランサムウェア攻撃は、データ損失や業務停止を引き起こすため、あらゆる業界の企業にとって危険な脅威となっています。 2023年の身代金の平均額は154万ドルに達した ソフォスによると。残念ながら、ランサムウェア攻撃の激しさは年々増している。 誰もがその危険にさらされています。ランサムウェアはコンピュータにインストールされると、強力な暗号化アルゴリズムを使用してデータを削除または破損させます。
ランサムウェアの背後にいる悪意のある攻撃者は通常、データを解放し、再び利用可能にするために金銭(身代金)を要求します。しかし、こうした支払いは犯罪者に利益をもたらすだけでなく、使用可能なデータへの完全なアクセスが保証されるわけでもありません。このブログ記事では、攻撃者との取引を避けつつ、ランサムウェア攻撃から効果的に復旧する方法について解説します。
ランサムウェア攻撃を受けた後の対応
数多くの予防策が存在するにもかかわらず、組織がランサムウェア攻撃の被害に遭う可能性は依然として残っています。万が一攻撃を受けた場合でも、以下の対策を実施することで、その影響を最小限に抑えることができます。もし端末がランサムウェアに感染した場合は、ファイルを復旧させる前に、以下の推奨事項に従ってください。
-
感染したデバイスの接続を解除してください. マシンがマルウェアに感染していることを検知したら、直ちにそのデバイスをネットワークおよび外部ストレージデバイスから切り離す必要があります。これにより、インフラ内の他のマシンやシステムへの感染を防ぐことができます。この手順を踏むことで、影響を受けていないデータを保存し、ランサムウェアからのファイル復旧に必要な作業量を軽減することができます。
その後、ランサムウェア攻撃の影響を実際に受けたマシンの数を特定し、インフラストラクチャ内で不審な活動がないか確認してください。
-
ランサムウェアの種類を特定する. 最初に問題を発見した担当者と話し合ってください。発生前に何をしていたか、不審な添付ファイル付きのメールを受け取っていないか、また最近どのようなファイルをダウンロードしたかを確認してください。ランサムウェアの種類を特定することは、データ保護システムの脆弱性を洗い出し、それに応じてシステムを改善するための貴重な情報となります。
さらに、ランサムウェアの種類を特定できれば、ファイルがどのような影響を受けているか(つまり、暗号化されているのか、それともロックされているのか)を正確に把握できます。そうすれば、身代金を支払わなかった場合に生じうる影響を理解し、ランサムウェア攻撃から確実に復旧するためにどのような対策を講じるべきかを判断できるようになります。
- 問題を報告する. 従業員研修を行う際は、各自の端末で不審な動きがあった場合は、ITサポートチームに報告することが重要であることをスタッフに説明してください。そうすることで、深刻な被害が生じる前に、IT担当者がランサムウェア攻撃に迅速に対応できるようになります。 その後、ランサムウェア攻撃を当局(例えば、米国であればFBI)に報告し、事件に関する必要な情報をすべて提供してください。当局への報告は、同じランサムウェア攻撃者による将来の攻撃を防ぐのに役立ちます。
- 身代金を支払わないでください. 法執行機関は、攻撃者の要求に応じることを推奨していません。なぜなら、それが将来さらなるランサムウェア攻撃を助長することになるからです。手っ取り早く金銭を得ようとするハッカーは、あなたを今後の攻撃の格好の標的と見なすでしょう。さらに、ほとんどの場合、身代金を支払ったとしても、攻撃者が約束通りデータのロックを解除したり復号したりする保証はありません。相手は利益しか目当てにしない犯罪者であることを忘れないでください。
- ランサムウェア攻撃の影響を特定する. 攻撃によってどの程度のデータが破損したか、何台のマシンが感染したか、そして復旧にどれくらいの時間がかかるかを把握する必要があります。さらに、利用できなくなったデータの重要度を評価し、身代金を支払わずに復旧できるかどうかを判断してください。
- ランサムウェアからシステムを復旧するコンピュータからランサムウェアを削除した後、ランサムウェア攻撃からの復旧作業を開始できます。
ランサムウェアによって暗号化されたファイルの復元方法
ランサムウェア攻撃を受けた後のデータ復旧には、いくつかの方法があります。これらの方法の有効性は、状況によって異なります。
オペレーティングシステムの組み込みツールを使用する
Windows 10 をお使いの場合は、Windows の"システムの復元"機能を使用して、自動的に作成された復元ポイントからシステム設定やプログラムの設定を復元することができます。ただし、この方法ではすべてのデータを復元できるわけではありません。最新のランサムウェアは、"システムの復元"機能を無効にしたり、Windows の復元ポイントを削除・破損させたりすることがあります。その場合、この方法は効果がありません。
ランサムウェア復号ツールを使用してください
ランサムウェアの種類とバージョンを特定できた場合は、セキュリティ研究者が提供している復号ツールを探してみてください。ただし、すべてのランサムウェアのバージョンに対応した復号ツールがあるわけではありません。また、最近では復号ツールが見つかるケースもますます少なくなってきています。
削除されたファイルを復元するためのソフトウェアを使用する
ランサムウェアがディスク上のファイルを上書きせず、ディスク表面をゼロやランダムなデータで埋め尽くしていない場合、重要なデータを一部復元できる可能性があります。ディスク表面のスキャンには長い時間がかかります。復元後のファイル名は失われる可能性があり、その名前は次のようなものになる場合があります RECOVER0001.JPG, RECOVER0002.JPGなど
バックアップからデータを復元する
この方法の要点は、ランサムウェアに感染するのを待たずに、事前に準備をしておく必要があるということです。ランサムウェア攻撃の前にバックアップを作成していなければ、この方法は適用できません。事前に準備を整え、定期的にデータをバックアップしておく必要があります。バックアップのベストプラクティスでは、以下の手順に従うことが推奨されています。 3-2-1バックアップルール また、ランサムウェア攻撃からの復旧に備えて、バックアップをオフサイトおよび/またはオフラインで保管することもできます。クラウドを利用することも可能です。 テープ および/または 変更不可能なバックアップ この目的のためのストレージ。
バックアップを作成する最善の方法は、さまざまな種類のワークロードやインフラストラクチャに対応し、"3-2-1"のバックアップルールを実践できる、専用のデータ保護ソリューションを利用することです。
そのようなソリューションの一つが NAKIVO Backup & Replication. NAKIVOのソリューション バックアップのパフォーマンス向上、データの復旧可能性の確保、およびランサムウェア被害からの復旧体制の強化を実現します。本ソリューションは、物理サーバー、仮想マシン(VMware vSphere、Microsoft Hyper-V、Nutanix AHV)、Amazon EC2インスタンス、およびMicrosoft 365のデータ保護に対応しています。本ソリューションを利用することで、以下のことが可能になります:
- 画像ベースで、アプリケーションを意識した増分バックアップおよびレプリケーションを実行します。
- ソースとなるホストや仮想マシン(VM)に干渉することなく、簡単にバックアップを作成できます。
- バックアップは、リモートサイト、パブリッククラウド、またはテープに保存します。
- LinuxベースのローカルリポジトリまたはAmazon S3クラウドで不変性を有効にします。
- VMの即時起動など、さまざまな柔軟な復旧オプションからお選びいただけます。 粒子単位の復元 および物理マシンをVMware vSphere VMとしてP2V復元する。
- さまざまなアクションや条件を自動処理のシーケンスとして組み合わせて、災害復旧ワークフローを作成します。
ランサムウェアからの復旧にはどれくらい時間がかかりますか?
ランサムウェアによる暗号化攻撃からの復旧にかかる時間は、感染したコンピュータ上の破損データの量や、復旧に用いる手法によって異なります。ランサムウェア攻撃からの復旧に必要な時間を推定する際、ここではデータの復旧に加え、すべてのシステムをオンライン状態に戻し、業務を再開できる状態にするまでの時間を指します。
データの復旧と業務の再開には、数日から数ヶ月かかる場合があります。ここでは、復旧期間に影響を与える主な要因を見ていきましょう。
- システム管理者の経験。熟練したシステム管理者は通常、さまざまなシナリオに対応した複数の災害復旧計画を策定しており、それぞれの状況で何をすべきかを熟知しています。ランサムウェア攻撃に備えるため、ランサムウェア復旧計画を策定しておくべきです。
- 復号ツール(特定のランサムウェアのバージョンに対応したものがあれば)を使用した復旧には、時間がかかる場合があります。暗号化後にファイル名も変更されている場合(例えば
sLc6-fAl26m.nSeB2~の代わりにimage001.jpg)、復元後にそれらを正しいディレクトリに配置するには、さらに時間がかかってしまいます。特に、これらのファイルがアプリケーションの動作に不可欠である場合は、正しいファイルおよびディレクトリ構造を厳守する必要があります。
- データのバックアップがあれば、ファイルやサーバーのランサムウェア被害からの復旧にかかる時間を短縮できます。ランサムウェア攻撃後にバックアップからファイルを復元するメリットは、ファイル名やフォルダ名、正しいパスを含む構造化されたデータを復元できる点にあります。適切な日時に対応するバックアップを選択し、データを復元する保存先を指定する必要があります。あとは、データのコピーと復元が完了するまで待つだけです。
さらに、次のようなバックアップソリューションは NAKIVO Backup & Replication イメージベースの技術を活用して、仮想マシンおよび物理マシンのバックアップを取得します。つまり、このバックアップではオペレーティングシステムに加え、アプリケーションの設定ファイルやシステムの状態など、OSに関連するその他のファイルも取得されるため、システムの復旧にかかる時間を短縮できます。
- ランサムウェア復旧計画のテストが不十分だと、データの復旧に予想以上に時間がかかる可能性があります。そのため、常に 復旧計画を確認する 必要なものをすべて、適切な期間内に確実に復旧できるよう。
ランサムウェア対策を含む災害復旧戦略を策定する際には、以下の点を考慮に入れる必要があります RTOおよびRPO 指標。
結論
ランサムウェアからの復旧は、データの復元やワークロードの復旧を含む複雑なプロセスです。復旧にかかるコストと時間は、バックアップ戦略やランサムウェア攻撃からの復旧に向けた事前の準備の程度によって異なります。
ランサムウェア攻撃による問題を軽減するための主な方法は、予防策を講じ、定期的にデータをバックアップすることです。"3-2-1"のバックアップルールに従い、不変のバックアップストレージと、タスクを自動化できる信頼性の高いデータ保護ソリューションを活用してください。
