Skip to content

ランサムウェア攻撃の現実、封じ込めの難しさと復旧までの長い道のり

災害やインシデントが発生した場合、適切な対応を行うことがとても重要であることは言うまでもありませんが、サイバー攻撃についても例外ではありません。
特に、サイバー攻撃においてはインシデントの対応如何によって被害範囲や復旧期間が異なってくる場合があります。そのため、専門チーム(いわゆるCSIRT)を組織し対応手順を整備したり訓練を行ったりしている企業・組織は少なくありません。ランサムウェア攻撃、特に近年主流となっている攻撃者がターゲット組織のネットワークへ侵入しランサムウェアを仕掛ける侵入型ランサムウェア攻撃においては、被害規模や影響が大きいこともあり、想定外の状況に混乱してしまうこともあるようです。ということで、今回は侵入型ランサムウェア攻撃(以降単に「ランサムウェア攻撃」)を受けると、どんな状況となり、どんな対応が必要となるかについて述べていきます。




目次

異常の検知から初動、封じ込め

ランサムウェア攻撃が疑われる事象を認識したら、迅速に被害の拡大を防ぐ所謂「封じ込め」を行う必要があります。それは、事象を検知した時点で攻撃者が攻撃を継続中である可能性があるからです。また、攻撃者は接続している他のネットワークへも攻撃を拡大しようとします。そのため、封じ込めが遅れるとネットワーク接続先へ被害が飛び火していきかねません。

image1-Sep-18-2024-04-24-07-1729-AM


最初に異常を検知するのは当該システムの保守の担当者ですが、サイバー攻撃に関する知見はありません。通常のシステム障害と同様に対応しようとすると、どんどん時間が経過していきます。ですので、この保守担当部署からサイバー攻撃が疑われる場合は、CSIRTに迅速に連絡が入ることが重要になります。しかも、ランサムウェア攻撃は深夜や未明の時間帯に異常が発生することが多く、このような時間であっても迅速に連絡を取り合いサイバーインシデントとして対応を開始する必要があります。実際、ある事例では、サーバの異常を認識してから数時間で取引先や外部とのネットワークを遮断しているのですが、この対応が遅ければ他社にも被害が拡大していたかも知れません。

 

侵入経路が分かっていない中で「封じ込め」が必要

ランサムウェア攻撃として認識し、最初に実施する対処は「封じ込め」ですが、『封じ込めなんて簡単だよ、侵入経路を封鎖すればいいんだよね』なんて思っていませんか? それは認識が甘いです。侵入経路が判明するのはもっと後になりますので、侵入経路がわかっていない状況で封じ込めを行う必要があります。そのため、インターネットとの接続や他のネットワークとの接続を、一旦、全て止めることが必要です。
企業・組織のネットワークは、下図のように、複数のポイントでインターネットと接続し、複数の他のネットワークと接続していることが少なくありません。そのようなネットワークの場合、どこが侵入経路かも簡単にわかりませんので、侵入経路の調査には時間がかかります。そのため、相応の期間、外部との接続を全て止める状況となるのです。

image2-Sep-18-2024-04-26-11-7294-AM


皆さんの会社や組織でこのような状況となった場合、漏れなく外部接続ポイントを閉鎖できるでしょうか。実際、保守担当者が独自に自分のPCへのリモートデスクトップ接続を可能としており、そこが侵入経路だったため、一旦、封じ込めを行ったにもかかわらず被害が拡大したという話を聞いたことがあります。
いずれにせよ、侵入経路が分かっていない中で封じ込めが必要であり、一定期間、外部(インターネットや他組織)との接続を全て止める必要があります。そして、そのためには、ネットワーク構成や外部接続ポイント等の把握ができていることや、勝手に外部接続ポイントを作らせないなどの、いわば「ネットワークガバナンス」がランサムウェア攻撃の備えとして重要になるのです。

 

「封じ込め」によって全てのシステムが、一旦、停止せざるを得ない状況に

外部接続ポイントの閉鎖を行ったとしても、それで封じ込めが十分でないかも知れません。それは以下の可能性があるからです。

1.外部接続ポイントの把握に漏れがある可能性
2.侵害されたコンピュータからの攻撃の拡散の可能性

実は、後者については、最近の事例ではほとんど観測されていません。しかしながら、詳細な状況がほとんど分かっていないこの時点では否定することが難しいのが現実です。そのため以下の対応を検討する必要があります。

1.一見無事なサーバや端末についても、ネットワークから切り離す
2.内部ネットワークを全面的に停止

これで、攻撃を受けたネットワークとその中のシステムは完全に停止することになります。当然、この後、調査が進んでいけば順次、再稼働していくことになりますが、まずは、一旦、全て停止するという状況にならざるを得ないことを認識しておく必要があります。

 

OA系システムも停止し社内は大混乱に

攻撃を受けたネットワークにOA系のシステムや端末が接続されていると、OA端末やメールやファイルサーバが使えなくなり、社内のコミュニケーションですらおぼつかない状況となります。その為、OA系システム停止時の代替策を整備しておくことが望ましいです。最近ではメールやファイルサーバ、掲示板等にSaaSを利用しているケースが増えていますので、上手く活用するといいのではないでしょうか。
実際、ある事例では、社員食堂をシステム化していたため、ネットワークの遮断と全サーバの停止によって社員食堂が使えなくなったそうです。その事例では、メニューをカレーのみとしてサービスを継続されたとのことですが、ランサムウェア攻撃の影響の大きさを実感したエピソードとして印象に残っています。

 

難航する影響確認と長い復旧の道のり

ランサムウェア攻撃は攻撃者が手動でサーバや端末へ攻撃を行うため、攻撃者の攻撃パターンは多様であり、影響有無を特定することは容易ではありません。分かりやすく言うと、暗号化被害を受けていないサーバや端末にも攻撃者が侵害し何かしらの細工を施しているケースがあると言うことです。アンチウィルスソフトでスキャンすれば影響有無が判明するような単純なものではないのです。そのため、どのような調査を行えばいいのかという問題に突き当たります。
実際、ある事例では、バックアップがあったにもかかわらずシステムの再稼働に1ヶ月半を要しています。それは、侵害有無の調査方法を導き出せなかったため、サーバや端末をクリーンインストールから再構築する方針とせざるを得ず、再構築したシステムにバックアップからデータをリストアしたからです。当然ですが、侵入経路と侵入された原因の調査とそれを踏まえた対策が実施され、ネットワークを安全に再稼働させる必要があります。バックアップがあれば、すぐ再稼働できるという単純なものではないのです。

 

まとめ

ランサムウェア攻撃は、封じ込めから復旧まで多くの困難が伴います。特に、侵入経路の特定や被害範囲の把握に時間がかかるため、迅速かつ適切な対応が求められます。企業・組織は、CSIRTの設置や訓練を通じてインシデント対応力を強化し、ネットワークガバナンスの徹底やOA系システムの代替策、バックアップの整備などの対策を講じることが重要です。これによって、被害を最小限に抑え、早期復旧が可能となるでしょう。

 


サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。