世間を大きく騒がしています。
「ランサムウェア被害」最近ではKADOKAWA(ニコニコ動画)へのサイバー攻撃が話題となり
大きなニュースとなりました。
前回は身近でも起こりえた事例からランサム被害のリアルを書きました。
今回は後段としてこの事象を対岸の火事とは思わず
自社でもあり得る事実と捉えて「事例から何を学ぶか」について整理して見ます。
発生状況
ランサムウェア「8base」側の犯行として、波状攻撃(総攻撃)をかけてバックドアの緩い所を
探して侵入したのか?特定を狙いピンポイントで侵入を試みたのかは不明
いずれにしても、VPN接続しているWindowsサーバ(AD管理)に侵入したのは確か。
デフォルトユーザーやテストユーザーID(パスワード管理の弱い)所から侵入した可能性は高そうです。
侵入されてしまうと、もう完全にアウトです。マルウエアと呼ばれるウイルスソフトを埋め込まれ
「ファイルの暗号化とファイル抜き出し」のダブルパンチで攻撃されるのが特徴の様です。
(これが結構悪質です)
マルウェア(Malicious Software)とは、悪意のあるソフトウェアの総称で、コンピューターやネットワーク
などに害を与えることを目的としています。
ファイルの暗号化とファイル抜き出し
- ファイルの暗号化を行い身代金要求してくる(戻すための金銭要求)
- ファイル抜き出しで個人情報などを盗み出し公開するぞと脅迫
この辺のダブルパンチで企業や担当者を追い詰める悪どい手口です。
対策はあるのか?
悲しいかな「狙われたら難しいです」
専門家がいる大手でも侵入され問題になっております。
しかし小規模や中小企業などであればリスクを低減する方法はありそうです。
- システム系のサーバーは社内には極力置かずクラウドを活用
- ファイル共有などのストレージ系はNAS系使用して閉じた中に置く
これらもリスクを挙げればキリがないですが
中途半端な知識(なんちゃって社内ひとり情シス担当)レベルではオンプレ管理(社内設置)は
しない方向性を取るべきかと思います。
少なくともクラウドを活用する事で、専門家による監視レベルは強化されます。
ファイル共有のNAS管理も社内PCに侵入されPCからNASサーバーに侵入されればアウトですが
外部の攻撃からは防げます。
これらは費用も掛かるので経済状況にもよりますが、出来る限り孤立した状況での
オンプレ管理(社内設置)は避けたい所です。
個人的にはAD(アクティブディレクトリ)も嫌いですが、この判断は任せます。
先ずは目先のリスク低減は計画的に進めたいですよね。
起きてしまった時の対応(事前準備も含める)
不幸にもランサムウェアに狙われ侵入してしまった場合
警察とも連携を取り、対応策を協議する必要がありそうです。
その際に関係連絡機関ともやりとりが必要になりそうです。(これは警察側が教えてくれます…多分)
何度か犯行Grから脅迫の電話があったそうです(もちろん外国語で)
焦って、犯行側の指示に従わない事です。解決出来る保証はありません
これも警察署(警視庁サイバーチーム)の指示に従いましょう。
危険を煽る様で恐縮ですが、漏洩データ(暗号化データ含む)の影響範囲の特定も必要になります。
その内容如何によってはHPなどで利害関係者などには報告する必要も出てくるかです。
(これが一番恐ろしいですよね)
大事な事…データが暗号化されて戻らない可能性があった場合にも
バックアップがあればある時点まではサーバーを再インストールして戻す事でファイルは復旧出来る
可能性はあります。(やはり物理的バックアップは必要です)
悲しくも起きてしまった場合には、落ち着いて一連の処理を淡々とすることが重要です。
起きた時も想定して管理体制は作っておく事も重要です(今回はその啓蒙です)
対応策まとめ
内容的に危険を煽ってしまう内容になってしまいましたが
実際に経験した会社や担当者は本当にショックで生きた心地はしなかった様です。
そうならない様に、どうするか?完全では無くても出来るだけ意識はしておく必要はありそうです。
社内に専門家がいない場合は多少費用を掛けてでもクラウドサービスに移行する。
やはり社内サーバー(ネットにつながっている場合はリスクが大きい事を認識)
最終的にはですが、個別企業でできる事は限られています。
お金かけて、人をかけても限定的で気休めにしかなりません。
やはり、ここは国の威信をかけてもサイバーセキュリティチーム(日本防衛軍)に監視してもらい
守ってもらうしか無さそうです。
デジタル庁を中心に警視庁と連携を取りながら期待したい所です。
よろしくお願いします。