IBM Storage

エバンジェリストの眼③:払うべきか払わぬべきか、それが問題だ

記事をシェアする:

今や、ビジネスの生命線ともいえる「データ」を暗号化し、身代金を要求するランサムウェアが世界中で急増している。攻撃者の手口は日々に悪質化、巧妙化しており、日本企業にとっても対岸の火事ではなく、いつ自社に降りかかるか分からない大きな脅威だ。このブログでは、実際に日本の企業が直面したランサムウェア攻撃の脅威とその対応を通して、「今、何をすべきなのか?」を貴社内で検討いただくきっかけとしていただければ幸いである。

佐野 正和

佐野 正和
日本アイ・ビー・エム株式会社  システムズ・ハードウェア・エバンジェリスト
1986年 日本アイ・ビー・エム株式会社 入社、2006年にシステムズ&テクノロジー・エバンジェリストを拝命。現在はストレージ・テクニカル・セールスでストレージ・ソリューション担当部長を拝任。お客様への提案活動やIBMビジネス・パートナー様との協業を行う傍ら、セミナー・講演活動や雑誌、Webへの執筆活動も積極的に行っている。


ズルき者よ、汝の名はランサムウェア

最初は些細な出来事だった。ある日、とある会社の従業員のAさんは突然なんだろうと驚いた。利用してたノート・パソコンのWebブラウザーに変なWeb広告が頻繁に出るようになってしまった。Webブラウザーで消しても消してもまた出てくる。なぜそのようなWeb広告が出てくるようになったのかさっぱりわからない。もちろん会社に指定されたセキュリティー・ソフトはちゃんと入れていたが何も反応していない。変なメールを開いたつもりはないし、検索などでインターネットは使うが危なさそうなサイトに入った記憶もない。自力ではどうしようもなくなり困ったあげく、Aさんはノート・パソコンを持って会社内のオフィス機器サポート係へ相談に出向いた。

相談を受けた担当者は多分変なWebサイトを開いてしまい、ブラウザーにメッセージが出てしまうようにセットされてしまったのだろうと推測した。彼の持つノウハウを駆使しいろいろと調べたが残念ながら広告メッセージが出る原因は判明しなかった。セキュリティー・ソフトのアップデートも担当者自身で行い、最新のものにして更新した形で再度パソコン内をスキャンさせたがメッセージは消えなかった。担当者は困った挙句、インターネットでWebブラウザー上に出ていたメッセージを検索することを思い付いた。何か手がかりになる情報が欲しかったのだ。メッセージ内容をキーワードにして幾つかのサイトを覗いて見ると、英語だったがこの悪さをするウィルスについて解説をしているサイトを見つけることができた。そのサイトは親切にも何故そのような現象に至ったのか、どんな名前のプログラムや設定が仕込まれているのか、そしてどうしたらWebブラウザー上から広告を削除できるのかが解説されていた。そしてウィルスを駆除するプログラムはこれです、というページに辿り着く。その駆除プログラムをダウンロードして実行すると、変な広告メッセージは出てこなくなった。Aさんもサポート担当者も憂鬱な時間を過ごしていたのでホっとした。後になって判明したことだが、なんとこの時ダウンロードした駆除プログラムこそがランサムウェア本体を忍び込ませるものだった。その後、Aさんのパソコンを介してランサムウェアは静かに社内感染をし始めた。そして各種サーバーに広がりデータを暗号化しだした。暗号化された影響で適用業務は次々と止まった。執務中の社員は業務ができなくなり、何が起こったのかが判らず、オフィスは騒然となった。最終的には社内の大多数のサーバーが停止してしまい。業務遂行に大きな支障が出た。

経営者は悩む

多数のサーバーからデータを復号するための身代金支払い要求が表示された。会社の経営陣は大きな決断を迫られた。幸いなことにこの会社ではバックアップをテープでも保管していたため、ユーザー・データはテープからある程度は復旧できることがシステム担当者からの報告で判っていた。しかし当然ながらバックアップをテープへ取った時点以降のデータは復旧できない。また、テープからの復旧には数日から1週間程度の時間がかかるとの報告もあった。各サーバーの内蔵ドライブ内にランサムウェアは隠れて存在していると疑われたため、それらは一度全て消したうえで再導入する必要があるとの上申をされていた。特にサーバーに内蔵され、OSの入ったブート用ドライブ内のデータを全て消すという事は、かなりのワークロードになる。サーバーによっては再導入ではなく、新しいサーバーを調達して復旧したほうが効率的であるとの進言も上がっていた。つまり、復旧にはカネと時間がかかってしまうのだ。既にサーバーが止まったことで会社業務は数多く停滞しており、会社業績への影響も既に出始めていた。ならば、不本意ながら思い切って身代金を払ってしまえば事は済むのではないかという考えも浮かぶ。身代金を払うのか払わないのか、会社の経営陣は短い検討時間内に二者択一の決断を迫られた。

良し悪しは考え方ひとつで変わる

この会社の経営陣は最終的に身代金を払うのではなくシステムの復旧作業への着手を決断した。切迫した経営会議の中で、現実的な解として一部から身代金を払ってみてはどうかという意見も出た。要求された身代金はその会社が支払えない額ではなかったためだ。身代金を払い、暗号化されたデータが解放されれば、何も無理して時間を掛けて苦労する必要は無くなる。こうした方が会社の損害を最小限にできるのではという考え方だ。

しかし議論の結果、勝手に他人のデータを暗号化して身代金を要求するという犯罪行為を行う者に対し、金銭を払うことは社会的存在である会社として正しい事なのだろうかという考えに至る。会社が金銭を支払ったということが公になった場合、会社への社会的非難はどれほどのものなのか、それによって会社が受ける信用へのダメージは計り知れないのではないか。これは今後の企業存続にもかかわる重大なリスクであると考えられた。また。たとえ金銭を支払ったとしても、果たして本当に復号鍵は送られてくるのか?犯罪者集団の言葉を信じること自体への疑念も沸き上がった。仮に鍵が送られてきたとしても、一度支払ったことがあることから金払いの良いカモだと目を付けられ、再度同じような脅しを仕掛けられて金銭要求がエスカレートするのではないかという懸念もあった。結論として経営陣は不法な支払い要求は無視し、システムの復旧作業を早急に着手することとした。費用や時間がかかっても社会的存在として後悔しない道を選ぶ。それがこの会社の経営陣の出した結論であった。

最後の砦であるバックアップを守るには

ここで取り上げた話はフィクションではなく、実際にお客様環境で起こった出来事だ。この会社では幸いにもデータの復旧をすることができたが、バックアップ・データがテープに保管されていなかったら、経営陣は更に苦しく深い闇の渦へと巻き込まれていたであろう。

ランサムウェアを含むサイバー攻撃全般を含めそれらが及ぼす被害に備えるためには、第一にセキュリティーの壁を高くし、出入口での出入りを厳重にチェックすることが大切だ。しかしながらこのブログでもご紹介したように、思いもよらぬところからランサムウェア等は侵入してくる。そして一旦侵入された場合、企業の資産であるデータをどう保護するのかについてあまり対策がなされていないのが実情だ。データにダメージを受けたとしても、バックアップ・データがあればそれをリカバーすることはできる。バックアップはデータ保護のための最後の砦であると言える。だが、ランサムウェアはバックアップ・データをも容赦なく暗号化して利用できなくする。

そこで重要となるのがエア・ギャップ

 

エア・ギャップで守る

知らぬ間にサイバー攻撃を受けぬよう、バックアップ・データはエア・ギャップで守る必要がある。エア・ギャップはその名の通り、何かと何かを直接接触させないための隙間のようなものを指す。例えばリニアモーターが浮上した隙間などもエア・ギャップと呼ぶ。サイバー攻撃対策ではデータの保管場所が汚染されたサーバー等から直接アクセス(接触)されないようにするために作る絶縁領域を指す。お城で言えば堀のようなものだ。エア・ギャップで守られたデータ保管場所の典型例がテープ・メディアだ。通常、テープ・メディアはデータの読み書きを行っている最中以外はオフラインの状態で保管される。つまりデータはエア・ギャップで隔離された状態にあり、ランサムウェアからも守られていると言える。前述の例でもテープによるバックアップを行っていたがゆえにデータは復元できた。IBMは長年テープ製品の開発を行ってきており、多数のテープ製品ラインナップを用意している。2021年9月には LTO-9 対応のドライブも発表している。

しかし現在はバックアップをテープに保管せず、直接ディスクに保管している運用形態が多い。ディスクは常にオンラインであるため、運用操作を行う者からすると便利だからだ。しかし今はこの操作容易性重視の考え方がバックアップ・データを危険にさらしている。もちろん、テープは確かに安全安心なのだが、いざリカバリーを行う場面に出くわした場合、ドライブにカートリッジをマウントしなければならないのでリカバリー処理に少々手間と時間がかかってしまうという欠点があることは否めない。そこでリカバリーも素早く行うためにディスクでも安全にエア・ギャップでデータを守れる仕組みを作れば良い。そのために開発されたのがIBM FlashSystem でも実装されているセーフガード・コピー(Safeguarded Copy)機能だ。

Storage Made Simple for All

IBM FlashSystem 5200モデル

セーフガード・コピーはスナップショットを取得するようにストレージ装置内でボリューム・イメージを瞬時にコピーし、そのコピー・イメージをどのサーバーからもアクセスできないエリア、つまりエア・ギャップで守られたエリアに保管する。ランサムウェアへの対策を少しでもお考えなら、是非あなたの会社や組織で管理するシステムにエア・ギャップという考え方が取り入れてみては如何だろうか。

動画解説:サイバー攻撃から大切なデータを守り抜く ランサムウェア対策をIBM FlashSystemで

 

ご相談はこちら
ランサムウェア攻撃にあう前に、IBM営業員にお気軽にご相談ください。

 

More IBM Storage stories

エバンジェリストの眼②:コンテナなんてウチにはまだ早い、のでしょうか

DX(デジタル変革)という言葉が登場し、多くの企業での取り組みも語られてきている。実際、ITが社会に深く浸透し、生活様式を大きく変えている。DXが進むことで多くの恩恵を感じることも増えてきている。ここで改めて自社でのDX […]

さらに読む