ランサムウェア攻撃後、わずか2日半でシステム復旧　名古屋港コンテナターミナルが早期復旧できた理由　

ランサムウェア攻撃を受けたら、どこを止めるべきか

北尾辰也氏：ここでまたもう1つ、「ネットワーク構成図は最新ですか？」という問題が出てきます。（侵入型ランサムウェアに攻撃されたら）外接ポイントを止めなきゃって言うんですけど、ネットワーク構成図が最新じゃないケースが多かったりもします。

「すべての接続ポイントが記載されていますか？」。されていないケースが少なくなかったりするので、これもヒアリングしながら止めていくかたちになっています。

また、これもあるあるなんですけど、現場が勝手に接続ポイントを設けていたりします。こういったことから、封じ込めは意外と苦戦していくということですね。

あとで報告書などを読むと「侵入経路はここ」とか書いてあるんですけど、あくまでもそれは後でわかる話だったり。演習でも「侵入経路はここです」と言ってくれたりするんですけど、実際の現場ではそういうことはありません。

無限に可能性のある侵入経路が出てくるということですね。そういうことを把握した上で、状況に応じて対応しないといけないのが、まず最初の一番の苦労になってきます。

次ですね。封じ込めは侵入経路だけでいいのか？　ということですよね。封じ込めにおける不安要素と書いてますけど、外部接続ポイントに漏れがある可能性もあります。全部止めたつもりが実はまだ攻撃者は入れて、さらに攻撃されるかもしれませんし。


また、最近のパターンではあまりないんですけど、侵害されたコンピュータに何か仕込まれていて攻撃が内部で拡散する可能性もあります。こういうことも後になるとわかるんですけど、この時点ではわかりません。

ですので、多くの被害事例でも起きているんですけど、いったん全部止めて、更地から確認していくしかないということになるんですね。一見無事なサーバなどもいったん止めましょうとか、内部ネットワークも全面的に停止しましょうということが起きます。

この後調査が進んでいけば、順次再稼働していくことになるんですけど、やはりいったんすべて停止せざるを得ない状況になることが少なくありません。

OA系システムを止めるとコミュニケーションは壊滅状態に

実際の事例でもそうですね。大阪急性期・総合医療センターでも、やはり電子カルテに関連するすべてのネットワークの遮断および利用停止を行っています。


小島プレスさんもやはり全サーバ停止しています。その後、その日中に工場を稼働するために最低限必要なサーバのシステム稼働可否を確認して、大丈夫そうなので動かしたりはしているんですけど。でもわからないので、いったんは全部停止しています。動かしているとやられてしまうかもしれませんから、止めるしかないわけですね。


いったん全部止めるって言いますけど、みなさんの会社のネットワークによっては、例えば業務システムが入っているところにOA系も一緒にあったりしますよね。被害を受けたネットワークに、通常みなさんが文章を作ったりメールをするOA系のシステムも入っていると、これも止まります。

メール、ファイルサーバ、グループウェアをいったん停止せざるを得なくなるために、社内のコミュニケーションが壊滅的な状態になります。電話をかけようにも電話帳が……今更みなさんのところに紙の電話帳とかないですよね。パソコンで探しますよね。電話すらほとんどしなくてチャットなのに「チャットができない！」という感じです。

当然OA系に被害が発生するケースも少なくはないので、これは停止せざるを得ないんですけど。（ネットワークがつながっていると）被害が発生していなくても停止せざるを得なくなります。もし被害が発生していると、さらに長期間に渡って使用ができなくなってしまいます。

ですので、このOA系が使用できないことで社内も混乱しますし、まずそこの対処をしないと何も始まらないことになってしまうので。やはり多くの事案でこの部分はすごく苦労していると思います。

ある事案では、社員食堂がシステム化されていて、サイバー攻撃の影響で使えなくなってしまいました。ただ、その会社さんではメニューをカレーのみにしてサービスを継続し、しかもカレーはタダにしたので、逆に結束が固まったと聞いたことがあるんですけど。ちょっと余談ではありますけど、こういったものまで止まってしまいます。

ですので、特に侵入型ランサムウェア攻撃の封じ込めは侵入経路がわからない状態で対応しないといけない。ネットワークにつながっている社内のシステムを全部止めざるを得ないことを、まず理解していただく必要があると思っています。

「問題がない」と「問題が見つかっていない」は紙一重

いったん封じ込めができたとしましょう。次は根絶・復旧に移っていきます。影響の確認をして、復旧していくわけです。影響のないものはそのまま使って、影響のあるものは初期化してから直したりしていくと思うんですけど。

これも影響有無の確認は難航します。みなさんも経験したことがあると思うんですけど、問題がないということはすごく難しいんですよね。問題がないことと問題が見つかっていないことは紙一重なので。

ランサムウェア攻撃は、攻撃者が手動でサーバや端末へ攻撃を行うため、攻撃パターンは多様です。ですので、影響有無を特定することが非常に難しいです。当然Windows系であってもLinux系でもやりますし、仕掛けるランサムウェアを変えてくることもできるわけです。

暗号化被害を受けていない、パッと見は何も問題なさそうなサーバや端末も攻撃者が侵害していて、そこを起点に他のサーバを攻撃するといった細工を施しているケースも考えられます。考えだすとキリがないんですけど。


例えばランサムウェアの検体を見つけ出して、それを検知できるようにしてアンチウイルスソフトでスキャンすれば影響有無の確認が終わるような、そんな簡単なものではないです。

そのため、結局影響の有無を1個1個調べていると時間が経ってしまうので、実際は「全部初期化して再構築するしかないよね」という復旧方針にならざるを得ないケースが多いと思います。

まさにそこが詳しく記載されているのが、この事例の報告書ですね。一番最後のパラグラフですけど、システムや機器の正常性を証明できないことから、原則初期化を行う方針を決定するかたちですね。


基幹システムはバックアップがあったんですけど、まずそこに戻すまでの手前までで、機器を初期化してOSもソフトも入れ直してガラを作らないといけない。ガラを作ってからリストアをする。こういうことをしないといけないですから、バックアップがあったとしても、やはり時間はかかります。また、多くの組織ではバックアップもやられてしまう。あればまだマシなんですよね。

オンライン上のバックアップも攻撃者のターゲットに

これは警察庁の『サイバー空間をめぐる脅威の情勢等について』という統計資料です。バックアップから復元できなかった理由のアンケートには、やはりバックアップも暗号化されていたためというところがけっこう上がっています。


その他のなぜ復号できなかったかというのは、また別の意味で興味があったりするんですけど。運用の不備って何だろうな。途中でぶっ壊したのか、よくわからないんですけど。おそらく最新じゃなかったからちゃんと動かなかったというのもある感じはしますね。

いわゆるリストアする仕様が十分じゃなくて、バックアップからの復元テストってみなさんのところもやってないケースが多いですよね。実際にやってみるとうまくいかないことも少なくないんじゃないかなと思います。

でも、まずバックアップがあれば、何かしらスタート地点があるんですけど、暗号化されてしまうとどうしようもありません。

この背景としては、やはり近年ディスクが大容量化・低価格化されているので、オンラインバックアップが主流になっている。そのほうが復旧が早いですし。ただ、普通のオンラインバックアップだと攻撃者に暗号化されてしまいます。もしくは削除されてしまうケースもあります。

いずれにしても使えなくされてしまうということですね。ですので、やはり変更不可の仕組みが入った保全型のストレージ、もしくはメディア等ですね。こういう時はメディアが強いですね。メディア等の保全バックアップと呼ばれるものを導入しておかないと、実際のバックアップが使えない状況になってしまいます。

バックアップが残っていても、データが古いことが少なくない

それから、バックアップからリストアする際ですね。これもバックアップは最新データではないので、リストアしたデータからシステムを稼働しようとしてもうまく動かないことは容易に想像できますよね。また古いデータなので、データの追いつきが必要となったりしています。

例えばOAのファイルサーバが3日前に戻ります。諦めてくださいというのは十分あり得ると思うんですけど。「お客さんの取引データが3日分ありませんから」って、それはないですよね（笑）。なんとか復元するとか、欠落を踏まえて次の事務をしていく必要があります。


実際の事例でもやはりバックアップは古く、そこに対する考慮をしないといけなくなってきます。名古屋港のコンテナターミナルでは連携に障害が発生したりしています。


侵入経路の調査も難航するわけですね。なぜかと言うと、外部接続ポイントがたくさんあったり、ログが十分取れていないことがあったりします。

いずれにしてもネットワークを再稼働する際には、すべての外部接続ポイントについてセキュリティ上の対策の現状を調査して、「入られなかったからそこはいいよね」って、そんな甘くはないですよね。

実際に起きると、「ほかは大丈夫なのか!?」という話に絶対になります。そこも踏まえて全部きちっと見直しをかけないといけないので、これも時間がかかります。やはり実際の調査事例でも、「ログが上書きされて調査できませんでした」という話も少なくありません。


名古屋港ではログも暗号化されてしまっています。これは（調査事例に）書いてあるんですけどね。結局のところ、侵入経路はわからなかったというかたちだったりします。

ランサムウェア攻撃の復旧には、数週間〜数ヶ月かかる

ということで、ランサムウェア攻撃を受けるとどうなるのかのまとめです。まずネットワークが全面的に停止したり、一時的に外部接続の切断をせざるを得ないです。

また、日本の企業・組織の場合は、中のサーバはパッチを当てていないことも少なくなかったり、管理IDやパスワードが類推可能なことが多いので、多くのサーバや端末がやられてしまいます。

OA系も停止すると、大混乱から始まります。それから復旧も、さっき言ったようにそう簡単ではないということですね。影響確認も「何をもって白とするか」というのはなかなか難しいです。ネットワークの安全性をどう確保して再稼働させるかというのも難しいですし。バックアップがあればいいですけど、なかったらもっと大変です。

復旧まで普通のケースでも短くて数週間から1ヶ月、長いと数ヶ月を要することが少なくありません。このあとBCP（事業継続計画）などの話をしていくんですけど、普通のシステム障害やネットワーク障害はだいたい1日とか数日で復旧します。

ランサムウェア攻撃の場合はそうはいかないです。実際にランサムウェア攻撃を受けて警察に届け出た組織・企業の回答では、復旧に要した期間は1週間から1ヶ月というところから、左のほうは1ヶ月以上〜2ヶ月、2ヶ月以上。さらに復旧中というのはどれくらいやってるかわからないんですけど（笑）。こういったかたちですね。

これはあらゆるランサムウェア攻撃なので、即時とか1週間というのは本当に一部だけやられましたというケースじゃないかなと思います。

名古屋港コンテナターミナルは攻撃から2日半で復旧

次ですね。名古屋港は2日半で復旧していますが、どうしてできたのかということですね。これは逆に言うと、どうすれば早期に復旧できるのかということの裏返しにもなります。

まず、実は名古屋港のコンテナターミナルは単独システムでした。ベンダーのデータセンターにこのシステム専用の区画があって、そこに置いてありました。

あとはバックアップが生きていた。単独システムですので、資産の把握が完璧にできているわけですね。システム構成やネットワーク構成も最新のものがあります。保守も頻繁に行われているので、保守ベンダーとの契約や関係もしっかりしていますし、何かあった時にすぐ対応してくれます。

それから関係者が結束していたり、意思決定が早くできていたということです。ただ名古屋港のシステム部門を担当されている方は、あまりサイバーの知見はなかったわけなんですけど、そこを警察と連携することで補っているということですね。


一方、課題はログが暗号化されてしまったり、素人集団でインシデント対応をやっていたことだったり。

実はシステム停止中もマニュアルで最小限の荷役を継続していたんですけど、こういったことに備えてBCPが整備されていたわけではなくて、システム化以前の経験者がいたため可能だったということですね。そういったかたちで乗り切ってきたということです。

ランサムウェア攻撃への技術的な対策

ということで、最後のパートになりますが、ランサムウェア攻撃への技術的な対策です。これまでずっと言ってきているので、ここでは多くは語りませんが、意外と重要なのが、2つ目にあるネットワークガバナンスですね。


ネットワーク構成や資産。このキーワードは世の中にはない言葉なんですけど、ネットワーク構成や資産を把握したり、勝手に外接ポイントを作らせないことも何か起きた時に非常に重要です。

それから、5番目のネットワークのセグメンテーションですね。これはこのあともう少し詳しく説明していきます。それ以外はおそらく言われている対策ですので、みなさんも認識されていると思います。

あとは6番ですね。社内コミュニケーションの代替手段確保です。最近はOA系のサービスやグループウェアはSaaSを使っていることが多いので、直接外部からSaaSにアクセスするような対処をして乗り切ることも可能になっています。以前と比べて代替手段は確保しやすくなっていると思います。

致命的な打撃を免れるためのプランを整備

次は人や組織の対応ということで、まずランサムウェアに対するリスク評価を行ってBCPを整備することが非常に重要です。ランサムウェア攻撃を受けるとどうなってしまうのか、ビジネスや会社の経営にどのような影響が出るのかときちっと評価して、致命的な打撃を免れるためのプランを整備していくことが必要です。


それから、当然下のインシデント対応体制を整備したり、対応要員を確保したり、専門家や警察との連携。システムの保守体制をきちっとしておいたり。

あと、会社や組織によってはステークホルダーがいろいろいて、ふだんは関係調査や役割分担があいまいだったりします。それもきちっとしておかないと、関係調整している間にどんどん時間が経っていったり、お金を誰が出すんだという話になったりすることが少なくありません。

BCPの整備ですね。ランサムウェアを想定したものは、自然災害やシステム障害とは違います。複数のシステム、もしくは全面的にシステムが停止して、しかも長期間に及ぶんですけど。自然災害と違って施設自体や機械は無事だったり、人員は影響なかったり。自社、自組織のみが影響を受ける。


また、世の中の反応も違いますね。非常に批判的な雰囲気になります。ですので、ランサムウェア攻撃を想定したBCPは非常に必要であり、「どの業務がどれくらいシステムなしで耐えられるのか」を明確にすることで、各システムごとに必要なレジリエンスが決まってきます。

要は、どれくらいバックアップを用意しないといけないのか。「全システム保全型バックアップのお金なんてありません」というのは当然だと思うんですけど。すると、こういったところを作ることで、どういうレジリエンスが必要かということがきちっと定義されてきます。

ネットワークのセグメントの重要性

最後に、ネットワークのセグメンテーションは実は非常に重要です。重要システムの被害を防いだり、早期に再開できるようにするということで、いろいろなシステムが混在しているネットワークだと、やはり全部が止まってしまいます。

なので重要な業務システムや、それに関連する業務端末、またそれが外と通信している部分などはできるだけアイソレートされているほうがいいです。いざとなると、ここだけ動かすことは可能です。


また、海外拠点やグループ会社、他のネットワーク経由の被害を防ぐという意味でも……これまでは「専用線は大丈夫だ」というのが日本の社会の中で多かったんですけど。いやいや、専用線であっても必要最小限の通信のみ、ふだんは許容するということで。

これで100パーセント攻撃を受けなくなることはないかもしれないですけど、簡単に攻撃は受けなくなりますので、やはり十分な対策になっていきます。ネットワークのセグメンテーションも、ランサムウェア攻撃を考えた場合に非常に重要になります。

ということで、以上で私からのお話は終了になります。どうもご清聴ありがとうございました。