ログ調査とバックアップのポイントと、身代金の支払いに関する注意点

関連記事

近年のランサムウェア攻撃の動向と対策に必要な考え方

関連記事

被害状況の把握とインシデント公表の最善策とは

ログ調査は不正侵入の早期発見や被害の拡大抑止にも役立つ

第１回では、ネットワーク機器等の脆弱性管理についてお伺いしました。平時のランサムウェア対策として、このほかに取り組むべきことがあれば教えてください。

北條氏：
私が推奨したいのは、まず、調査をできるようにするためのログの保存・集約等をする環境整備です。多くの企業はこれがほとんどできていません。そして、この環境整備をした上でログ等を定期的に調査すれば、外部から不正に侵入された痕跡が見つかる例が多くあります。

よくISMSやPマーク認証を取得するためだけにとりあえずログを取得しているという話も聞きますが、重要なデータに対してアクセスされたログが取得されていない企業は非常に多いのです。また、ログを取得していたとしても、それだけでは意味がありません。日頃からきちんとログ等の調査をしていれば被害の拡大を抑えられたのに、と思う事例も多々あります。企業・組織の内部ネットワークへの侵入を許してしまい認証情報などが盗まれているのにもかかわらず、それを見逃したがために、大量のデータを外部へ転送されてしまい、その後に暗号化されたことによってはじめてランサムウェア攻撃の被害が発覚するというパターンです。

辻氏：
ベンダーや公的機関のレポートを見ていても、被害を未然に防ぐことができたと考えられる惜しい事例はたくさんありますね。ID・パスワードを盗まれるだけで終わっているケースもまだまだ多いです。

また、侵入から実際にランサムウェアが展開されるまで数か月程度タイムラグがあるケースも結構あります。この場合、外部からの侵入を検知できる術があれば、大事には至らなかったはずです。

北條氏：
ただ、システムやネットワーク構成は企業・組織によって異なるため、「これだけ見ておけば大丈夫」という王道の対策がないことは難しいポイントです。
管理者権限を盗んでしまえば、攻撃者はウイルス対策ソフトやEDR（Endpoint Detection and Response）を止めることも可能となります。そのような攻撃を防ぐ意味でも、企業としてまずはログをきちんと保存・集約・管理し、異常を早期に検知できる体制を整えておくべきでしょう。

「バックアップを取っておけば大丈夫」ではない

ランサムウェア対策の一環として、重要なファイルやデータについて定期的にバックアップを取っている企業も多いようです。

辻氏：
ランサムウェアによるファイルやデータの暗号化に備えるという意味で、バックアップを取っておくことは重要です。一方で、単にバックアップを取っているだけで、復元できるかどうかテストしたことがないという企業も多いように思います。

北條氏：
たしかに、「バックアップさえ取っておけば大丈夫」という考えは危険です。また、バックアップの復元には相当の時間がかかるということも見落としがちなポイントです。数TB〜数十TBという容量のバックアップを復元しようとすると相当程度の日数がかかります。業務に活用するデータが対象の場合、この期間は停止せざるを得なくなりますので、代替措置をとれるのかという事業継続計画（BCP）も必要になります。

辻氏：
実際にランサムウェアの被害を受けるとその間業務も止まるわけですから、そこまで含めてバックアップの方法を検討していく必要があります。場当たり的な対応にならないよう、救助する業務データの優先順位をつけておくことも大事だと思います。

北條氏：
事業規模や業種、契約条件にもよりますが、事前にそうした検討をしていないということは、本来は責任問題にもつながります。

辻氏：
私はセキュリティに関するセミナーの講師をする際に、2016年頃からランサムウェアの話題を出すようになったのですが、当時の聴講者に「バックアップを取っているか」と聞いてみると、ほとんどの人が手をあげました。ただ、一歩踏み込んで「今事故が起きたとして、きちんと復元できる自信があるか」と聞くと、ほとんど手があがらなくなり、さらに「バックアップテストを定期的に実施しているか」と聞くと、ほぼゼロに近い状態でした。

北條氏：
バックアップテストでは稼働中のシステムを止めることになり、また、データ復元に失敗する可能性がゼロではないことも踏まえると、なかなか実施に踏み切れない面もあるでしょう。稼働中のシステムとは別に同じ環境を用意してバックアップからデータを復元するというやり方がベストなのでしょうが、規模の大きくない企業がそこまでのコストをかけられるかどうかという問題もあります。

定期的なバックアップテストは企業にとって負担が大きいようですが、それ以外で考えられる現実的な対策や備えはありますか。

辻氏：
復元方法が記載されたバックアップソフトのマニュアルが最新のものに更新されているかを確認しておくことも重要です。たとえば、バージョンアップでインターフェースが変わるなどした場合は、それに合わせて内容を見直す必要があります。その見直しや確認を怠っていると、本当に必要なときにマニュアルが役に立たず、手も足も出なくなってしまうおそれがあります。

また、バックアップテストを行っていないと、ベンダーのマニュアルしか拠り所がなく、自社のバックアップの種類や頻度、復元ポイントすら把握できていないという状況に陥るケースもあります。自社の業務に適した形でバックアップの方法やマニュアルを検討しておくことが理想です。たとえば、週次でバックアップを取っている場合、100%復元できたとしても1週間前の状態に戻ることになるので、その間の業務データはどうするのか考えておく必要があるでしょう。

身代金を支払っても解決しない可能性がある

仮に、ランサムウェアによる被害発覚後にバックアップが十分に機能しなかった場合、攻撃者の求めに応じて身代金を払うことは解決策になり得るのでしょうか。

北條氏：
身代金の支払いは絶対に禁止というわけではありませんが、「何のために身代金を払うのか」を考えることが重要です。たとえば、①バックアップも何もなく復旧できず、このままでは事業継続が困難という状況を打破するために支払うのか、②窃取された情報をリークされないために支払うのかによって、方向性は大きく変わるでしょう。

辻氏：
その整理で言うと、①データやシステムを復旧するために身代金を支払うのは、個人的にはその企業の自由だと考えています。ランサムウェアの攻撃者グループが収益を上げるなど社会全体で考えるともちろん悪い面もあります。ただ、企業が倒産して多くの従業員が路頭に迷ってしまう可能性を考えると、身代金を支払うという選択も仕方がない場合があるように思います。

一方で、②窃取された情報をリークされたくないから支払うという考え方には反対です。そもそも、こうした悪事を働く攻撃者の言っていることを信用するのかという問題があります。①の場合は、身代金を払って攻撃者から復号のための“鍵”をもらえれば、自社においてファイルやデータが復旧したことを確認できるのでよいのですが、②の場合は、窃取されたデータの全貌やそれがその後どう扱われているかをトレースすることができないので、仮に身代金を支払ったとしても、本当にリークされたり売買されたりしていないのかはわかりません。

北條氏：
攻撃者が保有するデータをリークせず、破棄する代わりに身代金を支払う場合、仮に攻撃者グループから企業間でやり取りされるような「データの破棄証明書」が送られてきたところで、信用できませんよね。むしろ、犯罪者と交渉したり信用したりするような会社だと思われてしまうリスクすらあります。盗まれたデータに対してお金を払えばコントロールできるかもしれないと思うこと自体が間違いですし、相手の術中にはまっている証ともいえるのではないでしょうか。

辻氏：
身代金を支払わせようとする攻撃者の脅迫手口にもいろいろあります。たとえば、攻撃者が、取引先などターゲット組織の利害関係者に対して「身代金を支払うようお前からも伝えてくれ」とアプローチするケースもあります。こうしたときには、信用できない犯罪組織にお金を支払っても意味がないということを組織として関係者にきちんと説明できなければいけません。

北條氏：
ただ、身代金を支払って対処する企業も多い米国などでは、取引先企業から「ほかの企業は身代金を払っているのに、なぜ支払わないのか」という圧力がかかってしまう場合もあります。日本も身代金の支払いが一般化すればこのような状況になることが目に見えますが、できる限り避けたいですね。

これまで日本企業が身代金を支払う例は比較的少なかったと思いますが、今後、犯罪組織にどう対抗するべきなのでしょうか。

辻氏：
難しいかもしれませんが、ランサムウェアに関わる犯罪組織にお金を支払うとはどういうことなのか、より広い層の方々に知ってもらう必要があると思います。私たちのような専門家やセキュリティ部門の担当者だけで考えてよい問題ではないように感じています。

北條氏：
身代金を支払うべきではないというメッセージを日本政府が出してくれればよいのですが、米国のFBI（連邦捜査局）長官や大統領報道官なども、支払うかどうかを決めるのは企業であるという考えを示しています。法律で縛るという方法もあり得ますが、前回申し上げたとおり現状では支払ったら当局へ報告するというレベルの規制（未施行）にとどまっています。法律で禁止すると、データやシステム復旧のための支払いまで制限されて事業が継続できなくなってしまうため、こっそりと水面下で身代金を支払ってしまい、現状を把握することが困難な状況に陥る可能性もあります。社会秩序を保つという観点から、一律に禁止する方針は政府としても避けたいわけです。

データ復旧事業者への委託時に気をつけるべきポイント

ランサムウェア被害にあってしまった際の対応として、このほかに知っておくべきポイントはありますか。

辻氏：
ランサムウェア被害を受けた企業向けに、さまざまなデータ復旧サービスが提供されています。こうしたサービスも有事対応における選択肢の1つになり得ますが、一方で、善意の第三者を装ったデータ復旧事業者が、実は裏で攻撃者に身代金を支払って復旧したことにするというケースが考えられるのではないかと危惧しています。つまり、データ復旧事業者が反社組織の隠れ蓑になってしまうおそれもあるということです。
そうした意味では、データ復旧事業者がどのような方法で復旧を進めたのか、透明性の高い状態でわかるようにしておく必要があると思います。

北條氏：
データ復旧をめぐってトラブルに陥るケースもあります。データ復旧が可能であると言いつつ、ただ身代金を支払っているだけの事業者を摘発することは裏がとれないので難しいんですよね。
これに関して、私も担当したのですが、デジタル・フォレンジック研究会などのセキュリティ業界の団体が合同で「データ被害時のベンダー選定チェックシート」を作成・公開しています。ここにあるように、ランサムウェアの被害を受けてデータ復旧を事業者に委託する際には、ランサムウェアの犯行グループと交渉したり身代金を支払ったりしないよう合意できているかどうか、確認してほしいです。また、このチェックシートについて、情報処理学会誌にも解説記事を寄稿しましたので、参考にしてほしいです。

（取材・文：周藤 瞳美 、写真：岩田 伸久）

第3回へ続く