この記事では

ランサムウェア復旧におけるバックアップの役割
ランサムウェア検出技術
ランサムウェアからの復旧戦略
最もよくある質問：身代金を支払うべきですか？
ランサムウェア攻撃後にすべきこと

ランサムウェア復旧ガイド（ランサムウェア攻撃からデータを復旧する方法）

15 Apr 2024

5 min read

Anju George

ブログ記事

ランサムウェアは、近年ますます蔓延しており、企業が直面する最も重大な脅威の1つとなっています。Sophosの「State of Ransomware 2023」レポートによると、2023年には66％もの組織がランサムウェア攻撃の被害を受け、被害額（支払額）は10億ドルを超えました。

ランサムウェアの復旧とは、ランサムウェア攻撃による影響を軽減するために組織が講じる対策を指します。ランサムウェア攻撃からの復旧の成功は、組織のバックアップおよびデータ保護戦略の強さと、ランサムウェアの影響の深刻さに大きく依存します。

1. ランサムウェア復旧におけるバックアップの役割

定期的かつ包括的なバックアップは、ランサムウェア攻撃に対抗するために重要です。データのコピーを安全な場所に保管しておくことで、サイバー犯罪者と交渉することなく、迅速にシステムを復旧することができます。これによりダウンタイムを最小限に抑え、攻撃者が組織に対して持つ影響力を低減できます。しかし、適切に実施されていないバックアップ戦略は、ランサムウェアに対して脆弱になる可能性があります。

ランサムウェアに対して包括的かつ効果的なバックアップ戦略を確立するために、以下のベストプラクティスを参考にしてください。

3-2-1バックアップルールの実施：データのコピーを少なくとも3つ保持し、それらを2つの異なる場所に保管し、1つのバックアップコピーをオフサイトに保管します。このように保管場所を多様化することで、さまざまな障害に対してデータを守ることができます。
定期的な検証：バックアップを定期的に検証することで、データが完全に復旧可能であるかどうかを確認できます。復旧演習を実施することで、実際のランサムウェア攻撃の際にバックアップに依存する前に潜在的な問題を特定できます。
変更不可のバックアップとエアギャップバックアップの利用：一定期間、変更や削除ができない変更不可のバックアップを実施することで、セキュリティが強化されます。同様に、ネットワークから物理的または論理的に隔離されたエアギャップバックアップは、サイバー攻撃に対してより安全になります。
暗号化と認証：バックアップデータを暗号化し、強力な認証方法を使用することで、バックアップへの不正アクセスを防止できます。
バックアップの自動化：バックアップを自動化することで、人的ミスのリスクを減らし、手動操作なしで定期的にデータがバックアップされるようにします。
バックアップ戦略を定期的に見直し、更新する：組織のデータ環境が進化し、新たな脅威が出現する中、定期的にバックアップ戦略を見直し、更新することで、最新のランサムウェアの手口に対しても効果的な対策を維持できます。
バックアップへのアクセスを保護する：バックアップデータへのアクセス権を必要な人だけに制限することで、悪意のある攻撃者がバックアップを侵害しようとする際の攻撃対象を減らすことができます。
従業員への教育：定期的なバックアップの重要性やバックアップデバイスの安全な取り扱いについて従業員を教育し、データ漏洩を防止します。また、フィッシングやランサムウェアのリスク、疑わしいアクティビティを迅速に報告することの重要性についてもトレーニングを行います。

1.1. データバックアップがランサムウェアの脅威からどのように保護するのか

データ復旧：定期的なバックアップがあれば、組織は攻撃前の状態に迅速にデータを復旧することができ、身代金の要求を阻止できます。
ダウンタイムの削減：ITのダウンタイムの平均コストは1分あたり5,600ドル、1時間あたり336,000ドルとされています。ランサムウェア攻撃が発生した場合、バックアップがあれば迅速に復旧でき、工数や高いコストがかかる復旧プロセスを回避できます。これにより、工数の削減、ビジネスの継続性確保、数年もかかりそうな大規模な財務的影響を防ぐことができます。
ビジネス継続性：定期的なバックアップにより、迅速なデータ復旧が可能となり、業務の中断を最小限に抑え、顧客の信頼を維持します。
コンプライアンス：多くの業界では、一定期間データを保存することが厳しく求められています。バックアップは、データの完全性とアクセスを確保し、侵害後でも法的および規制要件を満たすことができます。

2. ランサムウェア検出技術

ランサムウェアを検出することは、重大な損害を引き起こす前に脅威を特定し、隔離するための多層的なアプローチに依存しています。以下は、ランサムウェアを検出する一般的な方法です。

シグネチャによる検出：
従来のアンチウイルスやアンチマルウェアツールは、シグネチャ検出を使用して、既知のランサムウェアの変種を特定します。これは、マルウェアに関連する特定のパターンやシグネチャに基づいて行われます。マルウェアには、ドメイン名やIPアドレス、その他の指標などから構成される固有のシグネチャがあります。シグネチャベースの検出では、これらのシグネチャのライブラリを使用して、実行中のファイルと比較し、マルウェアを識別します。
しかし、この方法は常に効果的というわけではありません。ランサムウェアの攻撃者は、検出を回避するためにマルウェアファイルを頻繁に変更します。そのため、シグネチャベースの検出は古いランサムウェアを識別するのに役立ちますが、新しいマルウェアの変種に対してはシステムが脆弱なままになることがあります。
挙動による検出：
この方法は、ファイルの急速な暗号化やファイル保存場所の予期しない変更など、ランサムウェアの典型的な挙動をアプリケーションやシステムの動作を監視し、ユーザーに警告するものです。
挙動分析により、従来のシグネチャベースの検出を回避するランサムウェアを検出することができます。このアプローチはランサムウェア攻撃そのものを防ぐわけではありませんが、攻撃が識別された後にその拡散を防ぐのに役立ちます。
異常なトラフィックによる検出：
異常なトラフィックの検出は、挙動ベースの検出の拡張版であり、ネットワークレベルで機能します。この方法は、ランサムウェア攻撃がファイルの暗号化前にデータの外部流出（データの不正なコピー、転送、取得）を伴うことが多いという理解に基づいています。これにより、大量のデータが外部システムに転送され、ネットワーク上に検出可能な異常を引き起こします。
これらの異常を追跡することで、サイバーセキュリティシステムは異常なアクティビティの発信源を特定し、組織は脅威を迅速に隔離し、ランサムウェアを発信源から削除することで攻撃を軽減できます。

3. ランサムウェアからの復旧戦略

ランサムウェア攻撃からの復旧戦略は、以下の要因に依存することがあります。

予想される復旧時間
ビジネスへの財務的影響
身代金を支払わなかった場合の機密情報が漏洩するリスク

ランサムウェア攻撃からの復旧に向けて検討できるアプローチは次の通りです。

インシデント対応計画の実施
バックアップからの復旧
ランサムウェア復旧サービスの利用
復号化ツールの利用

3.1. ランサムウェア対応計画の実施

ランサムウェア特有のインシデント対応計画（IRP）を準備し、展開することは、組織がランサムウェア攻撃を効果的に管理し、軽減するために不可欠です。ランサムウェアIRPは、既知または疑わしいランサムウェアの発生に対して、セキュリティオペレーションセンター（SOC）、ネットワークオペレーションセンター、システム管理者が直ちに講じるべき対策を明確に示しています。

ランサムウェアIRPの主なステップは次の通りです。

初期対応：攻撃を理解するために、侵害されたシステムのログデータを収集し、インシデントがランサムウェア攻撃であることを特定し、確認します。
コミュニケーション計画：IT、セキュリティ、法務といった内部関係者と、法執行機関、顧客、インシデント対応会社などの外部関係者を特定します。
ランサムウェアインシデントの範囲と影響を評価します。
ランサムウェアを隔離し、封じ込めるための対策を実施し、さらなる拡散を防止します。
脅威を無効化し、復旧プロセスを開始するための戦略を適用します。
法的報告義務：法令に基づき、FBIやCISAなどの関連機関や法執行機関にサイバー攻撃を報告する必要があります。データ保護およびプライバシー規制に関連する法的な影響を評価し、組織としての倫理的責任も検討します。
デジタルフォレンジック調査：攻撃の発端、手法、および悪用された脆弱性を理解するための調査を実施します。

インシデント対応チームは、現行のインフラ、スタッフ、およびプロセスに適合するよう、IRP（インシデント対応計画）を定期的に見直し、更新する必要があります。定期的な訓練やテーブルトップ演習は、関係者全員が計画に精通し、効果的に実行できるようにするため、また改善すべき点を特定するために重要です。

3.2. バックアップからのデータ復旧

データのバックアップがない場合、ランサムウェア攻撃が発生した際に企業は完全に手詰まりとなり、データの回収が保証されていないにもかかわらず身代金を支払うことを強いられるかもしれません。バックアップは、ランサムウェア攻撃から最も迅速で信頼性の高い復旧方法です。

バックアップ効果を高めるためのベストプラクティスについては、こちらをご覧ください。

SysCloudを使用することで、組織はランサムウェア攻撃から簡単に回復することができます。SysCloudのポイントインタイムリストア機能を使用すれば、システム管理者は過去に遡って任意の時点のバックアップスナップショットから復旧することが可能です。管理者はすべてのバックアップインスタンスを確認し、復旧すべき適切なバージョンを選択できます。

プロからのアドバイス

データの完全性を確保する：バックアップしたデータがランサムウェアに感染しておらず、引き続き使用可能であることを確認することが重要です。SysCloudでは、バックアップしたデータにランサムウェアが含まれていないか検査していますので、ランサムウェア攻撃が発生した場合でも、管理者はバックアップアーカイブやユーザーのドライブから感染したファイルを削除し、安全なスナップショットから復旧することができます。詳しくは、SysCloudのデータインサイト機能をご覧ください。

3.3. ランサムウェア復旧サービスの利用

ファイルの復号化を行うために、専門のランサムウェア復旧サービスプロバイダーを利用することができます。これらの専門企業は評判や成功率が異なるため、依頼する前にその専門知識を評価することが重要です。

ランサムウェア復旧において成功実績のある企業を探します。
信頼できる業者であれば、現状を評価し、データ回復ができるかどうかを正直に回答してくれます。
復旧サービスは通常高額であり、データが確実に回復できるという保証はないことに留意してください。

3.4. ランサムウェア復号化ツールの利用

場合によっては、復号化ツールを使用してランサムウェアに感染したファイルを復号化することが可能です。ランサムウェア復号化ツールは、特定のランサムウェアの変種によって暗号化されたファイルを復号化するために設計された専門的なソフトウェアプログラムです。

成功するかどうかは、ランサムウェアの種類に依存します。

セキュリティ専門家が特定のランサムウェア変種に脆弱性を発見することで、身代金を支払うことなく暗号化されたファイルを解除できる復号化ツールが作成されることがありますが、特に巧妙なサイバー犯罪者は、通常128ビットや256ビットの非常に強力な暗号化を使用しており、復号化は極めて困難です。

ランサムウェア復号化技術の最新動向を常に把握し、サイバーセキュリティの専門家に相談して、利用可能なすべての復旧方法を検討することが重要です。

ランサムウェア復号化ツールを使用するには、次の手順に沿ってください。

ファイルを暗号化したランサムウェアの種類を特定します。この情報は身代金の要求メッセージに記載されている場合があるほか、セキュリティツールを使用して特定することも可能です。
ランサムウェアの種類を特定できたら、その種類に対応した復号化ツールを検索します。必ず信頼できるソースからツールをダウンロードし、提供された手順に従ってファイルを復号化してください。

4. 最もよくある質問：身代金を支払うべきですか？

身代金を支払うことは一見、手っ取り早い解決策のように思えるかもしれませんが、一般的には推奨されていません。この決断には、財務的、倫理的、そしてセキュリティ面での複雑な要素が絡んでいます。

身代金を支払うことには、道徳的なリスクと技術的なリスクの両方が伴います。

明白な道徳的リスクは、身代金を支払うことで犯罪組織の資金を直接支援し、次の被害者に対する攻撃をさらに効果的にしてしまうことです。

技術的なリスクとしては、再度攻撃を受ける可能性が非常に高いことが挙げられます。ハッカーにとって、身代金を支払った企業は簡単なターゲットであり、資金に余裕があると見なされるからです。

Cybereasonの調査によると、身代金を支払ったランサムウェアの被害者の80％が再びランサムウェア攻撃を受けており、68％の組織では2度目の攻撃が1ヶ月以内に発生し、さらに高額な身代金を要求されたと報告しています。

4.1. 法的およびコンプライアンス上のリスク

法的な要素も意思決定プロセスに影響を与えます。一部の法域では、ランサムウェアの要求に応じることが法的な結果を招く場合があり、特に攻撃が制裁対象の組織と関連している場合は問題となります。組織は、ランサムウェア攻撃の即時的な影響だけでなく、身代金の支払いに関連する複雑な法的環境も慎重に考慮する必要があります。

4.2. ランサムウェア交渉人を雇う

上記のリスクにもかかわらず、組織が身代金を支払うことが唯一の現実的な選択肢であると判断した場合は、プロのランサムウェア交渉人を雇うことが重要です。

経験豊富な交渉人の多くは、さまざまなランサムウェアグループと交渉した実績があり、交渉を続ける価値があるか、それとも打ち切るべきかについて的確なアドバイスをしてくれます。

外部のインシデント対応（IR）企業やサイバー保険会社では、交渉人を雇用していることが多く、被害者の依頼に応じて対応してくれます。

これらのサービスは、理想的にはランサムウェアの発生前に特定され、準備されているべきです。サイバー保険やIRサービスとの契約を結ぶ際、交渉サービスが利用可能かどうか、また追加料金が発生するかどうかを確認する必要があります。

この情報や交渉人に連絡する方法は、組織のインシデント対応計画（IR）に記載しておくべきです。これにより、ランサムウェア攻撃が発生した際に迅速な対応が可能となります。

4.3.身代金の支払い後は？

身代金を支払う決断をしたからといって、復旧プロセスが終わるわけではなく、業務再開のための新たな段階が始まります。身代金を支払った組織は、攻撃者から提供されるランサムウェアの復号ツールの非効率性や、将来の攻撃を防ぐためにITインフラを再構築または強化する必要性に対処するため、支払わなかった組織と比べて、回復にかかるコストが倍になるケースが多いです。

組織は、サイバー保険や法的制裁の変化にも注意を払う必要があります。特に制裁対象の団体と取引する場合は要注意です。サイバー保険の方針や、こうした団体への身代金支払いに関する法的影響は頻繁に変化していくため、ポリシーの内容と、身代金を支払った場合に直面する可能性のある法的結果を十分に理解することが重要です。

油断せず、ランサムウェア攻撃が発生する前に、保険の保証範囲や法的状況について積極的に情報を収集し、しっかりと把握しておきましょう。

要約すると、ランサムウェア攻撃を受けた被害者は、自分の状況を完全に理解した上で、情報に基づいた決断を下すことが重要です。身代金を支払うリスクをすべて認識し、支払いなしで攻撃から回復できる可能性についても明確に評価する必要があります。

5. ランサムウェア攻撃後にすべきこと

ランサムウェア攻撃後には、詳細な事後検証を行い、何が起こったのかを分析し、今後のインシデントを防ぐことが重要です。

攻撃の影響と範囲を評価する：復旧後の評価を行い、攻撃の全容を把握し、ダウンタイムや財務損失の影響を測定します。ハッカーがどのように侵入してきたのか、攻撃がバックアップに影響を与えたかどうかを確認します。
脆弱性を修正する：ネットワークの弱点を特定し、修正します。これには、ソフトウェアの更新、古いシステムの廃止、特定のツールの使用方法の変更などが含まれる可能性があります。また、この機会に、チームに対してサイバーセキュリティのベストプラクティスを再教育することも有効です。
セキュリティを強化する：誰が何にアクセスできるかを見直し、必要最低限の権限しか持たないようにします。ネットワークの異なる部分を分離し、安全に保つために、より多くの仮想プライベートネットワーク（VPN）を設定することも検討してください。また、多要素認証（MFA）を導入することで、さらに強力なセキュリティを追加できます。
長期的なセキュリティ対策を採用する：NIST（米国国立標準技術研究所）やCISA（サイバーセキュリティおよびインフラストラクチャセキュリティ庁）などの主要なサイバーセキュリティ機関と連携し、彼らが提供するガイダンスやツールを活用して、将来の攻撃リスクを軽減し、セキュリティを向上させ、システムの保護を強化します。

6. 結論

ランサムウェア攻撃からの復旧は可能ですが、それには十分な事前準備が必要です。身代金を支払うことは決して推奨されません。なぜなら、身代金を支払った企業の多くが、すべてのデータを回復できていないからです。

成功する復旧の鍵は、以下の様な多層的なアプローチにあります。

強力なセキュリティ：脆弱性を最小限に抑えるため、強固なセキュリティ対策を実施します。
確実なバックアップ：複数の変更不可なコピーを活用する包括的なバックアップ戦略を構築します。
準備された対応策：明確なランサムウェア対応計画を策定し、チームに徹底的な訓練を行います。
早期検出：ランサムウェアの早期検出を優先し、被害を最小限に抑えます。
継続的な改善：進化する脅威に対抗するために、定期的に防御体制を見直し、改善します。

これらの予防策を講じることで、ランサムウェア攻撃からの復旧を最小限の混乱で実現する可能性を大幅に高めることができます。

この記事では

ランサムウェア復旧におけるバックアップの役割
ランサムウェア検出技術
ランサムウェアからの復旧戦略
最もよくある質問：身代金を支払うべきですか？
ランサムウェア攻撃後にすべきこと