ランサムウェア攻撃とデータ復旧：完全な概要

データ損失とダウンタイムが引き起こすリスクから、ランサムウェア攻撃はあらゆる業界の企業にとって危険な脅威です。2023年の平均身代金はSophosによると154万ドルに達しました。残念ながら、ランサムウェア攻撃の激しさは年々増しています。誰もがリスクにさらされています。コンピュータにインストールされた後、ランサムウェアは強力な暗号化アルゴリズムを使用してデータを削除または破損させます。

ランサムウェアの背後にある悪意のある行為者は、通常、データを公開し、再び利用可能にするために一定の金額（身代金）を要求します。ただし、これらの支払いは犯罪者に動機付けを与えるだけでなく、使用可能なデータへの完全なアクセスを保証しません。このブログ投稿では、攻撃者との取引を回避しながら、ランサムウェア攻撃からの効果的な回復方法について説明します。

ランサムウェア攻撃後の対処方法

数多くの予防措置があるにもかかわらず、組織がランサムウェア攻撃の被害者になる可能性は依然としてあります。以下の実践が、ランサムウェア攻撃が発生した場合に影響を最小限に抑えるのに役立ちます。マシンがランサムウェアに感染した場合は、ファイルを回復する前にこれらの推奨事項に従ってください。

• 感染したデバイスを切断します。マルウェアに感染したことがわかったら、デバイスをすぐにネットワークおよび外部ストレージデバイスから切断する必要があります。これにより、インフラストラクチャ内の他のマシンやシステムが感染するのを防ぐことができます。この手順により、影響を受けていないデータを保存し、ランサムウェアからファイルを回復するために必要な作業量を減らすことができます。

  その後、実際にランサムウェア攻撃で影響を受けたマシンの数を特定し、インフラストラクチャ内での不審な活動を探します。

• ランサムウェアの種類を特定します。問題を最初に検出した人と話し合います。事前に何をしていたか尋ね、疑わしい添付ファイルを含むメールを受信したかどうか、最近ダウンロードしたファイルを尋ねます。ランサムウェアの種類を特定することで、データ保護システムの脆弱性を特定し、適切に修正するための貴重な情報が得られます。

  さらに、ランサムウェアの種類を特定できれば、ファイルが具体的にどのように影響を受けているか（つまり、暗号化されているかロックされているか）がわかります。その後、身代金を支払わないことの潜在的な影響と、ランサムウェア攻撃からの成功した回復に使用すべき戦略が理解できます。

• 問題を報告します。 従業員のトレーニングを実施する際に、スタッフに自分のマシンでの怪しい活動についてITサポートチームに通知することが重要であることを説明してください。 このようにして、IT専門家は重大な損害が発生する前にランサムウェア攻撃に対応できます。 その後、当局（たとえば、米国の場合はFBI）にランサムウェア攻撃を報告し、事件に関するすべての必要な情報を提供してください。 当局への報告は、同じランサムウェアの加害者による将来の攻撃を防ぐのに役立ちます。

• 身代金を支払わないでください。 法執行機関は、攻撃者の要求に応じないよう助言しています。なぜなら、それは将来さらに多くのランサムウェア攻撃を助長するからです。 お金を手っ取り早く稼ぎたいハッカーは、将来の攻撃のための容易な標的と見なします。 さらに、ほとんどの場合、身代金を支払うことは、攻撃者が約束どおりにデータを解除または復号化することを保証しません。 あなたが利益しか考えていない犯罪者と取引していることを覚えておいてください。

• ランサムウェア攻撃の影響を特定する。 攻撃の結果としてどれだけのデータが破損したか、何台のマシンが感染したか、攻撃からの回復にどれだけの時間がかかるかを決定する必要があります。 さらに、利用できなくなったデータの重要性を評価し、身代金を支払わずに回復できるかどうかを判断してください。

• ランサムウェアからシステムを回復する。 コンピューターからランサムウェアを削除した後、ランサムウェア攻撃の回復を開始できます。

ランサムウェアで暗号化されたファイルの回復オプション

ランサムウェア攻撃後のデータ復旧には複数の方法があります。これらの方法の効果は状況によって異なります。

オペレーティングシステムに組み込まれたツールを使用する

Windows 10を使用している場合、Windowsシステムの復元ユーティリティを使用して、自動的に作成された復旧ポイントからシステム設定やプログラム設定を復元できます。この方法ではすべてのデータを復元できるわけではありません。近年のランサムウェアはシステムの復元を無効にしたり、Windowsの復旧ポイントを削除または破損したりすることがあります。この場合、この方法は無効です。

ランサムウェアの解読ツールを使用する

ランサムウェアのタイプとバージョンを検出した場合、セキュリティリサーチャーが提供する解読ツールを見つけてみてください。解読ツールはすべてのランサムウェアバージョンに対して利用可能ではありません。また、現在では解読ツールを見つけることがますます珍しくなっています。

削除されたファイルの回復用ソフトウェアを使用する

ランサムウェアがディスク上のファイルを上書きせず、ディスク表面をゼロまたはランダムデータで埋めなかった場合、いくつかの重要なデータを回復できる可能性があります。ディスク表面のスキャンには長い時間がかかります。回復後のファイル名は失われる可能性があり、その名前はRECOVER0001.JPG、RECOVER0002.JPGなどのようになる場合があります。

バックアップからデータを回復

この方法の主なポイントは、事前に準備をしてランサムウェアがマシンに感染するのを待たないことです。ランサムウェアの攻撃前にバックアップを作成していない場合、この方法は適用されません。定期的な間隔でデータをバックアップするために事前に準備をする必要があります。バックアップのベストプラクティスでは、3-2-1バックアップルールに従い、バックアップをオフサイトおよび/またはオフラインで保管してランサムウェア攻撃からの復旧を行います。これにはクラウド、テープ、および/または変更不可バックアップストレージを使用できます。

バックアップを作成する最良の方法は、異なる種類のワークロードとインフラストラクチャをサポートし、3-2-1バックアップルールを実装できる専用のデータ保護ソリューションを使用することです。

そのようなソリューションの1つは、NAKIVO Backup & Replicationです。NAKIVOのソリューションを使用すると、バックアップのパフォーマンスを向上させ、データの回復性を確保し、ランサムウェアの回復を改善できます。このソリューションは、物理サーバー、仮想マシン（VMware vSphere、Microsoft Hyper-V、Nutanix AHV）、Amazon EC2インスタンス、およびMicrosoft 365のデータ保護をサポートしています。このソリューションを使用すると、次のことができます：

• イメージベースの、アプリケーション認識の、増分バックアップとレプリケーションを実行します。

• ソースホストや仮想マシン（VM）を巻き込まずにバックアップコピーを簡単に作成します。バックアップをリモートサイト、パブリッククラウド、またはテープに保存します。

• リモートサイト、パブリッククラウド、またはテープにバックアップを保存します。

• ローカルのLinuxベースのリポジトリやAmazon S3クラウド内で不変性を有効にします。

• インスタントVMブート、粒度の細かい回復、および物理マシンをVMware vSphere VMとしてP2V回復など、柔軟な回復オプションから選択します。

• 様々なアクションと条件を自動化されたシーケンスに配置することで、災害復旧ワークフローを作成します。

ランサムウェアからの回復にはどれくらい時間がかかりますか？

ランサムウェアウイルスによる暗号化されたファイルの攻撃からの回復に必要な時間は、感染したコンピュータ上の破損したデータの量と、ランサムウェア回復に使用される方法によって異なります。ランサムウェア攻撃からの回復に必要な時間を見積もる際、データ回復とすべてのシステムが復旧されたワークロードでオンラインに戻ることを意味します。

データの回復とワークロードの復元にかかる時間は、数日から数か月まで異なります。回復時間に影響を与える主な要因を見てみましょう。

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• 特定のランサムウェアバージョンの暗号化ツール（もしあなたが見つけた場合）を使用した回復は、多くの時間を要する可能性があります。ファイル名も暗号化後に変更された場合（例えばsLc6-fAl26m.nSeB2の代わりにimage001.jpg）、回復後に正しいディレクトリに配置するためにさらに時間がかかります。これらのファイルがアプリケーションの動作に必要な場合は、正しいファイルとディレクトリ構造を尊重する必要があります。

• データのバックアップを行うと、ファイルやサーバーのランサムウェアリカバリーに必要な時間が短縮されます。ランサムウェア攻撃後にバックアップからファイルを回復する利点は、ファイルやフォルダー名を正しいパスとともに構造化されたデータを回復できることです。適切な日付/時間のバックアップを選択し、データを回復するための宛先場所を選択する必要があります。その後、データがコピーされ回復するまで待つだけです。
  さらに、NAKIVO Backup＆Replicationなどのバックアップソリューションは、VMおよび物理マシンのバックアップをキャプチャするためにイメージベースのテクノロジーに依存しています。これは、バックアップがオペレーティングシステムとOSに関連するその他のファイル（アプリケーションの構成ファイルやシステムステートなど）をキャプチャすることを意味し、システムの復旧にかかる時間を節約できます。

• ランサムウェアリカバリープランの不十分なテストは、予想よりも長いデータの復元時間につながる可能性があります。そのため、常に回復計画をテストして、適切な時間枠で必要なすべてを回復できることを確認してください。

ランサムウェア災害リカバリープランを含む災害復旧戦略を作成する際には、RTO（復旧目標時間）およびRPO（復旧ポイント目標）のメトリックを考慮する必要があります。

結論

ランサムウェアリカバリーは、データの回復とワークロードの復元を含む複雑なプロセスです。ランサムウェアリカバリーのコストと時間は、バックアップ戦略の準備にかかる量に依存します。

ランサムウェア攻撃による問題を緩和する主なアプローチは、予防策を実施し、定期的にデータをバックアップすることです。3-2-1のバックアップルールに従い、変更不能なバックアップストレージを使用し、タスクを自動化できる信頼性の高いデータ保護ソリューションを利用します。