
近年、インターネット上でのセキュリティの脅威が増加しており、その中でも特に注意が必要なのが「ランサムウェア」です。ランサムウェアは、コンピューターやネットワーク内のファイルを暗号化し、元の状態に戻すために身代金を要求する悪意あるソフトウェアです。
またPCやサーバ上に保存されているデータがNASに接続されている場合、NASも攻撃の対象となることがあり、このような脅威に対処するためには、適切な初動対応とフォレンジック調査が欠かせません。
そこでこの記事ではNASがランサムウェアに感染した場合の初動対応や有効なフォレンジック調査方法について詳しく解説します。
NASのランサムウェア感染時の初動対応
ランサムウェアは感染が広がることで被害が増大する傾向があります。
一方、初動対応に際して適切な手順を踏むことで、感染が他のデバイスやファイルに広がるのを防ぐことができます。
NASのランサムウェア感染時の初動対応には以下のような手順があります。
- NASをネットワークから切断する
- NASの電源を切る
- NASのデータをバックアップから復旧する
- データやファイルを復号する
- 専門家に依頼して感染経路や被害全容を調査する
- 最新のセキュリティパッチを適用する
①NASをネットワークから切断する
ランサムウェア感染時に最も重要なのは、感染が疑われるデバイスをネットワークから切断することです。
なぜならランサムウェアはネットワーク内で急速に感染を広げるため、ひとつのデバイスが感染するだけで全体のネットワークが危険に晒されるためです。
この際、感染が疑われるデバイスを素早くネットワークから切断することで、感染が他のシステムやファイルに広がるのを防ぐことができます。なお、これはランサムウェアだけでなく様々なマルウェアに対しても有効です。したがって不審な動きを見つけた場合は、速やかにネットワークから切断することが推奨されます。
②NASの電源を切る
ネットワークから切断した後、NASの電源を切ることで、ランサムウェアの動作を停止させることができます。これにより、感染の拡大を阻止することができます。
③NASのデータをバックアップから復旧する
事前に定期的なバックアップを取っている場合、感染したファイルを元の状態に復旧することができます。
ただし、バックアップが不完全である場合、一部のファイルやデータが復旧されない可能性があります。またバックアップが古い状態のデータを含む場合、感染前の最新のデータを復旧することができないか、途中からのデータ損失が発生する可能性があります。
感染前の状態を正確に再現するためには、すべてのファイルとデータが適切にバックアップされている必要があります。
④データやファイルを復号する
ランサムウェアに感染した場合、すでに復号ツールが発見されている場合、複数のウェブサイトを利用して、復号ツールを見つけることができます。以下にいくつか有名なサイトを挙げてみましょう。
No More Ransom
「No More Ransom」は、多くのセキュリティ企業と法執行機関が共同で運営するプロジェクトで、様々なランサムウェアの解除ツールを提供しています。解除ツールの提供だけでなく、被害者に対する情報やアドバイスも提供しています。
ID Ransomware
「ID Ransomware」は、ランサムウェアの種類をデータベースに持つサイトで、暗号化されたファイルや身代金要求ファイルをアップロードすることでランサムウェアの種類を特定し、復号ツールの有無を確認できるサイトです。(特定のランサムウェアの名前が分かっている場合でも利用できます)
⑤専門家に依頼して感染経路や被害全容を調査する
ランサムウェアに感染した場合、再発防止や情報漏えい有無を確認するためにも、感染経路や被害の全容を調査することが必要です。
しかし、一般の利用者にとって、ランサムウェアの解析や対策は難しいとされています。なぜなら専門的な知識やスキルがない状態でランサムウェアを解析する試みは、逆に感染を拡大させたり新たな脆弱性を引き起こす可能性があるからです。
つまり誤った操作がセキュリティリスクを増大させることがあるわけです。
したがってランサムウェア被害を受けた場合は、サイバーセキュリティ専門家の支援を受けながら、感染原因の究明や再発防止策の検討を行い、同様の被害を回避することが大切となってきます。
対応に不安を覚える場合は、ランサムウェアの感染調査に対応している専門業者への相談を検討しましょう。
⑥最新のセキュリティパッチを適用する
感染を未然に防ぐためには、NASや関連するシステムに最新のセキュリティパッチを適用することが大切です。
なお、NASを狙う脆弱性の多くは、認証されたリモート経路で攻撃者が任意のコードを実行するものです。したがってサーバーやNASのリモート機器の脆弱性は常にキャッチし、早急にパッチを適用することで、既知の脆弱性を悪用されるリスクを減少させることができます。
NASのランサムウェア感染時に有効なフォレンジックとは?
ランサムウェア感染が発生した際、その被害範囲や感染経路を詳しく調査することが重要です。
その背景として、2022年4月に施行された改正個人情報保護法が挙げられます。この法改正では、法人が所有する個人データに関して、重大な漏えいや不正流用が発生した、もしくは疑いがある場合に報告・通知が義務化されました。
つまり、個人情報取扱事業者はランサムウェア攻撃によって情報漏えいが生じた場合、どの情報が漏えいしたのか、どのようにして漏えいが起きたのかを調査する「義務」があります。仮に措置命令の違反や個人情報の不正流用が発生した場合、最高額一億円までの罰金が科せられる可能性があります。
この場合、フォレンジック調査の専門家に依頼することが重要です。
フォレンジック調査
フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。
専門業者に相談するメリットは下記のとおりです。
- 専門的な知識と経験により、効率的に調査を行うことができます。
- 法的にも問題のない方法で調査を行うことができます。
- 調査の結果を証拠として使用することができます。
したがってランサムウェア感染時には、調査の専門業者に相談し、報告・通知を行うことが必要です。
特に、調査の実績が豊富な専門業者に相談することで、公的に使用可能な報告資料が作成可能であり、法的リスクの拡大を防くことができます。またシステム内部やログも詳細に解析でき、攻撃の手法や侵入経路を詳しく特定することができます。
特に環境復旧から調査まで一貫相談できる会社に相談することで、ランサムウェア感染に迅速かつ効果的に対処できるでしょう。
ただし、ランサムウェア被害の全般的な調査・解析には高度な技術が必要であり、信頼できる業者も限られます。そこで信頼できる専門家や業者を選ぶ際には、以下のポイントに注意することが重要です。
信頼できるランサムウェア調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計24,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。累計2.4万件以上の相談実績を持ち、大手企業や警察からの捜査依頼も多数解決しているため、実績・経験は申し分ないスマホのハッキング調査対応業者です。
調査・解析専門のエンジニアとは別に、相談窓口として調査専門アドバイザーも在籍しており、年中無休で対応しているため、初めて調査を依頼する場合でも安心して相談することができます。なお、法人/個人を問わず対応しており、見積まで無料のため費用面でも安心といえます。
フォレンジック調査で出来ること
フォレンジック調査は、セキュリティインシデントの解析と対処において重要な役割を果たします。
フォレンジック調査で出来ることは次のとおりです。
- ネットワークトラフィック分析
- ログ解析
- 関連情報の収集
- 法的手続きの支援
- 脆弱性評価
ネットワークトラフィック分析
ネットワークトラフィック分析では、通信パターンや異常なアクティビティを把握し、今後の類似攻撃への対策を練る材料とすることができます。
ログ解析
システムのログには特定のアクティビティやイベントの日時が記録されており、これを解析することで、感染が起こった具体的日時や時間帯を特定することができます。ただし攻撃者がログを消去したり改ざんしたりする可能性もあるため、多面的な調査が求められることがあります。
関連情報の収集
フォレンジック調査では、攻撃者の通信先ドメインやC&Cサーバーの情報、不正なファイルのハッシュ値などを収集し、これらの情報をセキュリティコミュニティや関連組織と共有することで、迅速な対策を促進することが可能です。
また、この収集された情報をもとに、今後同様の攻撃を防ぐための対策を講じることができます。
法的手続きの支援
セキュリティインシデントが発生すると、個人情報保護法違反など法的な問題が発生することがあります。このような場合、フォレンジック調査を行うこととで、適切な法的手続きに貢献し、証拠を保全するための支援を行うこともできます。
脆弱性評価
フォレンジック調査では、攻撃者が悪用した脆弱性と手法を特定し、そのセキュリティホールを修復するための情報を得ることができます。この情報を元に、セキュリティホールを修復し、将来の攻撃から組織を守るための対策を講じることもできます。
おすすめのランサムウェア調査業者
ランサムウェア調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、数十社以上の中から見つけたおすすめの調査会社を紹介します。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | データ復元、退職者調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、労働問題調査、データ改竄調査、サイバー攻撃被害調査、マルウェア・ランサムウェア感染調査など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計23,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年) |
まとめ
今回は、NASにおけるランサムウェア調査で期待される効果について解説しました。
NASがランサムウェアに感染すると、金銭的被害はもちろん、攻撃リストに入れられ、被害を受け続ける恐れがあります。そうした事態を防ぐためにも、フォレンジック調査はマストとなるといえるでしょう。