この記事は下記ソースの要約です。
再感染の確率
ランサムウェアに感染して、それが無事に復旧し、解決したかに思えても油断はできません。
この記事によると、
2022年には、初回感染した事業者のうち、38%が再感染しています。
一度は身代金を払った事業者のうち80%が、一度だけでは許して貰えず(再度サイバー攻撃を受けて)再度の身代金を要求されています。
このうち40%が再支払いを行い。うち70%は初回支払いよりも高額な身代金を支払っています。
日本でも、安易に身代金を支払ってしまうと、再度のサイバー攻撃を受けて再度の支払い要求を招きがちになると言われています。
一度、詐欺に引っ掛かると、詐欺業者間で名簿が出回り、次々と詐欺業者がやって来る現象に似ていますね。
再感染の原因
初回の侵入者が残したバックドアがまだ残っている
犯罪者側が、事件発覚前の数週間または数か月前からネットワーク内に侵入しており、例えばバックドア(秘密の侵入口)を複数作っており、システム復旧時にそれを全部潰しきれていない場合があります。
初回攻撃中に認証情報(IDとパスワード)が盗まれた
犯罪者が再度戻ってくる時に使用するログイン資格情報を盗まれてしまっている可能性があります。
パスワードは復旧前のそれと復旧後のそれとでは変えておく必要があります。
復旧前と同じパスワードだと再び侵入される危険があります。
パッチが適用されていない脆弱性
侵入の原因となった機器の脆弱性には、確実にパッチを当てて(欠陥のあるソフトウェアを修正して)、侵入口を塞いでおく必要があります。
そのためにはどこから侵入されたのかを確定しておく必要があります。
つまり侵入発覚の直後に、サーバー・端末・ネットワーク機器全てを検証する必要がある訳です。
テレビドラマで殺人事件が起こると、警察の鑑識が殺人現場にやって来て指紋や足跡・髪の毛を採取したりDNA鑑定をしたりしますが、それと同じようなことをサーバーや端末・ルーターなどにも行う必要がある訳です。
この作業は侵入発覚の直後に行う必要があります。(そのまま普通に使用を続けていると通信機器に通信データが上書きされて証拠が消されていくからです)
この鑑識作業を、「フォレンジック(フォレンジクス)」と呼びます。
この作業はフォレンジックを専門とする専門業者が行います。
警察は無料で鑑識してくれますが、フォレンジックは有料です。(しかも百万円〜千万円代の高額です)
フォレンジックを行なっておかなければ、どこからどの方法で侵入されたかが分からないままなので、その後にせっかくシステムを復旧させてもまた同じ手口で侵入される危険があります。
感染したバックアップの復元
データベースが感染して汚染された場合は、それを消去して、予め取っておいたバックアップデータを読み込んで来てデータベースを一から復旧させます。
しかし実はそのバックアップデータにも密かに感染が起こっていたら、再び感染が広がることになります。
感染されたファイルかどうかを判別するためにも、正確な侵入時間の特定が必要であり、そのためにはフォレンジックが必要です。
対策
上記で記した「パッチの適応」「パスワード変更」「フォレンジック」の他に、EDR(Endpoint Ditective and Responce : 不審な動きを検知し警報を発するソフト)を各端末に仕掛けておくなどの対策を行います。
まとめ
実は日本の小さい医療機関が受けたサイバー攻撃(公表されていない)においても、「一度身代金を払ったのにまた要求された」といった話はよく聞かれるようです(業界筋の情報)
これ、何割かは、きっと再感染しているのだと思います。
他人事じゃないです!
コメント