建設コンサルタント等を行うパシフィックコンサルタンツ株式会社は12月16日、鳥取県からシステム保守管理を受託した「鳥取県森林クラウドシステム」へのサイバー攻撃について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】
県から管理を委託されたシステムに対するサイバー攻撃によってファイルが暗号化されてしまったということです。データを破壊するサイバー攻撃の対策について説明します。
今回のインシデントは、システムに格納されていた電子ファイル約4万件が暗号化されたことによって破損してしまいました。なお、原本のファイルは別に保管しているため、復旧は可能ということです。
対策として、サイバー攻撃判明後に、攻撃のあったWebサーバを停止し、アクセスできない状態にしています。なお、被害状況の把握、回復に向けた対応を進めており、詳細については調査結果を踏まえて、改めて報告するということです。
ファイルが暗号化されているサイバー攻撃と言えば、ランサムウェアによる被害が挙げられます。詳細についてはまだ発表されていないので、あくまでも一般論として説明します。
ランサムウェアとは、ランサムの意味である「身代金」とソフトウェアを組み合わせた造語です。ランサムウェアに感染したパソコンだけでなく、パソコンがアクセスできるシステム全体のデータが暗号化されてしまう大規模な被害が発生しています。
Aさんがランサムウェアに感染したとして、ランサムウェアがファイルを暗号化する過程を説明します。ランサムウェアはメールに添付されていたり、放置された脆弱性をついたりして感染を広げていきます。うっかり添付ファイルをクリックしてしまったAさんはランサムウェアに感染してしまい、Aさんのパソコンに保存されているファイルのほとんどが暗号化されて読めなくなってしまいます。悲しいですね。
ここまでの被害であれば、Aさんが自分のファイルを失うだけで、不注意を反省しながら頑張ってデータを再作成すればいいかもしれませんが、それでは済まされない場合があります。例えば、Aさんがファイルサーバやクラウドサービスを使ってファイルを共有していた場合、Aさんのパソコンに保存されているアクセス権限を悪用して、ランサムウェアが共有されているファイルにまで感染を広げる場合があります。
このAさんに限らず、何らかの方法でファイルを共有しながらお仕事をされている方がほとんどだと思います。そう考えると、ランサムウェアの被害は感染したパソコン1台にとどまることは、むしろまれな状況かもしれません。
ランサムウェアにデータが破損されることを前提とした対策として、切り離したシステムでバックアップを取得することが挙げられます。データが破損するなどして、情報が使えない状態は、セキュリティ3要素で「完全性」が損なわれていると言えます。
完全性とは、保存されたデータが一貫して正確かつ完全であり、改ざんや破壊がされていない状態を意味します。完全性が損なわれないための対策として、アクセス制限を徹底したり、定期的なバックアップを実施したりすることが必要です。完全性は、悪意のある第三者によるサイバー攻撃だけでなく、操作ミスや故障などの事故によっても損なわれる場合があります。そのため、未然防止のセキュリティ対策だけでなく、万が一、完全性が損なわれた場合に備えて、定期的なバックアップを行うことが必要です。
さらに、ランサムウェアの対策を考えた場合、バックアップ自体が切り離したシステムで保管されていることが重要です。理由は、先ほど説明させていただいた通り、ランサムウェアがネットワーク経由で感染を広げる場合があるため、接続されたシステムではバックアップ自体が暗号化されてしまい、データを復元することができなくなってしまう可能性があるからです。
最近は緊急度の高い脆弱性が発見され、極めて混沌としたセキュリティ界隈ですが、折を見てバックアップの設計を見直してみてはいかがでしょうか。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
