バックアップからランサムウェア被害直前の水準まで復元できたのは約18.9% 22
ストーリー by nagazou
完璧は難しい 部門より
完璧は難しい 部門より
ランサムウェア被害が増加しているが、被害に遭った企業がバックアップを用意していたケースでも、被害直前の状況まで復元できたケースは2割に届いていないという。2022年に警察庁への報告があったランサムウェアの被害は、あわせて230件で前年の146件から57.5%増となった。直接的な金銭の要求が確認されたものは54件で、そのうちの50件については暗号通貨、のこる4件については米ドルによる支払いを迫るものだったという(令和4年におけるサイバー空間をめぐる脅威の情勢等について[PDF]、Security NEXT)。
ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62%、リモートデスクトップからの侵入が19件で19%を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81%と大半を占めているとされる。
復旧に要した期間は131件の有効な回答があり、うち復旧までに1か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83%を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81%だったとしている。
ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62%、リモートデスクトップからの侵入が19件で19%を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81%と大半を占めているとされる。
復旧に要した期間は131件の有効な回答があり、うち復旧までに1か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83%を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81%だったとしている。
バックアップ「先」は重要 (スコア:3)
かつて、ハードディスク(RAID5)が壊れたことがあって、バックアップも取っているはずなのに、バックアップ「先」が行方不明。
業者さんに大枚払って、復元はできたのだけど、なぜか、復元した中にバックアップ「先」が。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
「リストア」も重要(当然)
バックアップには熱心だけど復元の方法知らなかったりもうね。
復元しようとしたらイメージ壊れていたり、ツールのブートに手間取ったり。
避難訓練と同じで、一回くらいはリストアの演習確認もしておいたほうがいいと思うね
訓練用に運用用のSSD/HDDも同型新品を奢ろう。
Re: (スコア:0)
構築終わってあとは本番切り替えという最後のテストでリストアやったら大失敗して再構築になったことが……
Re:バックアップ「先」は重要 (スコア:1)
本番運用前にリストアの問題がわかってよかったじゃないか。試験機に本番の衛星を積むなんてマヌケなことをしていない限りいいことしかない
Re: (スコア:0)
ツールのリブートに手間取るのは未だかわいいほうです。
だいぶ前ですが、クソ上司が管理者だったころ
・リストア一度もやったことがない
・バックアップが正常に完了しているかチェックしていない
・さらにはバックアップ元のRAIDが常に正常かどうかもチェックしていない
でした。
しかし今はトラブル事前回避しているため管理者って何やってるの?みたいな目で見られています。
でもたまに人的なミスで「2週間前にファイル消した・上書きした」と連絡があり
世代バックアップから復旧して存在意義を示しています。
オフラインバックアップを取れ (スコア:3, 参考になる)
専門家が背景を解説したり取るべき対策を提示して初めてストーリーになるわけで、警察庁の統計資料を生のままお出しされても困る
例えば徳島県のつるぎ町立半田病院のランサムウェア被害 [security.srad.jp]は「バックアップから被害直前の水準まで復旧出来なかった」ほうの典型的なケース
バックアップは取っていたけど、あくまで自然災害対策用だったから、本サーバとネットワークで繋がっていて一緒にまとめてランサムウェアにやられてしまった
で、その教訓を活かしたのが徳島県鳴門市の鳴門山上病院
ランサムウェアの真実 ~その被害と限界~(森井昌克) - 個人 - Yahoo!ニュース [yahoo.co.jp]
これが表題の18.9%のひとつ。こういうベストプラクティスを紹介してナンボでしょ。
どうして Time Machine ライクなものがないのだろう (スコア:2)
macOS の Time Machine はとても優秀だと思うが、なぜか他では普及していない。せめて NAS ぐらいが対応してくれると中小企業規模でも助かると思うのだけど。
以下はバックアップ元にも機能が必要だろう。
特許でもあるのかな。15年前だからそのうち切れるかな。
不満としては、初回バックアップ時などに重たくなっても良いから優先度を上げたいと思うことがあるが、操作が難しい(コマンドラインしかない)、ぐらいかな。
Windows だとレジストリがあるから OS とかアプリとかは難しいか。ファイルとレジストリをまとめて世代管理して復元できるものってあるのかな。レジストリの部分的リストアとか大変そうだ。
Re: (スコア:0)
Small Business Serverとその派生製品のWindows Home Server
そして2016までのWindows Server Essentialに搭載されてましたがな
今ならファイル履歴+QNAP+HBS3+S3とか?
Re: (スコア:0)
Windowsだから失敗する。
特定のフォルダーのバックならいいけど
WindowsのネックはOSも癖があるが、パスの制限で失敗する場合ほぼ
オリジナルのHDDと同じ名称で行わないとパス制限でバックアップに失敗する。
機能としてはWindows Server Backupに頼る程度でしょ。
Windows吹っ飛んだらどうなの?ってなるけど
保存はされるでしょ。
Re: (スコア:0)
実現可能なハードとして
パス制限が消えるなら、世代管理してもデータは残せるけどが
マイクロソフトの能力では実現しないので。
Windows側がパス制限がある状態でファイルの世代管理をするには
ドライブではなくドライブを偽装したドライブ管理コンピュータを作って
Windows側に引き渡せばmacOS の Time Machineのようなものは作れるでしょう。
本体より高くなるでしょうけどニーズは出てくるでしょう。
30万くらいで1TBのRAID1ドライブ
Re: (スコア:0)
TimeMachineの機能が気に入ってるので2009ねんからMacに転向しました。
本体を移行するとき以外にこれがあってよかった!という事態にはなってないけど。
無理やり近いのを探すとWindowsだと今ならOneDriveが近いのかも。
ユーザーデータのみだけど、ファイルはOneDriveに同期される。
世代管理はOneDriveがやってくれる。
ウーン書いてみたけどだいぶ違いますね。
本気で実装するならrsyncでがんばったらできるのかも。
ときどきバックアップからの復元テストをすべきなんだろうけど (スコア:0)
常用してるPCで復元テストって、常用してる訳だからできるタイミングがないんだよね
んで、いざシステム全体をロールバックみたいに復元しようとすると、意外とエラーが出たりして上手くいかず
結局クリーンインスコ+データはバックアップからコピーみたいな感じになってしまう
Re: (スコア:0)
PC買い替えの時にバックアップデータから引き継ぎするんで、そのタイミングで一応やってるなぁ
もっとも最近は買い替え自体少ないからなぁ
Re: (スコア:0)
あまりに買い替えが進まないとOSが要求スペックを引き上げて買い替えをゴリ押ししてくる。Vistaのときがそうだったし、みんな忘れてるだろうけど実はXPのときも2000に比べて要求メモリ量が4倍にもなったとか不評だった。
被害直前の水準まで復旧 (スコア:0)
> バックアップから被害直前の水準まで復旧出来なかったものは90件で81%
むしろ被害直前の水準まで19%が復旧できたのが驚き。
毎日バックアップしてても当日分は復旧できないのが普通でしょうに。
「被害直前の水準」の定義が違うのかもしれませんけど。
当日分は頑張って作り直したのかなあ。でもそれはバックアップから復旧したわけではないよね
Re: (スコア:0)
念の為。火災保険を含め損害保険の大原則として、「元通り」の保険金給付にはならないです。あくまで、その損害発生の直前の時点の時価が、給付される金額の上限。
まあ、保険会社側としては、査定に注力して、いかに支払いを小さくするかに全力を上げるわけですが。
Re: (スコア:0)
すみません。コメ付ける場所間違えましたm(__)m
火災保険に加入したのに、元通りにしてもらえなかった (スコア:0)
これなら、火災に巻き込まれて消し炭になれば良かった。
# 持ち金をベットして身代金を払ったところで、復元してもらえるかは解らない。
Re: (スコア:0)
柱一本燃え残ったせいで「全焼」にならなかったとかなら全部燃えればよかったのにと思うかもしれない
Re: (スコア:0)
身代金が北の某国の収入源の可能性という点もあるが、「犯人側にとっては」そこそこ分のいい稼ぎ方ってことになるのかね。
日本の捜査当局の能力じゃ犯人逮捕どころか特定すら難しかろう。米国とかなら(犯罪人引き渡し条約のような制度上の問題を措くとすれば)犯人特定が可能な程度の技術力を持っているのだろう。
DBは即日、その他はひと月くらいで復旧 (スコア:0)
うちもやられた。FWのファームが古いところのIPリストが出回ってたそうで、FWの脆弱性つかれた模様。
WinServerから見えてるWindowsのファイルシステムから見えてる範囲がやられた。
被害にあったのが休日の夜だったことからDBはFTPでバックアップしていた営業日に戻せたので大きな被害にはならなかった。
その他クライアントPCでGoogleDriveFileStreamでバックアップされたファイルが連動で壊れたけど、Googleドライブ上でロールバックできたので致命的な被害には及ばなかった。
丸一日くらいてんやわんやしたけどこういう記事見ると被害は少ない方だったんだと安堵する。やられてセキュリティ関係の予算取れるようになったのは怪我の功名。
ちなみにFWを任せていた会社は対応が頼りなかったので変えた。
Re: (スコア:0)
やっほー、やられてセキュリティ予算減った人がいるよー!
即時に戻せるストレージを入れていた結果、「うちの規模としてはベストだったんだから」の一言でで保守・リプレース予算削られたよー!!
マジでその言葉聞いたときは愕然とし、その後本当に削られ始めたのでもうやる気ナッシング