パスワードを忘れた? アカウント作成
16542757 story
犯罪

バックアップからランサムウェア被害直前の水準まで復元できたのは約18.9% 22

ストーリー by nagazou
完璧は難しい 部門より
ランサムウェア被害が増加しているが、被害に遭った企業がバックアップを用意していたケースでも、被害直前の状況まで復元できたケースは2割に届いていないという。2022年に警察庁への報告があったランサムウェアの被害は、あわせて230件で前年の146件から57.5%増となった。直接的な金銭の要求が確認されたものは54件で、そのうちの50件については暗号通貨、のこる4件については米ドルによる支払いを迫るものだったという(令和4年におけるサイバー空間をめぐる脅威の情勢等について[PDF]Security NEXT)。

ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62%、リモートデスクトップからの侵入が19件で19%を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81%と大半を占めているとされる。

復旧に要した期間は131件の有効な回答があり、うち復旧までに1か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83%を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81%だったとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ランサムウエアではなくて、ごめんなさい。
    かつて、ハードディスク(RAID5)が壊れたことがあって、バックアップも取っているはずなのに、バックアップ「先」が行方不明。

    業者さんに大枚払って、復元はできたのだけど、なぜか、復元した中にバックアップ「先」が。
    --
    ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
    • by Anonymous Coward

      「リストア」も重要(当然)
      バックアップには熱心だけど復元の方法知らなかったりもうね。
      復元しようとしたらイメージ壊れていたり、ツールのブートに手間取ったり。
      避難訓練と同じで、一回くらいはリストアの演習確認もしておいたほうがいいと思うね
      訓練用に運用用のSSD/HDDも同型新品を奢ろう。

      • by Anonymous Coward

        構築終わってあとは本番切り替えという最後のテストでリストアやったら大失敗して再構築になったことが……

      • by Anonymous Coward

        ツールのリブートに手間取るのは未だかわいいほうです。

        だいぶ前ですが、クソ上司が管理者だったころ
        ・リストア一度もやったことがない
        ・バックアップが正常に完了しているかチェックしていない
        ・さらにはバックアップ元のRAIDが常に正常かどうかもチェックしていない
        でした。

        しかし今はトラブル事前回避しているため管理者って何やってるの?みたいな目で見られています。
        でもたまに人的なミスで「2週間前にファイル消した・上書きした」と連絡があり
        世代バックアップから復旧して存在意義を示しています。

  • by Anonymous Coward on 2023年03月27日 23時11分 (#4433705)

    専門家が背景を解説したり取るべき対策を提示して初めてストーリーになるわけで、警察庁の統計資料を生のままお出しされても困る

    例えば徳島県のつるぎ町立半田病院のランサムウェア被害 [security.srad.jp]は「バックアップから被害直前の水準まで復旧出来なかった」ほうの典型的なケース
    バックアップは取っていたけど、あくまで自然災害対策用だったから、本サーバとネットワークで繋がっていて一緒にまとめてランサムウェアにやられてしまった
    で、その教訓を活かしたのが徳島県鳴門市の鳴門山上病院

    ランサムウェアの真実 ~その被害と限界~(森井昌克) - 個人 - Yahoo!ニュース [yahoo.co.jp]

    鳴門山上病院に関しては、翌日にはほぼ復旧しています。何が異なったのでしょうか。実は鳴門山上病院の事業担当の医師が、半田病院の事業担当の医師と同級生で、被害に遭う少し前に半田病院の事業担当者の講演を聞いていて、同級生としての会話から「オフラインバックアップを取るように!」と強く勧められ、その指示に従ったところ、週末のバックアップを取ってまもなく、ランサムウェアに感染し、事実上、一部のデータのみが紛失(暗号化)しただけで、復旧が容易となったのです。

    これが表題の18.9%のひとつ。こういうベストプラクティスを紹介してナンボでしょ。

  • macOS の Time Machine はとても優秀だと思うが、なぜか他では普及していない。せめて NAS ぐらいが対応してくれると中小企業規模でも助かると思うのだけど。

    • 1時間毎の頻繁なバックアップ
    • 自動的な間引き:24時間は1時間毎を保持、1ヶ月間は日毎を保持、それより古いものは週毎を保持
    • ディスクがいっぱいになったら古いものから自動削除
    • USB などの外付け HDD (DAS) とリモートの NAS などのどちらも使用できる
    • バックアップ先が複数あるとき「両方を使用」を選ぶと、交互に使用される
    • バックアップ先を複数のバックアップ元から共有できる:NAS だけでなく、デスクトップに繋いだドライブをリモートからも使用するとか
    • 新ハードウェアやクリーンインストールのセットアップ時に復元できる

    以下はバックアップ元にも機能が必要だろう。

    • OSごとリストア可能
    • OS側に整理の支援機能がある(リストアされたアプリで未対応バイナリを一括処理できるとか)
    • ローカルスナップショットとの統合
    • スナップショットと組み合わせた比較的安全なバックアップ
    • 分かりやすい UI(他のバックアップソリューションと比較して)

    特許でもあるのかな。15年前だからそのうち切れるかな。

    不満としては、初回バックアップ時などに重たくなっても良いから優先度を上げたいと思うことがあるが、操作が難しい(コマンドラインしかない)、ぐらいかな。

    Windows だとレジストリがあるから OS とかアプリとかは難しいか。ファイルとレジストリをまとめて世代管理して復元できるものってあるのかな。レジストリの部分的リストアとか大変そうだ。

    • by Anonymous Coward

      Small Business Serverとその派生製品のWindows Home Server
      そして2016までのWindows Server Essentialに搭載されてましたがな

      今ならファイル履歴+QNAP+HBS3+S3とか?

    • by Anonymous Coward

      Windowsだから失敗する。
      特定のフォルダーのバックならいいけど
      WindowsのネックはOSも癖があるが、パスの制限で失敗する場合ほぼ
      オリジナルのHDDと同じ名称で行わないとパス制限でバックアップに失敗する。

      機能としてはWindows Server Backupに頼る程度でしょ。
      Windows吹っ飛んだらどうなの?ってなるけど
      保存はされるでしょ。

      • by Anonymous Coward

        実現可能なハードとして

        パス制限が消えるなら、世代管理してもデータは残せるけどが
        マイクロソフトの能力では実現しないので。
        Windows側がパス制限がある状態でファイルの世代管理をするには
        ドライブではなくドライブを偽装したドライブ管理コンピュータを作って
        Windows側に引き渡せばmacOS の Time Machineのようなものは作れるでしょう。
        本体より高くなるでしょうけどニーズは出てくるでしょう。

        30万くらいで1TBのRAID1ドライブ

    • by Anonymous Coward

      TimeMachineの機能が気に入ってるので2009ねんからMacに転向しました。
      本体を移行するとき以外にこれがあってよかった!という事態にはなってないけど。

      無理やり近いのを探すとWindowsだと今ならOneDriveが近いのかも。
      ユーザーデータのみだけど、ファイルはOneDriveに同期される。
      世代管理はOneDriveがやってくれる。
      ウーン書いてみたけどだいぶ違いますね。

      本気で実装するならrsyncでがんばったらできるのかも。

  • 常用してるPCで復元テストって、常用してる訳だからできるタイミングがないんだよね

    んで、いざシステム全体をロールバックみたいに復元しようとすると、意外とエラーが出たりして上手くいかず
    結局クリーンインスコ+データはバックアップからコピーみたいな感じになってしまう

    • by Anonymous Coward

      PC買い替えの時にバックアップデータから引き継ぎするんで、そのタイミングで一応やってるなぁ

      もっとも最近は買い替え自体少ないからなぁ

      • by Anonymous Coward

        あまりに買い替えが進まないとOSが要求スペックを引き上げて買い替えをゴリ押ししてくる。Vistaのときがそうだったし、みんな忘れてるだろうけど実はXPのときも2000に比べて要求メモリ量が4倍にもなったとか不評だった。

  • by Anonymous Coward on 2023年03月27日 22時27分 (#4433686)

    > バックアップから被害直前の水準まで復旧出来なかったものは90件で81%

    むしろ被害直前の水準まで19%が復旧できたのが驚き。
    毎日バックアップしてても当日分は復旧できないのが普通でしょうに。
    「被害直前の水準」の定義が違うのかもしれませんけど。
    当日分は頑張って作り直したのかなあ。でもそれはバックアップから復旧したわけではないよね

    • by Anonymous Coward

      念の為。火災保険を含め損害保険の大原則として、「元通り」の保険金給付にはならないです。あくまで、その損害発生の直前の時点の時価が、給付される金額の上限。
      まあ、保険会社側としては、査定に注力して、いかに支払いを小さくするかに全力を上げるわけですが。

      • by Anonymous Coward

        すみません。コメ付ける場所間違えましたm(__)m

  • これなら、火災に巻き込まれて消し炭になれば良かった。
    # 持ち金をベットして身代金を払ったところで、復元してもらえるかは解らない。

    • by Anonymous Coward

      柱一本燃え残ったせいで「全焼」にならなかったとかなら全部燃えればよかったのにと思うかもしれない

    • by Anonymous Coward

      身代金が北の某国の収入源の可能性という点もあるが、「犯人側にとっては」そこそこ分のいい稼ぎ方ってことになるのかね。
      日本の捜査当局の能力じゃ犯人逮捕どころか特定すら難しかろう。米国とかなら(犯罪人引き渡し条約のような制度上の問題を措くとすれば)犯人特定が可能な程度の技術力を持っているのだろう。

  • by Anonymous Coward on 2023年03月28日 11時22分 (#4433917)

    うちもやられた。FWのファームが古いところのIPリストが出回ってたそうで、FWの脆弱性つかれた模様。
    WinServerから見えてるWindowsのファイルシステムから見えてる範囲がやられた。
    被害にあったのが休日の夜だったことからDBはFTPでバックアップしていた営業日に戻せたので大きな被害にはならなかった。
    その他クライアントPCでGoogleDriveFileStreamでバックアップされたファイルが連動で壊れたけど、Googleドライブ上でロールバックできたので致命的な被害には及ばなかった。
    丸一日くらいてんやわんやしたけどこういう記事見ると被害は少ない方だったんだと安堵する。やられてセキュリティ関係の予算取れるようになったのは怪我の功名。
    ちなみにFWを任せていた会社は対応が頼りなかったので変えた。

    • by Anonymous Coward

      やっほー、やられてセキュリティ予算減った人がいるよー!
      即時に戻せるストレージを入れていた結果、「うちの規模としてはベストだったんだから」の一言でで保守・リプレース予算削られたよー!!

      マジでその言葉聞いたときは愕然とし、その後本当に削られ始めたのでもうやる気ナッシング

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...