ランサムウェアの被害から回復するための方法

医療情報システムの安全管理に関するガイドライン　第5.2版（令和4年3月）にはランサムウェアなどの被害を受けたときに復旧するための項目があります。これは医療機関のみではなく、他の業種でも当てはまる内容です。

情報セキュリティの専門家であればこの内容で理解し実施できるのですが、セキュリティが素人のＩＴエンジニアの場合は不十分な復旧をしてしまい再侵入を許すばかりか他の組織への踏み台となることもあります。そのため復旧は確実に行う必要があります。

サイバー攻撃被害からの復旧のための５項目

1. バックドアを残さない

VPNの脆弱性が元で侵入された場合は、VPN装置のアップデートはしているかもしれませんがアカウントの勝手な追加がされていることがあり、アップデート後もＶＰＮ機器からの侵入を継続される可能性があります。

WindowsやLinuxにバックドアを仕掛けられていることもあります。バックドアはウイルス対策ソフトにかからないか、ウイルス対策ソフトから除外されるようにされています。そのため、ウイルス対策ソフトでは完璧には発見できません。
バックドアの有無は、素人では分からないため、侵入の疑いがある場合は基本的にはOSをクリーンインストールする必要があります。

システムを一定期間前の状態に戻す場合は、侵入された日時を特定する必要があります。
侵入されてすぐに暗号化を実行された場合と、しばらくしてから暗号化を実行された場合で対応が異なります。
確実にいつから侵入されたのか分からない場合には、バックアップから復旧させただけの復旧のさせ方では侵入が継続する可能性があります。

バックドアを見つけるにはバックドアやサイバー攻撃に対するフォレンジックなどの情報セキュリティの専門知識の中でも特化した専門知識が必要です。
検査すべき場所を列挙して検査しても不十分な場合もあります。

VPN装置はメンテナンス用のバックドアとして継続利用する場合もありますが、ユーザ認証以外の接続制限を実施、IPv6のみで運用しホスト名DNSに登録しないなど、緩和策を実施することを推奨します。

Windowsでバックドアを発見するには

起動スクリプト、自動起動アプリケーション、サービスソフトウェアのすべてを確認し疑わしいものが入っているかどうかを確認する必要があります。リモート管理ソフトや、リモートデスクトップの有効化、ユーザの追加などがされていることもあります。

Linuxでバックドアを発見するには

起動スクリプト、サービスソフトウェア、cron、at、カーネルモジュールのすべてを確認し疑わしいものが入っているかどうかを確認する必要があります。Webサーバの場合はWebshellの有無、bind shellやrevice shellなど一般的なバックドアの有無、データベースやローカルアカウント、Webサービス上のアカウントにユーザが追加されていないかどうかを確認します。

データベースのバックドア

Microsoft SQL serverを利用している場合は、データベースのバックドアがある可能性があります。

閉域網接続のバックドア

９５％の閉域網はインターネットに事実上繋がっているため、閉域網に接続されているPCへの入り口がある場合は、閉域網の接点も確実に復旧させる必要があります。メンテナンス用の回線につながっている場合は、再度そこから侵入される可能性があるために、塞いでおくことを推奨します。再侵入されてときは、閉域網経由で他の組織に対して攻撃を継続することが有ります。閉域網との接点においてネットワークの認証情報を利用して、インターネットやＶＰＮで他地点と接続し侵入を継続されることもあります。

2. 無効にされたセキュリティ機能を復旧する

ウイルス対策ソフトの除外ディレクトリにバックドアプログラムが入っている場合は、ウイルス対策ソフトを最新にしてフルスキャンしてもバックドアが検知されません。ウイルス対策ソフト自体が無効になっていたり、ライセンス期間が切れている状態にされていたり、一部のディレクトリを除外に設定されていたり、パターンファイルがアップデートがされないように設定されているかどうかを確認して、無効になっていないかを確認します。

ファイアウォールやVPN、ルータやWebシステムはアクセス制限が無効にされていることもありますので、改ざんされていない元の設定に戻すか、設定しなおす必要があります。

3. 同じ脆弱性を突かれて侵入されない

脆弱性には２種類あり、ソフトウェアや機器の脆弱性とユーザ認証（パスワード）の脆弱性です。

VPN装置の脆弱性を突かれて侵入された場合は、ＶＰＮ装置のみの対応だけでは不十分な場合があります、Windows、MacやＩｏＴ機器、スイッチ、ルータ、ファイアウォール、無線アクセスポイントに侵入されていることもあります。そのため、侵入の形跡の有無を判断基準とせずに、その時に存在した既知の脆弱性をアップデートで修正しておく必要があります。

リモートデスクトップから入られた場合は、リモートデスクトップを無効にするなどの対策をしてください。

ソフトウェアの脆弱性を攻撃された場合は、ソフトウェアを最新の状態になるまでアップデートが必要です。

設定ミスによる脆弱性があった場合は、正しい安全な設定を行う必要があります。

弱いパスワードを使っていて侵入された場合は、侵入されたユーザ以外にも他のユーザのパスワードも十分な複雑性をもって再度設定する必要があります。もし二要素認証の機能が使える場合は、二要素認証を有効にしてパスワードが漏洩しても認証を突破されないようにしてください。二要素認証が第三者より無効にできるサイトもありますので、二要素認証だけで安全とは思わないでください。

4. 他の脆弱性を突かれない

侵入された原因のみを排除しただけでは、ほかの脆弱性が残っていることもあります。他の脆弱性を利用されて侵入されないように、全ての機器のアップデートを確実に行う必要があります。セキュリティサポート期限が切れている機器がある場合は排除する必要があります。継続的にセキュリティのアップデートができるようにする必要もあります。

本来ならWindowsの場合は毎月のアップデートを実施すべきですが、ソフトウェアのサポートの問題で実施できない場合は、なるべく早く実施できるようにソフトウェアのベンダーに働きかける必要があります。完全にオフラインでUSBメモリやDVDなども使用せずに使うと脆弱性があっても安全に使用を継続できます。

5. 不正に作成されたり、盗まれたりした ID・パスワード等を使われないようにする

メールで受け取ったＩＤ／パスワード、各端末のブラウザに保存されているＩＤ／パスワード、クライアント証明書、プロバイダやＶＰＮの接続パスワード、エクセルやテキストファイルで保存されていたＩＤ／パスワードなどがあった場合は、それらの情報が後から利用される可能性があります。必ず、元のパスワードから類推できないパスワードにすべて変更する必要があります。

全てのサイト・サービスごとに異なる文字列をパスワードに追加するの形でパスワードを作っている場合は、複数の漏洩があったときに容易に予測できます。例：AMZMyP@55w@rd GGLMyP@55w@rd YAHMyP@55w@rd