
データ復旧サービス ランサムウェア被害への対応
ランサムウェアとは、利用者の許可なくデータを暗号化し、その復号を条件に身代金を要求する不正プログラムです。
近年、このランサムウェアによる被害は非常に多く発生しています。
報道されている事例は、あくまで氷山の一角にすぎません。小規模な被害まで含めれば、今この瞬間にも、どこかで被害が発生している可能性があります。
データ復旧の現場でも、
「ランサムウェア被害に遭ったが、何とかならないか」
というご相談をいただくことがあります。
結論から申し上げると、すべてのデータが完全に破壊されているとは限りません。
多くのケースでは、ランサムウェアの処理が途中で停止していたり、暗号化・破壊処理が一部にとどまっていたりするため、被害を受けていない領域からデータを復旧できる場合があります。
ランサムウェアは、必ずしも繊細に設計されたプログラムとは限りません。
実際には、対象となるデータを手当たり次第に処理しながら、暗号化や破壊を進めていくものもあります。
そのため、途中で処理が停止すれば、そこで被害の進行も止まります。
また、ドライブの仕組み上、データを一瞬ですべて書き換えることはできません。
HDDやSSD、NASなどは、それぞれの転送速度や書き込み速度に制約があります。
そのため、物理的に書き込める量には限界があります。
ランサムウェア被害というと、
「一気にすべてのデータがやられてしまった」
という印象を持たれがちです。
しかし実際には、ドライブの書き込み速度を超えて処理することはできません。
異常に気づいて早い段階で電源を落とした場合や、ランサムウェア自体が途中でクラッシュして停止していた場合には、かなりのデータが残っていることもあります。
特にNASでは、このようなケースを比較的多く診断しており、大部分のデータを復旧・回収できた事例もあります。
では、ランサムウェアの目的は何か。
それは、被害者に「復号しなければデータは戻らない」と思わせ、身代金を支払わせることです。
ただし、ここで注意すべき点があります。
暗号化されたデータと、乱数を書き込まれたデータは、外見上は区別がつきにくい場合があります。
そのため、攻撃者は必ずしも正しく暗号化しているとは限りません。
処理量を抑えるため、あるいは単に破壊を目的として、データ領域に乱数を書き込んでいるだけのケースもあります。
もちろん、ファイルヘッダなどを偽装し、あたかも暗号化されたように見せかける場合もあります。
しかし、解析を進めると、その偽装が不自然に見えることがあります。
本当にAESなどで暗号化されたデータなのか、それとも乱数で破壊されたデータなのかを見極めることが重要です。
もし乱数を書き込まれているだけであれば、そもそも復号はできません。
つまり、身代金を支払ったとしても、データが戻る保証はありません。
さらに、攻撃者が約束を守る保証もありません。
支払い後に復号キーが提供されない、復号できない、追加で金銭を要求される、流出データを使ってさらに脅迫される――そのような二次被害につながる可能性もあります。
そのため、ランサムウェア被害では、身代金の支払いに頼るのではなく、まず現状を正確に調査することが重要です。
当サービスでは、被害を受けたドライブやNASの状態を確認し、暗号化・破壊処理がどこまで進んでいるのか、どの領域にデータが残っているのかを調査します。
そのうえで、復旧可能なデータをできる限り回収し、あわせて被害状況やセキュリティ面の調査も行います。
ランサムウェア被害では、早い段階での対応が非常に重要です。
異常に気づいた場合は、むやみに再起動や操作を繰り返さず、できるだけ現状を保ったままご相談ください。
身代金を払ってもデータは戻らない
攻撃者の目的は「金銭」だけであり、復号する意思はありません。つまり、データを復元する保証は一切ないためむしろ、支払ったことで「身代金を払うターゲット」として狙われる可能性が高まります。
支払った後も、さらなる要求が続く可能性が高く一度支払いに応じた被害者は、「交渉に応じる標的」として追加の要求を受けることがある。
つまりそこまでは作り込まれていない。その点が「復旧のポイント」になります。



ランサムウェアの多くはクラッシュ
ランサムウェアは高度なプログラムのように思えますが実は動作中にクラッシュして途中で落ちてしまうケースが非常に多い です。
A, クラッシュすると暗号化プロセスが途中で停止する
B, 完全に暗号化される前にランサムウェアが落ちることで大部分のデータを復旧可能
C, 不完全な暗号化のため復号キーなしでもデータを修復できる可能性がある
なぜランサムウェアはクラッシュするのか?
攻撃者が急いで作成した未完成のプログラムであることが多く対象デバイスのスペックやOS環境によって動作が不安定になります。よって大量のデータを一気に暗号化しようとしてメモリリークを起こします。そこからWindowsのプロセス制御やセキュリティソフトとの競合で異常終了します。
重要なのは「復旧の可能性がある」こと
完全に暗号化される前にクラッシュが発生すればデータを取り戻せる可能性があります。そのためランサムウェアに感染しても慌てずお気軽にご相談ください。

