ランサムウェア復旧：再発防止にこそ時間がかかる（436号）

前々回から、ランサムウェア復旧に時間がかかることについてお話をしています。

　素朴な疑問：ランサム復旧が長期化するワケ？(434号）
　https://note.com/egao_it/n/ne01d45c1425b

　ランサムウェアに対抗できるバックアップ2025（435号）
　https://note.com/egao_it/n/nda30a709ee1f

今回は、再発防止策についてお話します。


1. ランサムウェアからの復旧が大変な理由（おさらい）

ランサムウェアからの完全復旧には、以下の課題解消が必要になります。

　1. データ復旧
　　 →暗号化データの復旧だけでなく、整合性チェックも必要

　2. 再発防止 （今号のテーマ）
　　 →どこから侵入されたのか？を調査し、他の弱点もつぶす

　3. 人と組織
　　 →意思決定、外部連携をスピード感をもって進める

　4. 安全宣言
　　 →何をもって安全と言うのか？非存在の証明は難しい

今回は、再発防止の難しさについてです。


2. そのままだと再侵入される

いくらデータを元に戻せたとしても、侵入路を放置したまま再開してはいけません。
そりゃそうです。侵入路全開だと、再侵入されるからです。

実際に、侵入路をふさいだつもりで、再開させたら、数日のうちに再度やられたという事例はたくさんあります。

つまり、再発防止で最初に取り組むべきは、侵入の事実を特定することです。

それには、侵入に使われたPCを特定することから始めなければなりません。


3. 侵入路の特定は専門家でも難しい

とはいっても、何もわからない状態で、侵入の契機となったパソコンや機器を特定することは簡単な話ではありません。

侵入ルートの特定や、影響範囲を拡げていった手法の詳細調査をフォレンジック調査と言います。

このフォレンジック調査、実施には、かなり特殊なスキルを有する専門家が必要です。
攻撃者が仕掛けた偽装工作を見破って、実際に何が行われたかを調べ上げる技術がいるからです。
ホワイトハッカー（正義のハッカー）の多くは、こういった攻撃者の手口を逆算して読み解ける専門家なのです。

余談ですが、フォレンジックというのは、法律分野の言葉で「法廷で使える」という意味の形容詞です。フォレンジック調査＝法廷で使えるような証拠能力のある調査、ということですね。

さて、このフォレンジック調査ですが、実に大変な作業です。
証拠物件（例えばパソコン）のソフトウェア構成が変わってしまうと証拠として使えなくなります。
フォレンジックの第一歩は、パソコンの証拠能力を失わないよう、ハードディスクやSSDを取り出してコピーするところから始まります。

次に、パソコン内部のログやファイルの状況から、何が行われたかを推測していきます。
削除された情報などを復活させたり、通常なら見落とすような些細な情報からその裏にある意図を汲み取るなど、まるでスパイ小説や推理小説でも読んでいる気分です。
このあたりの詳細は筆者も門外漢に過ぎません。

もちろん、パソコン１台で侵入路が確定できるとは限りません。いえ、むしろ１台で済む方が少数派です。

調べるべきことは、侵入路だけでないのです。
侵入後に、他のパソコンやサーバに侵入した手法なども調べなければなりません。
つまり、最終的には5台10台と多数のフォレンジック調査が必要となることもしばしばです。

こうやって調べるべき台数が増えれば、それだけ復旧に要する時間もかかることになるわけです。


4. フォレンジック費用のこと

上記の事情もあり、フォレンジック調査はかなり高額です。

パソコン１台だけでも、数十万円（難易度によっては百万円超）かかるのは一般的です。

侵入路の特定だけでなく、拡大ルートまで探るとなると、当然のように複数台の調査が必要になります。

しかも、お金をかけたからといって、必ず判明するというものではありません。
侵入路はおおむねわかったが100%の確証ではない、という結論になることもよくあります。

このように費用のかかるフォレンジック調査ですので、企業にとってはかなりの負担となりますが、いわゆるサイバー保険には、この費用をカバーできるものが多数あります。

企業規模に関わらず、検討の余地はあると思います。


5. 侵入路をふさげば終わり、ではない

さて、フォレンジックにより、侵入路がわかれば、当然ながらそれを塞ぎます。
また、他のパソコンやサーバへの展開についても、穴があれば塞ぎます。

じゃあ、これで完璧か？

いえいえ、再発防止はここから始まるといっても過言ではありません。

フォレンジックと並行して自分達でもできることはたくさんあります。（もちろんベンダーさんの協力も仰いでください）

　1. 今回の侵入路以外に、放置されていた穴はないか？
　2. USBメモリの取扱いなどに問題はないか？
　3. メールの取扱い（リンクをクリックしないなど）は万全か？
　4. 弱いパスワードを使っていないか？
　5. 退職者用のIDなど、悪用に気づかれにくいIDが残っていないか？

要は、今までの運用を棚卸しして、危ない点はないだろうか？ということを点検する必要があるということです。

この点検には、技術的な側面とルール遵守といった内部統制という、２つの側面があります。

一般論には、これを全力で全てつぶすべき！であり、それは全くもって正しいのですが、、筆者の考えは少しちがいます。



6. ここでも「がんばりすぎ」はよくない

「これを機に危なそうなところは全てつぶす」、は立派な方針ですが、その「がんばりすぎ」で業務が滞るようでは本末転倒です。

もちろん、あまりにおおざっぱな対応をして再侵入されるのは、もっと困ります。

歯切れの悪い書き方になりますが、この線引きに正解はなく、組織毎に違ってきます。
それどころか、数年経てば、攻撃手法などの環境変化によっても違ってきます。

それでも、「オレ達は、ここまでは対策する。でも、それ以上はしない」と覚悟を決めることが、一番大切で尊い決断と、筆者は考えます。


7. まとめ

今回は、再発防止という視点で、フォレンジックを中心にお話をしました。

再発防止の視点では、フォレンジックだけでなく様々な立場での再発防止の技術や意見を俯瞰し、どこまでやるかを決め、対策を形にしなければなりません。

今回はその個々の内容までは踏み込んでいませんが、実際には一つ一つも重い話であり、「どこまでやるべきか？」という難しいテーマにもなってきます。

次回は、今回の話を踏まえ、いかに組織としての判断を行うか？そして、「どこまでやるべきか」というのテーマについてお話をします。
次回もお楽しみに。

今日からできること：
　・サイバー保険は価値のある投資です
　　→フォレンジックの費用だけでも価値があります。
　・社内ルールや運用手順の定期的な見直しをしましょう。
　　→攻撃を受ける前の防御が最もローコストです。

（本稿は 2025年12月に作成しました）