朝の発見と危機
朝の7時、スマート農業ビジネスを展開するAIスタートアップ企業のIT担当者は、いつものようにコンピュータルームにいき、コンソールをタッチしました。そして、異変に気づきました。モニターには見慣れない警告が表示されていました。
IT担当者の顔は青ざめました。3年前に設立されたこのAIスタートアップ企業は、遊休農地を一般人に貸し出すことで収益をあげてました。スマホを野菜にかざすだけで、栄養状態が分かるアプリを開発し、それが農地契約者から高評価を得てました。そして大手ベンチャーキャピタルの投資話が進み、創業者である女性CEOは、この投資で会社の命運が決まると言っていました。
社内の反応
IT担当者からの連絡を受け、創業者である女性CEOと、CTO(Chief Technology Officer)が駆けつけました。そして、画面に書かれた詳細な脅迫文を読みました。CTOは画面を見るなり、言いました。
これは典型的なランサムウェアによる被害だね。データが暗号化され、戻したければ$80万をビットコインで、96時間以内で支払えと言っている。
そして、「ランサムウェア対策の基本は、バックアップからの復旧だよ。」とも言いました。CEOはインシデントを発令し、IT担当者にバックアップの状態を確認するよう、指示をしました。
バックアップの状況
致命的な問題:確認した結果、バックアップシステムも残念ながら暗号化されていることが分かりました。ランサムウェア対策としてのバックアップの基本は、データを複数箇所に保存し、そのうち少なくとも一つはオフラインで隔離することです。これにより、ランサムウェアに感染した場合でも、バックアップデータを利用してシステムを復旧できます。しかし、この会社のバックアップはすべて夜間にオンラインで行われてました。
これでは復旧する見込みは極めて低いと、外部の専門家も診断しました。
ランサムウェアの要点
- 表示内容:YOUR FILES HAVE BEEN ENCRYPTED
- 要求:身代金として $80万(ビットコイン)
- 被害範囲:社内データとバックアップが同じネットワークで暗号化
決断と支払い
CEOは最後まで支払うか否か深く悩みました。身代金を払えば犯罪者を利することになります。また、支払ったところで本当にデータが戻ってくる保証はありません。しかし、支払わなければ会社は確実に倒産します。最終的には「会社と社員の未来のために」と判断し、ビットコインでの支払いを決定しました。暗号通貨の購入と送金は慣れない作業でした。想像以上に時間を要しました。
事件発生から3日後、支払いを済ませると、犯人から復号化ツールが送られてきました。そこから完全なデータ復旧には1週間を要しました。
-
0日目 — 発見
朝7時、警告表示。
-
0.5時間後 — 緊急招集
創業者とCTOが到着。被害の範囲確認。
-
5時間後 — 専門家診断
「暗号解除は技術的に不可能に近い」と診断。
-
3日後 — 支払い完了
復号ツールが送られてくる。
-
+7日 — 復旧完了
完全復旧に1週間要した。
■インシデント対応(時系列)■
対策の強化
ベンチャーキャピタルの投資は無事に終えることが出来ました。会社は投資の一部を情報セキュリティ対策の強化に充てました。
1年後、この会社は同様の被害を受けた他社の相談を受けるまでになりました。いまは、サイバー攻撃対策をビジネスモデルに昇華させ、スマート農業ビジネスと並ぶ、戦略ユニットになりました。
チェックリスト
- バックアップをネットワークから切り離す(オフライン保管)
- 定期的にバックアップの復元テストを行う
- 重要データの多層防御(アクセス制御/暗号化)を導入
- 全社員に定期的なセキュリティ教育を実施
- インシデント対応フローと外部専門家の連絡網を整備
