●目が覚めるとPCのファイルが……ここ数年、正月から数カ月はロクなことがない。2018年は、PCの大不具合で数日をつぶすことになった。何が起きたかというと「ランサムウェアによってPCのファイルがズタズタにされた」のである。ただ、ランサムウェアに引っかかる行動をした結果ではなく、誰かがランサムウェアを動かしたのだ。
とある日の朝、寝ぼけたままタブレットを取り出し、ネットワークドライブのPCフォルダを開いたところ、尋常ではない状態。ほとんどのファイルで、拡張子が「.blind2」となっていた。間違いなくランサムウェアの仕業と、飛び起きた。
該当するPCは動作しているものの、すでに多くのファイルが書き換わった状態。「たいてい、ランサムウェアは全ドライブを書き換えるハズだが、Cドライブは問題なし」ということに気付き、ともかく復旧処理をしなければ!
まず「システムの復元」で、システムをひとつ前の状態に戻した。前回のWindows Update以降にインストールしているのはWebブラウザの更新くらいなので、戻すのが正解だろう。
再起動後、レジストリの自動実行関係とスタートアップを見直し、タスクマネージャーで怪しそうなプロセスとサービスが動いていないかも確認。問題は、書き換えられたデータドライブだ。7TBもある……。
幸い、定期的(毎週)にフルバックアップを取っていたので助かった。最大で1週間分のデータは失うが、特に重要なフォルダは別途、1日に2回のバックアップを実行している。問題の1週間はファイルの変動が少なく、別の記録を参考に補完できる状況だった。
データドライブには無事だったファイルも多く、必要な部分のみリストアするのに丸3日。そして完全バックアップを取り直すのに2日かけて、とりあえずメインマシンのデータはおおむね復旧した。
ところが、問題はこのマシンではなかったのだ。
●仮想通貨マイニングを仕込まれた
調査対象を広げたところ、別のファイルサーバー代わりに使っているPCが壊滅……。Windowsは動いているが、Cドライブを含めてほとんどのファイルがランサムウェアによって書き換わっていた。このPCから、前述のデータドライブがネットワーク共有でつながっている。つまり、ランサムウェアにやられたのは、普段使っているマシンではなく、ファイルサーバー代わりのPCだったのだ。
壊滅したファイルサーバーPCは、外部からリモートデスクトップ(RDP)で接続できる設定にしており、何かと重宝していた。念のためにと、標準ではないポート番号を使っていたのだが、おそらく犯人はポートスキャンでリモートデスクトップ接続が使えることを確認して、侵入したのだろう。
どこから入ったのかはわかった。では目的は何だったのだろう?
ファイルサーバーPCにインストールされていたソフトウェアで目星がついた。犯人は仮想通貨のマイニングソフト(MinerGate)をインストールしており、計算能力を利用しようと考えたに違いない。
ただ……、「仮想通貨のマイニング=膨大な計算能力」なのに対して、侵入されたマシンはファイルサーバーということもあり、「AMD C-60(Dualcore 1GHz)」というイマドキのスマホにも劣るようなCPUだ。ファイルサーバーなので外付けのGPUもない。
「ろくに仮想通貨を掘れない」と判断した犯人は、うちの計算能力をあきらめて、かく乱処理をして逃げた、つまりランサムウェアの実行モジュールを動かしたのだろう。これ以上の調査は、アクセスログをはじめとする情報が不足しているので断念した。
結果として、ファイルサーバーPCが壊滅したのが被害かというと、そうでもない。ちょうどリプレース時期で(HDDが壊れかかっている)、必要なファイルはNASにコピー済み。一昨年当たりからNASを増強し、今まであきらめていたメインPCのフルバックアップも取れるようになっていたので、最悪の状況にならなかったというのが実態だ。とはいえ、致命的なダメージを受けなかったのは、幸運が重なっただけ……とも自戒している。
●いつの間にか「自分は大丈夫」と油断
今回の経験から、「自宅ネットワーク管理者として本来どうするべきだったか」を考えてみた。
そもそも、リモートデスクトップ接続を外部公開するきっかけは、海外旅行先で自宅PCのデータを使うためだったのだが、ここ数年は海外旅行をしていない。不必要なのに、リモートデスクトップ接続を使える状態にしていたというのが
根本的な問題だ。加えて、「パスワードが脆弱」「ファイルサーバーPCのセキュリティソフトが古い」といった点も大問題だった。これらの問題を解消するのが急務なのだが、ファイルサーバーは壊滅してしまったので、ルーターの設定を変更してリモートデスクトップ接続を外部に非公開とした。
2017年からSynologyのNASを導入しており、これを使ってOpenVPNが使えるようになっている。必要なら、VPNで自宅ネットワークに接続してからリモートデスクトップ接続すればよいのだ。
○バックアップとリストアの手順を確立しておくのがベスト
ランサムウェアに被害を受けても、身代金を払えば暗号化されたデータを戻せるかもしれないが、今回その気はなかった。最近いくつかのセキュリティベンダーが「ランサムウェアは破壊ツールとしても使われる」と述べており、まさにそのように使われたと思ったからだ。
トラブルから大切なデータを守るには、バックアップとリカバリ手法の確立が大切。例えば、クラウドストレージ(有償の大容量プラン)や、大容量NASの導入など、ある程度のコストをかけてでも構築するべきだ。さらに、利便性、安全性、必要性を考えながら随時、自分に合うようにチューニングしていきたいところ。
今回「まさか自分がランサムウェアに?!」だったが、アクシデントは経験しないと実感しにくい。他山の石としていただければ幸いだ。