ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法身代金は払わない!

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

2022年03月07日 08時00分 公開
[Gerard O'DwyerComputer Weekly]

 2021年12月をピークとする、北欧企業を標的にしたサイバー攻撃が発生した。攻撃の標的になったのはVestas Wind Systems、Amedia、Nortura、Nordic Choice Hotels(NCH)だった。

 ノルウェーのレジャー企業NCHは2021年12月2日にランサムウェア攻撃を受け、予約・決済プラットフォーム、チェックインシステムに混乱が生じた。この攻撃はノルウェー、スウェーデン、フィンランド、デンマーク、リトアニアにあるNCHのホテルチェーン200カ所のITネットワークとコンピュータステーションに影響を及ぼした。

 NCHはノルウェーの国家安全保障局(Nasjonal sikkerhetsmyndighet)のフォレンジックサポートを受け、この攻撃がContiランサムウェアグループの仕業であることを特定した。NCHの副CEOビョルン・アリルド・ウィス氏は、身代金の要求に応対しないと決定したと語る。

NCHがランサムウェアに対抗した方法

iStock.com/adrian825

 多数のPC(台数は非公開)が感染し、無力化、暗号化されたため、NCHは4000台のPCのOSを「Windows」から「Chrome OS」に切り替えるプロジェクトを加速せざるを得なくなった。

 NCHのIT部門は社内外のサイバーセキュリティ専門家と連携して、攻撃を受けてから24時間以内に2000台のPCをChrome OSに切り替え、予約、チェックイン、決済などの基本操作を維持できるようにした。

 「攻撃を受けた時点で、既にOSをChrome OSに切り替えるパイロットプログラムは始まっていた。Chrome OSプロジェクトのペースを上げるため、再度リソースを集中した。全てのPCのウイルスを駆除し、『CloudReady』(訳注)をインストールできた」と、NCHのカリ・アンナ・フィスクビィク氏(テクノロジー部門バイスプレジデント)は話す。

訳注:ChromiumベースのオープンソースOSで、開発はNeverware(Googleが買収)。原文に従ってCloudReadyをChrome OSとして扱っているが、厳密には相違点がある。

 「攻撃を受けた後の週末には、大半のホテルで代替ソリューションの実装を終えた。目標はスタッフを通常の業務に戻すことだ。サイバー攻撃から数日以内にこの目標を実現した。当社の調査では攻撃によるデータ漏えいは明らかになっていないが、その可能性を除外することはできない」(ウィス氏)

 ランサムウェア「Conti」が最初に発見されたのは2020年だった。このランサムウェアはWindowsの全バージョンに対して特に攻撃的だった。Contiはシステムに侵入するとボリュームシャドウコピーを削除し、Windowsの「Restart Manager」を使って重要なサービスを終了した後、ファイルの暗号化を試みる。Contiには「Windows Defender」をアンインストールするという目的もある。

 4000台のPCで構成されたネットワークをハードウェアではなくソフトウェアの変更で修正すれば6000万ノルウェークローネ(約7億8700万円)の削減になると見積もっている。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...