ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法身代金は払わない!

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

2022年03月07日 08時00分 公開
[Gerard O'DwyerComputer Weekly]

 2021年12月をピークとする、北欧企業を標的にしたサイバー攻撃が発生した。攻撃の標的になったのはVestas Wind Systems、Amedia、Nortura、Nordic Choice Hotels(NCH)だった。

 ノルウェーのレジャー企業NCHは2021年12月2日にランサムウェア攻撃を受け、予約・決済プラットフォーム、チェックインシステムに混乱が生じた。この攻撃はノルウェー、スウェーデン、フィンランド、デンマーク、リトアニアにあるNCHのホテルチェーン200カ所のITネットワークとコンピュータステーションに影響を及ぼした。

 NCHはノルウェーの国家安全保障局(Nasjonal sikkerhetsmyndighet)のフォレンジックサポートを受け、この攻撃がContiランサムウェアグループの仕業であることを特定した。NCHの副CEOビョルン・アリルド・ウィス氏は、身代金の要求に応対しないと決定したと語る。

NCHがランサムウェアに対抗した方法

iStock.com/adrian825

 多数のPC(台数は非公開)が感染し、無力化、暗号化されたため、NCHは4000台のPCのOSを「Windows」から「Chrome OS」に切り替えるプロジェクトを加速せざるを得なくなった。

 NCHのIT部門は社内外のサイバーセキュリティ専門家と連携して、攻撃を受けてから24時間以内に2000台のPCをChrome OSに切り替え、予約、チェックイン、決済などの基本操作を維持できるようにした。

 「攻撃を受けた時点で、既にOSをChrome OSに切り替えるパイロットプログラムは始まっていた。Chrome OSプロジェクトのペースを上げるため、再度リソースを集中した。全てのPCのウイルスを駆除し、『CloudReady』(訳注)をインストールできた」と、NCHのカリ・アンナ・フィスクビィク氏(テクノロジー部門バイスプレジデント)は話す。

訳注:ChromiumベースのオープンソースOSで、開発はNeverware(Googleが買収)。原文に従ってCloudReadyをChrome OSとして扱っているが、厳密には相違点がある。

 「攻撃を受けた後の週末には、大半のホテルで代替ソリューションの実装を終えた。目標はスタッフを通常の業務に戻すことだ。サイバー攻撃から数日以内にこの目標を実現した。当社の調査では攻撃によるデータ漏えいは明らかになっていないが、その可能性を除外することはできない」(ウィス氏)

 ランサムウェア「Conti」が最初に発見されたのは2020年だった。このランサムウェアはWindowsの全バージョンに対して特に攻撃的だった。Contiはシステムに侵入するとボリュームシャドウコピーを削除し、Windowsの「Restart Manager」を使って重要なサービスを終了した後、ファイルの暗号化を試みる。Contiには「Windows Defender」をアンインストールするという目的もある。

 4000台のPCで構成されたネットワークをハードウェアではなくソフトウェアの変更で修正すれば6000万ノルウェークローネ(約7億8700万円)の削減になると見積もっている。

ITmedia マーケティング新着記事

news053.jpg

「docomo Ad Network」 高LTVユーザーのみに広告配信ができる顧客セグメントを追加
D2Cは顧客生涯価値が高くなることが見込まれるセグメントを抽出し、新たなセグメント情報...

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。