検索
特集/連載

ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法身代金は払わない!

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

Share
Tweet
LINE
Hatena

 2021年12月をピークとする、北欧企業を標的にしたサイバー攻撃が発生した。攻撃の標的になったのはVestas Wind Systems、Amedia、Nortura、Nordic Choice Hotels(NCH)だった。

 ノルウェーのレジャー企業NCHは2021年12月2日にランサムウェア攻撃を受け、予約・決済プラットフォーム、チェックインシステムに混乱が生じた。この攻撃はノルウェー、スウェーデン、フィンランド、デンマーク、リトアニアにあるNCHのホテルチェーン200カ所のITネットワークとコンピュータステーションに影響を及ぼした。

 NCHはノルウェーの国家安全保障局(Nasjonal sikkerhetsmyndighet)のフォレンジックサポートを受け、この攻撃がContiランサムウェアグループの仕業であることを特定した。NCHの副CEOビョルン・アリルド・ウィス氏は、身代金の要求に応対しないと決定したと語る。

NCHがランサムウェアに対抗した方法


iStock.com/adrian825

 多数のPC(台数は非公開)が感染し、無力化、暗号化されたため、NCHは4000台のPCのOSを「Windows」から「Chrome OS」に切り替えるプロジェクトを加速せざるを得なくなった。

 NCHのIT部門は社内外のサイバーセキュリティ専門家と連携して、攻撃を受けてから24時間以内に2000台のPCをChrome OSに切り替え、予約、チェックイン、決済などの基本操作を維持できるようにした。

 「攻撃を受けた時点で、既にOSをChrome OSに切り替えるパイロットプログラムは始まっていた。Chrome OSプロジェクトのペースを上げるため、再度リソースを集中した。全てのPCのウイルスを駆除し、『CloudReady』(訳注)をインストールできた」と、NCHのカリ・アンナ・フィスクビィク氏(テクノロジー部門バイスプレジデント)は話す。

訳注:ChromiumベースのオープンソースOSで、開発はNeverware(Googleが買収)。原文に従ってCloudReadyをChrome OSとして扱っているが、厳密には相違点がある。

 「攻撃を受けた後の週末には、大半のホテルで代替ソリューションの実装を終えた。目標はスタッフを通常の業務に戻すことだ。サイバー攻撃から数日以内にこの目標を実現した。当社の調査では攻撃によるデータ漏えいは明らかになっていないが、その可能性を除外することはできない」(ウィス氏)

 ランサムウェア「Conti」が最初に発見されたのは2020年だった。このランサムウェアはWindowsの全バージョンに対して特に攻撃的だった。Contiはシステムに侵入するとボリュームシャドウコピーを削除し、Windowsの「Restart Manager」を使って重要なサービスを終了した後、ファイルの暗号化を試みる。Contiには「Windows Defender」をアンインストールするという目的もある。

 4000台のPCで構成されたネットワークをハードウェアではなくソフトウェアの変更で修正すれば6000万ノルウェークローネ(約7億8700万円)の削減になると見積もっている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る