ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法：身代金は払わない！

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

[Gerard O'Dwyer，Computer Weekly]

　2021年12月をピークとする、北欧企業を標的にしたサイバー攻撃が発生した。攻撃の標的になったのはVestas Wind Systems、Amedia、Nortura、Nordic Choice Hotels（NCH）だった。

　ノルウェーのレジャー企業NCHは2021年12月2日にランサムウェア攻撃を受け、予約・決済プラットフォーム、チェックインシステムに混乱が生じた。この攻撃はノルウェー、スウェーデン、フィンランド、デンマーク、リトアニアにあるNCHのホテルチェーン200カ所のITネットワークとコンピュータステーションに影響を及ぼした。

　NCHはノルウェーの国家安全保障局（Nasjonal sikkerhetsmyndighet）のフォレンジックサポートを受け、この攻撃がContiランサムウェアグループの仕業であることを特定した。NCHの副CEOビョルン・アリルド・ウィス氏は、身代金の要求に応対しないと決定したと語る。

NCHがランサムウェアに対抗した方法

iStock.com/adrian825

　多数のPC（台数は非公開）が感染し、無力化、暗号化されたため、NCHは4000台のPCのOSを「Windows」から「Chrome OS」に切り替えるプロジェクトを加速せざるを得なくなった。

　NCHのIT部門は社内外のサイバーセキュリティ専門家と連携して、攻撃を受けてから24時間以内に2000台のPCをChrome OSに切り替え、予約、チェックイン、決済などの基本操作を維持できるようにした。

関連記事

• 攻撃開始から暗号化までの3時間、ランサムウェア攻撃者は何をした？
• 「変更不可能なスナップショット」はランサムウェア対策の切り札になるか
• バックアップだけでは不可　二重脅迫ランサムウェアに対抗する方法
• ランサムウェア攻撃の可能性を示す5つの兆候
• 二重脅迫ランサムウェアの恐るべき手口

　「攻撃を受けた時点で、既にOSをChrome OSに切り替えるパイロットプログラムは始まっていた。Chrome OSプロジェクトのペースを上げるため、再度リソースを集中した。全てのPCのウイルスを駆除し、『CloudReady』（訳注）をインストールできた」と、NCHのカリ・アンナ・フィスクビィク氏（テクノロジー部門バイスプレジデント）は話す。

訳注：ChromiumベースのオープンソースOSで、開発はNeverware（Googleが買収）。原文に従ってCloudReadyをChrome OSとして扱っているが、厳密には相違点がある。

　「攻撃を受けた後の週末には、大半のホテルで代替ソリューションの実装を終えた。目標はスタッフを通常の業務に戻すことだ。サイバー攻撃から数日以内にこの目標を実現した。当社の調査では攻撃によるデータ漏えいは明らかになっていないが、その可能性を除外することはできない」（ウィス氏）

　ランサムウェア「Conti」が最初に発見されたのは2020年だった。このランサムウェアはWindowsの全バージョンに対して特に攻撃的だった。Contiはシステムに侵入するとボリュームシャドウコピーを削除し、Windowsの「Restart Manager」を使って重要なサービスを終了した後、ファイルの暗号化を試みる。Contiには「Windows Defender」をアンインストールするという目的もある。

　4000台のPCで構成されたネットワークをハードウェアではなくソフトウェアの変更で修正すれば6000万ノルウェークローネ（約7億8700万円）の削減になると見積もっている。