ナビゲータのEVEです。
現在、リリース準備を進めていますが、運用面で苦労しています。難読化したと思っていたプログラムが難読化できていなかったり、難読化しなくていいプログラムを難読化してあったりで・・・。ちょっと、運用面とシステム面から考え、運用をもっと楽にしないと、余計な時間をこれからも取られそうです。
では、本日は、土曜日でセキュリティの日ということで、先週のアサヒビールの現状について調べ、ランサムウェア対策ではどんなことをしたらいいのか調べていきたいと思います。
[今週のアサヒビール]
今週のアサヒービルでの状況は以下の通りです。
- 10月14
- システムの全面復旧には至っておらず、一部業務は手作業で対応中
- アサヒグループは第3四半期の決算発表を延期。経理関連データへのアクセス障害が原因で、発表日は未定
- 10月15
- 「アサヒ生ビール」「スタイルフリー」「クリアアサヒ」「ドライゼロ」「ブラックニッカクリア」などの出荷も再開
今週は犯人からのアクションは、何もないのですが、10月7日のニュースでは以下の内容についても報道があったようです。
- ロシア系とされるサイバー犯罪グループ「Qilin」が、アサヒグループへの攻撃を認める犯行声明を発表。
- 盗んだとされるデータは約27GB、9300件以上のファイルで、契約書、財務文書、事業計画、従業員の個人情報などが含まれると主張。
- 闇サイト上に29枚の内部文書画像を公開し、アサヒ側も「確認しているが、内容は調査中」とコメント
今回の犯罪の首謀者は誰なのか分かりましたが、その要求について、アサヒビールは先週報告したとおり、応じるつもりはないようです。
[バックアップをとる]
情報処理安全確保支援士のオンライン講習では、システムバックアップの重要性を強調しています。ただ、バックアップの取り方も問題です。オンラインで取った場合、バックアップ自体が感染しており、問題が解消されないと言うことは十分に考えられます。特に今回感染した、時限式ランサムウェアの場合、その可能性が非常に高いです。
ということは、昔ながらの方法で、テープにとるという方法はどうでしょうか?昔、汎用機室に入ると、汎用機の横に直径30cmぐらいのオープンリール磁気テープ装置がありました。そこで、手動でバックアップをとるのですが、バックアップ容量が多いと、何回もオープンリール磁気テープを取り替えなければなりません。かなり、効率性が悪いといえるでしょう。それより進んだ方法として、カセット式の磁気テープがあります。カートリッジに直径10cmぐらいのカセットタイプの磁気テープを10本ぐらい挿入し、それをデバイスにマウントすることによりバックアップを取るという方法です。記憶媒体の密度が高くないと、やはり、その場合も交換作業が必要です。
現代なら、Blue-Rayなんて方式も考えられるのですが、私も挑戦しました。しかし、ギガ単位の大きなファイルなどはバックアップには不向きなようです。エラーメッセージが表示されるならバックアップがとれていないと認識し、別の対応を取ることが可能です。しかし、何もエラーも表示されずに、ファイルが壊れている場合もありました。その場合、環境をバックアップをとった状態に戻そうとしても戻らないということもあるかもしれません。面倒くさくても、古く、信頼性の高い技術の方が良いかもしれません。
別な方法としては、外部ハードディスクを用意し、夜間のバッチ処理でバックアップを取得後、外部媒体の電源を落とすという方法がいいかもしれません。その場合、ベンダーもしくは自分でプログラムを作らなければなりません。
[現代的なバックアップ方法]
現代的なバックアップの方法として、以下が紹介されています。以下はCopilotからの提案です。
- ルールの徹底:
- 3つのコピー、2種類のメディア、1つはオフサイト。
- オフラインバックアップの定期実施:
- 感染検知前の「クリーンな状態」を保持するため、週次・月次で物理的に隔離されたバックアップを保存。
- バックアップの整合性検証:
- 書き込み後のハッシュチェック、定期的なリストアテスト。
- スナップショットとバージョン管理:
- 感染前の状態に戻せるよう、世代管理を行う。
以下の方法に加えて、気を付けなければならないのは、バックアップ取得後、同バックアップは、バックアップ対象とは物理的に遠くで保管しなければなりません。それは、震災、火事などの災害に備えてです。それが守られていれば、すぐにとはいわなくても、短い期間で業務を再開できるかもしれません。
[あとがき]
かなり昔の話ですが、某銀行では、同日の全取引を、ラインプリンタで出力し、遠隔地で保管しているという話を聞いたことがあります。それは、手動でも、業務を再開できる体制を作るためだそうです。現在、やっているかどうか不明ですが、社会の重要インフラである銀行などはそこまで考えて業務をしています。今回、アサヒビールもシステム復旧前から業務を再開できたのも、そのような体制が整っていたからかもしれません。
では、また!!!
コメント
コメントを投稿