クソ上司の社用PCがランサムウェアに感染して修羅場になった

ある会社での話。特定を防止するためにぼかしている部分がありますが、詮索しないでください。

某日、あるクソ上司のせいでそのクソ上司のパソコンがランサムウェアに感染しました。
いつも勤務中にアダルトサイトにアクセスしているので、おそらくそこで何か変なファイルを開いたのかもしれません。

ランサムウェアについて

ファイルを暗号化し、元に戻してほしければ身代金を要求するというランサムウェア。

知らない人はいないと思いますが、これに感染するとそのパソコン上にあるあらゆるファイルが使用不可能になる恐れがあります。
元に戻すには身代金を支払えと。しかし、支払っても戻る保証はありません。また当該ランサムウェアを駆除してもファイルが元に戻ることはありません。

上司のPCがランサムウェアに感染した

業務中、会社のPCでエッチなサイトを見てた上司。本来ふさわしくないですが、ここは会社。
安易にダイレクトに指摘すればこちらの立場が危うくなることもありました。
この会社、少なくともかえでが確認する限りではWebフィルタリングはないか、かなり緩い状態であったようです。

ある日、ファイルサーバー上のデータが謎の拡張子になっており、開けない状態になっていることに気づきました。
同時に上司のPCも身代金を要求する画面に。ランサムウェアに感染したのでした。

その後

ランサムウェアに感染したことが発覚し、すぐにその上司のPCは社内ネットワークから切り離す措置が執られました。
勤務中にアダルトサイトを見ていた上司には何らかの懲戒処分が下ると思われます。

被害状況

当該上司のPCのファイルはもちろん、その上司がアクセス可能であったファイルサーバー上のファイルの一部も暗号化されていました。
ランサムウェアはネットワークドライブも容赦なく暗号化するため、その上司がアクセスできるファイルに関しては被害を受けました。

当該ファイルサーバーはバックアップが取られておらず、シャドウコピーもなかったためファイルの大半は復元できない状態となりました。

しかし、各社員の社用PCには作成途中のファイルのコピーがあったため、いくつかのファイルはこれらから復元する措置が執られています。

被害を回避したファイルおよびシステムについて

社内ファイルサーバー上の、当該上司がアクセス可能であったファイルはランサムウェアの餌食となりました。
しかしながら、いくつか助かったファイルやシステムがあります。

管理職しかアクセスできないファイルやフォルダ

ランサムウェアに感染した上司のPCではアクセス権がなく、アクセスできなかったファイルやフォルダについては、ランサムウェアの餌食になることはありませんでした。

基幹システム

通常の社内ネットワークから切り離された場所にあった基幹系システムに関しては、同様にランサムウェアの被害を回避できました。

ソースコード

開発中のソースコードについては、各プロジェクトごとにアクセス制限を設定されていたこと、またバージョン管理システムが採用されていたこともあってランサムウェアの被害を回避できました。

常駐先のシステム

そもそも社内になかったので、ランサムウェアとは無関係でした。

まとめと対策

勤務中にアダルトサイトにアクセスしていたこと、並びに社内のファイルサーバーにバックアップがなかったことは不幸でした。しかしながら、いくつかの障壁があったことで回避できた被害もありました。
ここに記載する事項は基本的に社内ネットワーク向けのものですが、個人のホームネットワークでも適用できるものがあるかもしれません。
ウイルス対策ソフトを入れる、業務に無関係なサイトに会社のPCでアクセスしないというような当たり前の対策は置いておくとして、次のような対策があります。

定期的にバックアップを取得する

ランサムウェアにファイルを暗号化されていたとしても、バックアップコピーがあれば身代金を支払うことなくファイルを復元できます。
バックアップデータはコンピューターから通常は切り離すか、書き込みできないようにするべきです。書き込みできる状態のまま接続しておくと、そのバックアップデータまでランサムウェアの被害に巻き込まれる恐れがあります。
また、ファイルサーバーによっては定期的にスナップショットを取得できるものがあります。そのようなソリューションが利用できる場合は、利用しておくとファイルの巻き戻しを行いやすくなります。

個人であれば、Dropboxを初めとするバージョン管理が可能な同期型オンラインストレージを利用するとよいでしょう。ランサムウェアに感染した場合、同期はされてしまいますが、バージョン履歴を利用することで一定期間内であれば変更を巻き戻し、復元することができます。

アクセス権限を適切に設定する

上記の項目と被りますが、必要のないファイルへのアクセス権限を与えるべきではありません。
内部犯行により情報が持ち出されるリスクもありますし、ランサムウェアに感染してファイルが使用不可能になる恐れもあります。

ランサムウェアであっても、所詮はただのコンピュータープログラムです。アクセス権限が適切に設定されていれば、アクセス権限のないファイルに関してはランサムウェアでも書き換えることができません。

バックアップデータがある場合においては、当該バックアップデータを常に書き込み可能な状態にすることは推奨されません。他のPCからは直接アクセスできない状態に設定することを強くお勧めします。

使わないシステムやディスクは切り離す

その業務に直接関係ないシステム、たとえば基幹系システムや、バックアップ時にだけ書き込みできるディスクについては切り離して管理するべきです。
完全に切り離しておけば、たとえウイルスに感染してもその被害を免れることができます。
もし同一のネットワークに置かれている場合、何らかの原因で感染を拡大する恐れがあります。

最後に

社用PCで業務に無関係なサイトを開くのはやめましょう!