─事件を解決せよ─　CASE1：フォルダを開くのが重い

2025年3月3日 16:26

突然何を言い出したか

みなさん、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
実は昔大好きだった番組の録画を久しぶりに見たんです。
「これ、やってみたら面白くないかな」と思いまして。
試しにやってみます。皆様お付合い下さい。
なお、本件はこれまでの事例を踏まえた上で構成した架空の内容です。
では、今日もレッツスタディセキュリティ！なのです。

今日の相談者

私は、コスメティックス会社で宣伝広告部に所属しています。まだまだかけ出しですが、女性を美しくするものを扱う仕事には充実感を覚えています。
広告代理店など外部の会社とのやりとりも多く、画像や動画などの素材は増える一方です。
それでも、きれいなものを扱っている喜びは何にも代えがたく、毎日楽しく仕事をしていました。
それが、あんなことになるなんて…。

高橋さくらさん（25歳・仮名）が遭遇した事件について見ていきましょう。

私は、いつものように出勤しました。
自分用の端末PCを起動し、NASの中に設けられている私専用フォルダを開こうとしたのですが、そのフォルダを開くのがいつもより若干遅いような気がしました。
そろそろ中身がいっぱいになってきたからかな、とも思ったのですが…。

ここでまず考えましょう。第1回です。

さくらさんのフォルダが開くのが遅かった原因を、思いつく限り挙げていきましょう。
ここでひとつルールを決めておきましょう。原因を考えるのは、できる限りローカルからネットワークへ、小さい方から大きい方へ考えていきましょう。
そうすると、どういったことが上がってくるでしょうか。

ネットワークアダプタの不調
さくらさんの端末の不調
（無線LANの場合）無線ルーターまたはアクセスポイントからの距離が遠い
（有線LANの場合）ケーブルの劣化
ルーターの不調
NASの中にあるSSDまたはHDDの不調
NASの過負荷
NASの中で起きている何らかの異常

ぐらいが考えられると思います。さくらさんは、情報システム部の渡辺さんに連絡を取りました。

電話越しに、渡辺さんに指示された確認事項をひとつひとつ見ていきました。

渡辺「端末に他の動作不良はありませんか？」
さくら「出社したばかりなので全部は確認していませんが、これ以外に今のところ見当たりません」
渡辺「昨日はそういう徴候はなかったということですね？」
さくら「はい、昨日は正常でした」
渡辺「ネットワークは有線でしたでしょうか？」
さくら「はい、ノートPCですが大型のもので持って歩くことはまずないので有線を使っています」
渡辺「ちなみに、権限があるフォルダを適当に開いてみていただいて、そのレスポンスはどうでしょうか？」
さくら「NASの中にあるフォルダはやはり若干重い気がします。うちの部署内で共有しているフォルダには問題がないようです」
渡辺「そうですか…ちなみに若干重いというのは数秒以上待たされる感じですか？」
さくら「そこまで重くはありません。1秒で開くところが2～3秒かかっているという程度です」
渡辺「わかりました。ありがとうございます。ちょっと調べてみます」

2度目のシンキングタイムです

渡辺さんの質問によって、前回候補に出した原因の中から排除していいものが明らかになりました。

ネットワークアダプタの不調→可能性なし
さくらさんの端末の不調→可能性は低い
（無線LANの場合）無線ルーターまたはアクセスポイントからの距離が遠い→可能性なし
（有線LANの場合）ケーブルの劣化→可能性は低い
ルーターの不調→まだ可能性あり
NASの中にあるSSDまたはHDDの不調→まだ可能性あり
NASの過負荷→まだ可能性あり
NASの中で起きている何らかの異常→まだ可能性あり

さて、ここまでの結果を受けて、渡辺さんはどうしたでしょうか。有線ルータの異常よりも、NASの方を先に調べた方が早いと考えた渡辺さんは、リモートでNASの状態を見てみることにしました。
そうしたところ、NASの中で見覚えのないプロセスが動いていて、それがかなりのリソースを消費していることが判明しました。そして、そのプロセスを終わらせることができない。
渡辺さんは自分の顔から血の気が引いていくのを自分で感じました。

3度目のシンキングタイムです

さて、ここで渡辺さんは何を最優先にすべきでしょうか。
「見覚えのない、終わらせることもできないプロセス」は、マルウェアを強く疑わせます。
問題を整理してみましょう。

ルーターの不調→まだ可能性あり
NASの中にあるSSDまたはHDDの不調→まだ可能性あり
NASの過負荷→まだ可能性あり
NASの中で起きている何らかの異常→まだ可能性あり

この中の過負荷がマルウェアのせいである可能性が高い、と渡辺さんは判断します。そして過負荷がフォルダを開く早さ（遅さ）に影響していると。
そうなると、まずしなければいけないのは社内ネットワークをインターネットから切り離すことです。
渡辺さんは手っ取り早くケーブルを抜きます。
インターネットと接続したままでいると、マルウェアが拡散して被害者であるはずのさくらさんと渡辺さんの会社が加害者になってしまいます。

渡辺さんは事態の収束を図るための行動に出ます

サーバの中のマルウェアはランサムウェアで、おそらくいま重要データを暗号化しているのではないかというのが渡辺さんの読みでした。
プロセスを終わらせることが通常の手段ではできない以上、暗号化が終わるまで待つしかないと渡辺さんは考えました。
強制終了して電源を落としたりしたら、データが破壊され復号すらできないことになってしまうと考えた渡辺さんは、暗号化が終わり身代金要求のメッセージが表示されるのを確認しました。
「ランサムウェアはデータだけ暗号化するものからシステムまで暗号化してまともに動作しないようにするものまである。一応だが、今のところ社内LANまでは停止していないので、セキュリティソフトを起動してみよう」
そう考えて渡辺さんは社内システムで使用しているセキュリティソフトでスキャンを実行する操作をしました。

システムファイルまでやられていた！

そうしたところ、このランサムウェアはどうやらシステムファイルまで暗号化するタイプのものだったようです。ソフトウェアはまともに動作しませんでした。
渡辺さんは犯行グループと連絡を取ることにしました。犯行グループは「ランサムウェアにより暗号化されたファイルの復号鍵を渡すこと」に対するものと「暗号化されたファイルを犯行グループが復号して拡散しないこと」に対するもの、2点に対して身代金を要求してきました。
渡辺さんは「私の一存では決定できないので時間がほしい」と犯行グループに要求しました。
犯行グループは「今すぐに拡散することも可能なことを忘れるな」と圧力をかけてきて、いったん話し合いは終了しました。

バックアップの活躍！

渡辺さんは、オフライン・オフサイト・エアギャップでバックアップを保存しているカチカのオフサイトバックアップサービスを利用していたことを思い出しました。
バックアップの性質上、ある程度遡った状態になってしまいますが、それでも動かないよりはずっとまし。
バックアップを取り寄せてリストアを試みましたところ、これは正常に動くようになりました。
全てが無駄になったわけではなかったのでここで一安心です。

もうひとつのバックアップの模様は？

この会社では、もうひとつほぼリアルタイムに変更が反映されるクラウドのバックアップを利用していました。
これがもし問題なければ、リストアで復元できた環境はグッと最近に近づきます。
しかし、クラウドのバックアップも残念ながら暗号化されていました。このデータが使えるならば、事件発生以前の状態に戻すことはかなり楽になるのですが…。
渡辺さんは「ランサムウェア　復号」で検索をしまくり、公共機関や信頼できるIT関係企業が配布している復号ツールが使えないかどうか、総当たり式に試してみました。
そうしたところ、ひとつの復号ツールが使えることを発見し、これでデータを復号して、オンプレミスのデータを再び利用できるようにするとともに、なお欠損しているファイルに対してはクラウドのバックアップからリストアする形で事件直前と言ってもいいほどの状態まで戻すことができました。

情報を公開されることに対する身代金は払うべきか？

社内システムをほぼ元に戻せたとしても、データを犯行グループに握られている点には違いがありません。そして、それを公開されるということであればそれは防ぎようがありません。
渡辺さんは上長に相談し、緊急重役会議が開かれた上で、情報漏洩の可能性の公表と、対象になっている可能性がある人や組織に関してお詫びをするという方向性をまとめました。
もしかしたら要求どおり身代金を払った方が安くつくのかもわからないが、犯罪を犯すようなグループにお金は渡さない、それが我が社なりの責任の取り方だ、という社長の一言に賛同した人が多かったことによります。
犯行グループに対してそれを宣言するのは引き続き渡辺さんの役目となりました。
犯行グループは悔しがっていたようですが、悔しいのは渡辺さんも同じです。

まずかったのはどこだったのか？

渡辺さんは後処理に入りました。ランサムウェアがどこから入り込んだのかという点です。
まずはさくらさんに話を聞いてみました。

渡辺「お疲れ様です。先日の情報事故について少し伺いたいのですがお時間よろしいですか？」
さくら「はい、大丈夫です」
渡辺「ありがとうございます。先日のランサムウェア問題なんですが、セキュリティ的に穴になるようなことを何かされていますか？細かいことでもいいので思い出せることがあればなんでもお話しいただきたいのですが」
さくら「それが、全く私には心当たりがないんです。私は技術的なことは得意ではありませんが、USBメモリが感染していてそれを使ったり、安全でないサイトを閲覧したり、そういったことでマルウェアって入り込むと聞いています。私は全くそういったことを行っていません」
渡辺「確かにそういう侵入経路もありますが、使っているソフトウェアの穴とかそういうことも突いてくるのがマルウェアですからね。とりあえず、明らかにまずそうなことは何もなさっていないということですね？」
さくら「そういうことです」
渡辺「ならば別ルートから入ったと考えるしかありませんね。それにしても、1秒で開くはずのフォルダを開くのに2～3秒かかるなんていう些細な異常によく気付かれましたね。ほとんどの人なら『まあこんなもんか』と思ってしまっても不思議はありませんよ」
さくら「ありがとうございます」
渡辺「では私は別の方面からあたってみることにします。お時間いただいて申し訳ありませんでした」

ここで渡辺さんは社内PCのアクセスログを閲覧します。そうしたところ、総務部の中堅社員がずいぶん遅くまで端末を使用した記録が多く見つかりました。田中誠という従業員でした。渡辺さんは、田中さんに質問してみることにしました。難しい問題なので、電話ではなく会議室を使って。

渡辺「田中さん、連日結構遅くまで会社に残っていらっしゃるようですが、業務の量が多いんですか？」
田中「ええ、まあ、結構あって…」
渡辺「どんな業務です？」
田中「それは、いろいろと…」
渡辺「はっきり言わせてもらいますね。アクセスログを見る限り、かなりアングラなサイトもご覧になってますね？それは居残ってやらなければいけない仕事なんでしょうか？」
田中「…すみません」
渡辺「謝るなら上司の方にして下さい。居残っている目的は何ですか？」
田中「…生活残業です」
渡辺「つまりどういうことですか？」
田中「子供たちもお金がかかる年齢になってきて、それで残業をして残業代を稼ごうと…」
渡辺「…なるほど、大変さはお察ししますが、誰も見ていないと思うと好奇心から怪しいサイトを見てしまうのは不思議なことではありません。ですがセキュリティ的には非常に危ない行為だと思います。他の従業員がいないときに社内の情報機器を利用できないようにする施策を講ずるべきだと私は上に進言しようと思います。今後そういうことはできなくなっていくとお考えください」
田中「やっぱりそうですか…」
渡辺「そもそも、仕事もないのにオフィスにいるだけで給料が発生するというのもおかしな話だと私は思います」
田中「そうですね…」

こうして、この会社で渡辺さんはランサムウェアという厄介な問題を可能な限り早期に収束させたということで評価され、またさくらさんも異常を早期に発見したということが評価されました。
生活残業の件に関しては、残業が必要なときには上司の許可を得ることが必要というルールが作られることになったそうです。

完

小括

というようなストーリーが、いま世界中で繰り広げられているんじゃないかと思います。これはあくまでも複数の事例を組み合わせて私がわかりやすく作ったストーリーですが。
バックアップの重要性をおわかりいただくために作ったストーリーですが、同時に生活残業で居残ってネットサーフィンしているなんていう行為がいかに危険かということもおわかりいただきたいというもうひとつの目的もあります。
日本はまだまだ残業する人が偉い国です。その危険性をおわかりいただくために敢えて出しました。
今後もこんな形の文章を書くのも悪くない…でしょうか？
よろしくお願いいたします。

クラウドストレージと遠隔地バックアップの相互補完性

 クラウドストレージのデータ消失に関する責任の所在

 ディザスタリカバリ手順をあらかじめ決めておくべき理由

 弊社でお取り扱いしておりますデータ・OSにつきまして

 クラウドストレージのメリット・デメリット

Microsoftさん、それはないでしょう

事業継続計画の立て方　その1

Windowsからの乗り換え先になるか？　Linux MintとChrome OS Flex

BitLockerをいろいろ使ってみました

事業継続計画の立て方　その4

パソコンのデータが飛んだ際のリスク10選

クラウドネイティブ時代のバックアップのあり方について