DATA HOPE



データホープ雑記帳

スタッフがつれづれに書き込みます。復旧のことだけでなくIT関連のニュースなども紹介しています。

【重要】今、そこにある危機 Emotet対策

最近、「エモテット(EMOTET)に感染した(感染したかも)」というお問合せが増えております。
エモテットは2019年の後半くらいから猛威を振るっているマルウェアであり、感染するとさまざまな不利益が生じます。
そもそもエモテットとは何のか、感染した際の対処方法などをまとめてみました。


■そもそもエモテットとは?
「エモテット(=EMOTET)」は2019年後半から流行しているマルウェアです。
2014年に最初に確認されてからはさまざまな追加機能が重なっています。
2021年1月には欧州警察機構によって大規模な対策がなされ、エモテットの脅威は収まったかと思われました。
しかし、2021年11月にエモテットの活動再開が見られて以降、日本国内においてもエモテット感染が増えています。


■エモテットの脅威や攻撃方法
エモテットはメールから侵入することが多く、メールに添付されている不正なマクロが含まれたWordファイルやExcelファイルなどのマクロを実行することで感染します。
また、エモテットに感染してしまうと、感染した端末(PCなど)を利用するユーザーのアドレス帳やパスワード情報、メール履歴などの重要情報を収集します。
収集した情報は攻撃者に送信されてしまい、いわゆる「なりすましメール」が生成されます。
なりすましメールはこれまでやり取りがあった人に送られるなど際限なく拡散を広げていきます。
エモテットが厄介であるのは、従来のなりすましメールやスパムメールと異なり、日本語の件名や本文でメールを送ることです。
つまり、メールを受け取った側は「いつもやり取りをしている人」などと認識して、添付ファイルのマクロを実行するケースがあるのです。
また、以前のやり取りの転送や返信という形でメールが送信される場合があり、不審に思わずメールを開封・マクロの実行をすることが考えられます。
最近では新型コロナウイルス関連の情報、ボーナス・給与情報など社会情勢や季節性を盛り込んだメールが確認されるなど、巧妙化されているといえるでしょう。
さらに、エモテットに感染すると他のマルウェアに感染する可能性があり、被害が拡大します。
なかにはファイルとして保存されずに端末のメモリ上だけで動作する場合があるなど、社内の情報セキュリティ担当者であっても解析しにくいケースが考えられます。
こうしてエモテットの感染が拡大すると、社内のほかの端末だけではなく社外へのエモテットがばらまかれる可能性があります。


■エモテットに感染した際の対処方法
それでは自分のPCなどがエモテット感染した疑いがある場合はいったいどうすればいいのでしょうか?
実際のところ自分自身で感染に気が付くことはまれで、よくある例では取引先等今までメールでやりとりしていた相手から「感染してないですか?」と連絡がくることが多いと思われます。
これはエモテットがウイルス対策ソフトに検知されにくいように巧みに自分自身を隠して活動するためです。
感染が疑われる場合の基本としてまずは「これ以上の感染被害を増やさないこと」と「どのような被害がどれくらいでてしまったのか」を把握することです。
これは最近流行りの例のウイルス対策にも似ているところがあります。
では具体的な対処方法の説明に移ります。
最初にこれ以上の被害を出さないために、使用しているPCをネットワークから切り離します。
デスクトップPCであれば、LANケーブルを外す、ノートPCであればWifiを切断or機内モードにしてください。
次に「証拠の保全作業」を行います。
心情的にすぐに電源を切りたくなりますが、電源切断の前に、現状でのメモリーに保存されている内容を取得しておきます。
これはエモテットは巧みにその痕跡を残さないためにメモリー上にだけプログラムを展開し、ハードディスクやSSDには保存しないタイプがあるためです。
メモリー内容の取得ですが、AccessDATA社のFTK Imagerが便利です。
簡単に使用方法ですが、他のPCからダウンロードして、感染が疑われるPCのメモリーよりも大きめのUSBメモリー(64GBとか128GB)に展開すると便利です。
差し替えてUSBメモリーにメモリーダンプデータを保存します。
メモリーダンプには、ネットワーク上のどのIPアドレスに対して通信を行ったのかのログも残されているのでデータの流出があったのかどうか、あったとしたらどこに流出したのかを後ほどフォレンジック調査することが可能です。
メモリーダンプデータを取得したら内蔵HDD(SSD)の調査を行うためにコンピューターをシャットダウンします。
これは通常のシャットダウン動作で構いません。
一度シャットダウンしたらその後の通電(起動)は避けてください。
過去の経験から、HDD使用のモデルは痕跡が見つかりやすい傾向にありますが、最近のSSD使用のモデルはSSD特有のトリミング動作によって過去のファイル操作の履歴は失われやすい傾向にあります。
メモリー及びHDDorSSDの保全作業を行ったら、システム管理をお願いしている会社またはフォレンジック会社に相談をおすすめします。

■エモテットへの感染予防策
エモテットへの感染予防策はいくつか考えられます。
まずはご利用のPCのOSを最新状態に更新しましょう。
これは一般的にマルウェアは古いOSの脆弱性を狙って攻撃することが多いからです。
加えてセキュリティソフトのパターンファイルを最新の状態に保つこともエモテットの感染予防策になります。
またPCにセキュリティ対策ソフトをインストールすることも大事ですが、事前検知による被害を防止するEPPや感染後の被害を最小限に抑えるEDRなどのエンドポイントセキュリティを導入しましょう。
ほかにも、すぐにできる感染予防策としては、WordやExcelなどのofficeファイルのマクロ自動実行を無効化しておきましょう。
そして、従業員への周知も行てください。
エモテットの感染を防ぐには、メールの受信者が添付ファイルを不用意に開かないことが大切です。
そのため、従業員にエモテットがどのようなウイルスであるのか、何を行うのか、感染してしまうとどうなるのかを周知する必要があるのです。
情報セキュリティに関するリテラシーの向上に取り組みましょう。
エモテットの感染したときを想定して、重要ファイルのバックアップを取っておくことも大事です。

Posted at:2022年8月31日データ復旧について

暗号化されたデータの復旧ってできるの?

情報セキュリティ管理やデータ漏洩の防止などのため、個人情報や機密性の高いデータの閲覧を制限する手法、暗号化。

DATA HOPEでも、暗号化されたデータの復旧を取り扱うことはけっこう多いのですが、暗号化されたデータの復旧は、通常のケースよりも越えなくてはならないハードルがあり、復旧は難しいことがあります。

暗号化はセキュリティのために重要な手法ですが、いざ使用しているPCやデバイスに障害が発生してしまうとなると、そのセキュリティ性が仇となりデータを取り出せても暗号が解除できず、結果的にデータを失ってしまう可能性もあります。

今回は暗号化について

1)暗号化の基礎
2)導入・運用する際の注意点
3)暗号化されたデータの復旧ってできるの?
4)暗号化によるトラブルと対処法
5)暗号化に関するQ&A


以上について解説しています。

情報セキュリティ上の暗号化について正しい知識を知り、暗号化データを適切に運用していただくことが狙いです。「暗号化のことを知りたい!」という方は1から、暗号化によるトラブルが現在発生している方は3からをご覧ください。
 

1)暗号化の基礎

暗号化とは?

暗号化とは、データを記録する際に、一定の法則に従って変換する技術のことです。

不正アクセスや盗難など、あらゆる情報漏洩のリスクがある一方で、個人・企業が取り扱うデータの量は多くなってきています。管理しきれぬ増大したデータの中で、外部に流出を避けなくてはなりませんし、もし流出したとしてもデータを閲覧させないように暗号化しておくということは理にかなっています。

暗号化の仕方は?

暗号化には、大きく2つの方法があります。

ひとつは、「ファイル・フォルダ」を個別に暗号化する方法。もうひとつは、HDD全体を暗号化する方法。
※PCやデバイスの種類によっては、自動的に暗号化されるケースもあるため要注意

この大別した2種類の方法によって、また、用いる暗号化のソフトウェアによって暗号化の仕組みは異なります。暗号化することは、一見「よいこと」に思えます。しかし、その複雑さが、私たち暗号化を行う側にとって、不利益になることもあります。

暗号化を活用するうえでは、この不利益を被らないよう、以下の 2)活用する際の注意点 を見てから導入してください。

2)活用する際の注意点

暗号化は危険?

情報セキュリティ上重要な手法と言える暗号化ですが、データ管理の上ではリスクになり得ることも知っておくべきでしょう。

データ復旧の観点から暗号化のリスクを見てみます。

暗号化されているPCやHDD自体に障害が発生した場合には「通常のデータ復旧」+「暗号解析作業」という2つの工程が必要になります。その分復旧の難易度は上がってしまいます。データを保存しているPCやHDDに障害が発生した際には、暗号化されたデータを取り出しそれを復号(暗号化前の状態に戻すこと)するという作業が必要になるのです。

さらに、暗号化には先述の通り様々な仕方がありますが、たとえば暗号化ソフトを使ってファイルを個別に暗号化した場合には、暗号化ソフト自体のログインIDやパスワードが必要です。ログインIDやパスワードを忘れてしまった、パスワードを何回かまちがいパスワードロックがかかってしまった、というお問合わせが多いです。

つまり、大切なデータが暗号化されたまま戻ってこないというリスクもあり得るのです。

暗号化だけに頼らないセキュリティ対策を!

以上のように、ただ暗号化をすれば大丈夫なのは、データを復号しにくくしただけです。データを失うリスクの点では、大丈夫では消してありません。それを防ぐためのポイントはひとつ。「暗号化だけに頼らない情報セキュリティ対策を実施する」ことです。

情報管理を行う担当者以外にも情報セキュリティ管理上の規則やマニュアルを定め、それを遵守することなど暗号化に頼り過ぎない情報セキュリティ管理を実施することで、よりデータの損失や機器の障害といった突発トラブルに対し、冷静に対処することができるでしょう。HDDや機器はいつか必ず壊れるもの。暗号化されたPCや保存メディアは復旧が大変、ですから、定期的なバックアップなどしての情報を管理することが大切なのです。

3)暗号化されたデータの復旧ってできるの?

暗号化されたデータは基本解けます。

ただ、解くにはいくつものハードルを乗り越えなくてはなりません。関係者に協力をお願いすることになります。本人はもちろんのこと、管理者、セキュリティソフト会社、、、暗号化キーがある場合などはそこまで大事にならない場合もあります。

私たちは復旧の現場で

私たちは復旧の現場でスパイ物の映画を見て勉強することがあります。ふざけたことを書いているように見えるかもしれませんが、つまり、スパイの気持ちになることが大事なのです。基本、暗号は解けます。暗号がかけられたものを解くことを復号といいます。通常、記憶媒体に暗号化され書き込まれたデータを復号しながらデータを利用しています。答えのある問題は基本解けます。そう考えて日々脳内スパイ度に拍車をかけています。

4)暗号化によるトラブルと対処法

では、実際に暗号化したファイルやデータを保存しているPCやHDDに障害が起きてしまった場合、何をどう対処すればいいのでしょうか。

1.暗号化したデータが保存されているHDDを取り外し、他のPCから操作してはいけない
2.PCに障害が発生している状態で、暗号化ソフトを用いて復号しない
3.通常のデータ復旧ソフトを使用して、暗号化したデータを復旧しようとしない
4.暗号化に使用したソフトをアンインストールしない
5.データホープにとにかく電話してみる フリーダイヤル 0120-987-258 (平日9:00~18:30)


ささいな行動が障害を悪化させることがあります。手をつけずに電源を切り、すぐにご相談ください。

5)暗号化に関するQ&A

Q, 回復キーは必要ですか?

A, 回復キーの提供は必須条件ではありません。

回復キーがなくても、暗号解除できる場合もあります。
しかし、基本、回復キーは欲しいです。
軽度障害の場合はなんとかなることが多いのですが、
HDD自体に物理損傷があるなどの複合障害の場合は
復旧が難しいことが多いので、回復キーはあれば一助となります。
回復キーが提供できない事情がある場合は、ご相談ください。

おわりに

暗号化に関する基礎、活用上の注意点とトラブルへの対処法をご紹介しました。

暗号化はセキュリティ上重要な手段ですが、データに対するリスクがなくなることはありません。適切な管理と、適切なトラブルへの対処を心掛けてくださいね。

DATA HOPEでは、暗号化されたデータが保存されているPC・HDDの復旧実績があります。まずは、大切なデータを守るために、下記のお問い合わせフォームもしくはお電話でお問い合わせください。

■お問い合わせフォーム
http://www.datahope.jp/inquiry/

Posted at:2017年3月 2日データ復旧について

デジモノ供養でデータの供養についても考えた

デジモノ供養って何?

dejimonokuyou.jpg

今度「デジモノ供養祭」というものに参列してきます。デジタル遺品の次は、デジモノ供養とは、、、名前の通り、使わなくなったPCや携帯電話を、「今までありがとう」と感謝を込めて供養する行事のようです。

デジタル機器をしっかり供養した後、厳かに処分する際には、セキュリティ上、その機器の中身のデータをきちんと抹消する必要があります。その縁で、データ復旧事業者である私に声がかかったという訳です。

表示
デジモノ供養祭


「PCや携帯に供養?」と思う方もいるかもしれませんが、供養というのは本来、人の生活の中にある大切なモノに対して、その冥福を祈るためのものということです。

企画したのは地元の大学4年生で、自身のパソコンが捨てられた時の想い出から今回の試みとなったようです。針供養もありますし、PCやスマートフォンといったデジタル製品を供養しても、いいのかもしれません。

私たちの生活はデジタル機器に囲まれていますから、「供養する」ほどの感謝の念をもって接していこうというもので応援してあげたいです。


デジモノ供養だけではなく、データの供養も大切


デジモノと言えば、PCや携帯電話、スマートフォンなどの機器を指すように思います。

デジタル機器を供養することは、特段難しいことではありません。

しかし、その機器の中身、つまり「データの供養」はどうでしょうか。これもデジモノだとふと思いました。データを供養すると考えると形のない「データ」に感謝し、しっかり供養することはできるのかと考えさせられました。

そう言えば弊社の場合、亡くなった方のパソコンなどからデータを取り出すデジモノ遺品(パスワードが解除できない、暗号化されてデータが取り出せない)の相談が最近増えているなあ。

僕の立場としてはデジモノ供養はデジタル機器を供養することとと「データの供養」についても考えてみる、いい機会になりました。

Posted at:2017年1月19日

DATA HOPEの近くには美味しいお店がいっぱい♪

花京院交差点角にある、DATA HOPE仙台事務所。
その近くには美味しいお店がたくさんあります!

今日はその中から、Sweet Spice Asanoさんをご紹介します(*´ω`*)

仙台事務所に行くと、3回に1回は必ずランチにお邪魔します。

女性が好きな、アンティーク調の店内。
店内には、JAZZが流れてほのかにお菓子の甘い香り(*´▽`*)
手作りのお菓子がショーケースにズラリと並び、思わずにっこり。
この日に頼んだのはパスタランチ、パスタは日替わりでこの日はナポリタンでした。
スープとサラダ付き、スープは新玉ねぎと白菜のポタージュ...
クリーミーなポタージュで美味しかったです♪

ゆっくりとランチを楽しむにはいいお店だと思います(*'▽')
花京院交差点から歩いて5分ほどなので、ぜひお近くに来た際はランチに行ってみてくださいね♪


20150422.jpg

Posted at:2015年4月22日Miho Harada

情報セキュリティエキスポ初日

今日から3日間、幕張メッセにて開催の情報セキュリティエキスポに出展しています。早くも混雑し始めております。
>>第4回情報セキュリティーEXPO秋の様子
20141029.jpg

Posted at:2014年10月29日Kenji Narita
ブログのトップへ1  2  3  4  5  6  7  8  9  10  11

まずはご相談・アドバイスから

わかりやすく丁寧に無料アドバイス
  • 「どうしたらいい?」
  • 「なんとかならないの?」
  • 「この症状は復旧できるの?」
  • 「データは無事なの?」
  • 「いくらかかるの?」
0120-987-258

受付・定休

お問い合わせフォーム

メールフォームは24h 365日受付!

送付先のご案内

対象メディアの送り先
  • 〒990-0023
  • 山形県山形市松波4-2-11
  • DATA HOPE 宛 
  • TEL:023-616-5666
ご送付いただく場合
  • 8つの0円で安心!
  • 初期診断0円!
  • キャンセル0円!
  • 復旧不可時0円!
  • 返送送料0円!
  • HDD取り外し0円!
  • 各種書類作成0円!
  • 特急料金0円!
  • 返却メディアの貸出0円!
  • デジタルフォレンジックサービス
  • PC windows mac/120GB/29,800円〜
  • ネットワークディスク/240GB/59,800円〜

DATA HOPE 事務所案内

山形事務所

山形県山形市松波4丁目2-11〔map〕
Tel.023-616-5666 Fax.023-631-4288
アクセス:山形蔵王IC下車 車で3分