ランサムウェアは悪意のあるウイルスの一種で、システムに感染すると、そのシステムに保存されているファイルは暗号化され、アクセスできなくなります。 ユーザーが外部バックアップを用意していなければ、ファイルの暗号化を解除してアクセスを復元するために、多くの場合は暗号通貨という形で身代金を支払う必要があります。 一般的には、ユーザーがメールに添付された悪意のあるファイルをクリックするか、悪意のあるウェブサイトや侵害されたウェブサイトにアクセスすることでマルウェアがシステムに取り込まれます。
ランサムウェアには数百もの種類があり、それらすべてがシステムに与える影響はさまざまです。 ユーザーのファイルに対して削除、上書き、暗号化、名前の変更、またはこれらの複数の処理が行われる場合があります。 ランサムウェアに対する主な防御策は、ランサムウェアが実行されないようにコンピュータを十分に保護することです。
ランサムウェアによるBoxへの影響について
ランサムウェアは、ユーザーのコンピュータ上のBox SyncまたはBox Driveアプリケーションを介してしかファイルに影響を与えることができません。 Box Syncが有効になっている場合は、Syncに設定されているファイルのみが影響を受けます。
ランサムウェアがBoxを介して拡散することはありません。 暗号化されたファイルが他のユーザーと共有される可能性はありますが、ランサムウェアがBoxのクラウドストレージ内でそれ以上拡散することはありません。すべてのファイルは保存時に暗号化されており、プログラムを実行可能な環境もないためです。
ランサムウェア被害からの復元
Box DriveまたはBox Syncを使用しているユーザーのマシンがランサムウェアに感染した場合、暗号化されたコンテンツがBoxに対して同期されることがあります。 そのような場合を想定して、Boxではコンテンツの復元に役立つリソースを用意しています。 できるだけ早期にBoxサポートにお問い合わせいただくか、Box APIの使用方法に関する以下の説明を確認のうえご自身で修復を行ってください。
ユーザーのシステムが侵害されたことが確認された場合は、Box DriveまたはBox Syncを終了して、マルウェアが削除されていることを確認してから追加の措置を講じることをお勧めします。
影響の範囲を決定するために、管理者は [ユーザーアクティビティ] レポートを実行することで、どのファイルが変更されたかを確認できます。 これを行うには、[管理コンソール] > [レポート] (下の画像にあるグラフアイコン/レポートタブ) > [ユーザーアクティビティ] > [レポート作成] > [ユーザーアクティビティ] に移動します。
[ユーザーまたはグループ] フィールドで、感染したユーザーを指定し、影響のあった時点における次のファイル管理操作を選択します。
- 編集
- ごみ箱への移動
- 名前の変更
- アップロード
[実行] オプションを選択して、Box Reportsフォルダからレポートにアクセスします。
レポートの [詳細] 列には、どのファイルがBox SyncまたはBox Drive経由でアップロードされたかが表示されます。 感染したファイルを特定することで、Boxのバージョン履歴を使用して、以前の暗号化されていないファイルを手動で復元できます。また、ごみ箱を使用して、削除された項目を復元することもできます。 操作を始める前に、以下の制限を確認してください。
修復にBox APIを使用する
開発者リソースの準備ができている場合は、APIを使用してすべての感染したファイルを感染していない状態にロールバックするカスタムスクリプトを作成できます。 取るべきアプローチは、特定のランサムウェアの動作によって異なります。
インプレースでの暗号化
感染したファイルが「その場で」変更された場合 (つまり、既存のファイルに対して編集が行われた場合)、バージョン履歴を使用して、感染したファイルを以前のバージョンに復元することができます。
達成すべき目標の概要は以下のとおりです。
- 影響を受けた時間枠のアップロード/変更 (アップロード/変更イベント) を確認し、感染したユーザーが実行した操作に対してフィルタをかけます。 このエンドポイントでは要求のパラメータとしてユーザーによるフィルタが許可されていないため、ユーザーに対するフィルタは最初の結果が返されてから実行する必要があります。
- 感染したファイルのIDが返されたら、新しいバージョンがアップロードされるまでで更新日が直近のバージョンに戻します。
- ファイルの名前が変更されていた場合は、以前のバージョンの名前に戻します。
例:
2018年5月1日に「work.docx」というファイルがアップロードされました。
2018年5月2日にユーザーが感染しました。
「work.docx」ファイルの新しいバージョンが同じファイルとしてアップロードされました。
解決方法: 2018年5月1日にアップロードされたバージョンに戻します。
- Enterprise Eventを取得する: https://ja.developer.box.com/reference/get-events/
- ファイルバージョンを取得する: https://ja.developer.box.com/reference/get-files-id-versions-id/
- バージョンを昇格する: https://ja.developer.box.com/reference/post-files-id-versions-current/
- ファイルの情報を更新する (名前の変更): https://ja.developer.box.com/reference/put-files-id/
暗号化と削除
マルウェアの動作により、元のファイルが削除され、暗号化されたバージョンがアップロードされたり暗号化されたバージョンに置き換えられたりした場合は、Box上のごみ箱から元のファイルを復元し、暗号化されたファイルを削除することが目標になります。
- 上記の手順1と同様に、影響を受けたユーザーが該当する時間枠内にアップロードおよび削除したファイルを特定します。
- ファイルがまだごみ箱に残っている (つまり、ユーザーによって手動で復元されていない) ことを確認します。
- ごみ箱から項目を再帰的に復元します。
- 名前の競合が発生した場合は、その対処方法 (名前の変更または上書き) を決めます。 または、ごみ箱から項目を復元する前に、暗号化されたファイルを最初から削除することもできます。
例:
2018年5月1日に「work.docx」というファイルがファイルID 14785としてアップロードされました。
2018年5月2日にユーザーが感染しました。
ファイルID 14785のファイルが削除され、代わりに別のファイルがID 96321としてアップロードされました (つまり、新しいバージョンではありません)。
解決方法: ID 96321のファイルを削除して、ID 14785のファイルをごみ箱から復元します。
- Enterprise Eventを取得する: https://ja.developer.box.com/reference/get-events/
- ごみ箱内の項目を取得する: https://ja.developer.box.com/reference/get-folders-trash-items/
- 項目を復元する: https://ja.developer.box.com/guides/trash/restore-file/
- 項目を削除する: https://ja.developer.box.com/guides/trash/permanently-delete-file/
推奨事項と制限事項
- 復元を迅速化するために、[ユーザーアクティビティ] レポートの送信をお勧めします。初回のリクエストには、ランサムウェアの種類と実際に起こったことについて、できるだけ多くの情報を添えてください。
- 暗号化されたファイルを復元するには、この問題が発生する前に、以前のバージョンがBoxに存在している必要があります。
- 中には、コンテンツを削除してまったく新しいコンテンツに置き換えるというあまり一般的でない種類のランサムウェアもあります。 削除されたコンテンツは復元できますが、新しいコンテンツを削除することはできません。 この操作は、手動で行うかAPIを使用して行うことができます。 すべて削除してからコンテンツを復元することをお勧めします。
- Boxの改訂システムは、ある特定の時点ではなく、個々のファイルに基づいているため、現時点では特定の時点に基づく復元を行うことはできません。 代わりに、ごみ箱やバージョン履歴などのBoxの機能をファイルの復元に利用できます。