Boxをランサムウェアに感染させたらどうなる？～感染から復元までを再現

近年、ランサムウェアの被害が増加しています。IPA「情報セキュリティ10大脅威 2023」^※1を見ても、組織向け脅威の第1位になっています。その裏付けとして、警察庁の資料^※2でも令和4年中に報告されたランサムウェアによる被害件数は、前年比57.5%増の230件となっており、まだまだ増加傾向にあることがわかります。

※1 情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※2 サイバー事案の被害の潜在化防止に向けた検討会 報告書 2023｜令和5年警察庁サイバー警察局

ランサムウェア対策の一つとして、Boxを導入することも増えてきています。Boxは決してランサムウェア対策製品ではありませんが、Governanceオプションにより世代管理が無制限になるなど、ランサムウェア耐性がある製品と言ってよいでしょう。しかし、実際にランサムウェアに感染させることで、具体的にどのような動きになるのか、どのように対応すればいいのかについて書かれた、ドキュメントはあまり見当たりません。

今回は、ラックでBoxを扱っているチームと、ペネトレーションテスト^※3を提供しているデジタルペンテスト部のチームがタッグを組み、実際にBoxのデータをランサムウェアに感染させ、感染した場合の見え方や、復旧手順をお伝えします。

※3 疑似攻撃を用いて、調査対象に対して「攻撃者の目的」が達成できてしまうか実証するテスト

Boxへのランサムウェア攻撃による影響

Boxを利用する場合、ファイルへのアクセス方法としては大きく分けて3種類あります。

• Webブラウザからアクセスし、ブラウザ上で直接編集を行う
• Box Driveをインストールし、Explorer（Windows）やFinder（macOS）からアクセスし編集を行う
• スマートデバイスからアクセスするため、Box for iOS/Androidアプリを利用してアクセスし編集を行う

Webブラウザ経由でのアクセスや、アプリでのアクセスの場合、ランサムウェアプログラムから直接アクセスできないためランサムウェアによるファイル暗号化の影響は受けません。しかし、Box Driveを利用していた場合、ランサムウェアプログラムからアクセスできてしまうため、Boxを使っていたとしてもランサムウェアの被害を受けてしまいます。

Box社としては、Box Driveを利用することを推奨してはいません。しかし、これまでのファイルサーバと同じような動作で、MacのFinderやWindows Explorerからデスクトップ上のファイルにアクセスするようにBox上のファイルを操作したいという要望から、Box Driveを利用している企業も多いのではないでしょうか。

Box Driveへのランサムウェア感染手順

これまで一般的に使われていたランサムウェアは、電子メールを利用した標的型攻撃をきっかけにしていることが多くみられました。最近では標的型攻撃だけでなく、VPN機器等のネットワーク機器の脆弱性を狙った侵入や、リモートデスクトップからの侵入が増加しています。

実際にランサムウェアに感染させてみた

では実際にWindows端末に設定されているBox Drive内のデータに対して、ランサムウェアを実行してみます。

今回実行するランサムウェアですが、実際に攻撃に使われているものではなく、その挙動を参考に弊社デジタルペンテスト部にて独自に作成したプログラムです。そのため、実際のランサムウェアの挙動とは異なる点があることをご承知おきください。

Boxのログではどのように見えるか

攻撃を受けてしまった場合、Boxではどのようなログが出力されるのでしょうか。下記の設定を行い、感染したファイルのレポートを抽出します。その際、攻撃対象ではない端末から実行しなくてはいけません。

上記手順で表示された、下記のレポートを確認すると、Box Driveを利用してファイルの編集や名前の変更を行った上でファイルをアップロードしている痕跡が見えます。

今回のツールでは、一度の暗号化とアップロードで攻撃を終了させていますが、攻撃ツールによってはコンテンツを何度も繰り返し更新し、バージョン履歴を汚染させることで復元を困難にさせるものもあります。その場合、数世代のバックアップではあっという間に復元ができなくなってしまいます。しかし、BoxであればGovernanceオプションにより世代管理が無制限になるため、ランサムウェア攻撃を止めたあとに落ち着いて復旧させることが可能です。

ランサムウェアに感染したファイルの復元

Boxレポートからログを確認し、ランサムウェアに感染したファイルや感染する前のバージョンを特定できたら、感染する前のバージョンのメニューから「現在のバージョンとして設定」を実行することで、ファイルを復元させることができます。

感染時にしなくてはいけないこと

Boxの中のデータは、世代管理が無制限になっていれば何とか復元はできますが、Box以外にも影響が出ていることが考えられます。被害を最小限に留めるためにも、対応の専門家やコラボレーションしている取引先など、関係者への連絡を必ず行ってください。

以下は、Boxがランサムウェア攻撃にあった場合の復元方法の順序です。

Step1 ラックのサイバー救急センターのような専門家に相談し、指示を仰ぐ

一時的に復旧したとしても、マルウェアが残っていたり、不正アクセスのルートが残っていたりする場合もあります。必ず専門家に相談してください。

Step2 Box Supportと取引先に連絡する

Box Supportに連絡する

Box Supportに記載のとおり、できるだけ早期にBox Supportにお問い合わせください。

外部からコラボレーションされている取引先に連絡する

外部からコラボレーションされているフォルダ（グレーのフォルダ）も感染対象となります。早期に取引先にも連絡してください。

Step3 ファイルの復元

早急に復旧すべきファイルを、バージョン履歴を確認しながら復旧します。具体的な操作方法は以下の通りです。

1. 該当ファイルの「...」をクリックし、バージョン履歴を選択
2. バージョン履歴一覧から復旧したいファイルの「...」をクリックし、「現在のバージョンとして設定」を選択

※4 Boxに限らず、クラウドサービスでは、常にアップデートされています。実行前に、Box公式ドキュメントを確認の上、実行をしてください。ランサムウェア - Box Support

ランサムウェアの被害に備えて

Box Driveが、ランサムウェア被害に遭った場合は、どうすればよいのでしょうか？被害に備えるために必須となる、ベーシックな対策と万が一の事前準備を紹介します。

ベーシックな対策 - Box以外

• 資産管理およびOSやソフトウェアを最新の状況にする
• 従来型のアンチウイルスだけでなく、EDR等を導入する
• アイデンティティ管理製品（SSO）を活用し、リスクベースやコンテキストベース認証を有効化し、認証時点で疑わしいアクティビティはブロックする

ベーシックな対策 - Boxでの対策

• 世代管理が最大または無制限になっていることを確認する
• Box Driveはユーザーを絞った利用とする
• APIの利用を事前に準備しておく （復旧の際、APIを利用するとスムーズ）
• Boxに設定不備がないかを定期的に確認する
• 「管理者」「共同管理者」に不正ログインされないよう、細心の注意を払う（管理者としてログインされ、Governanceの設定変更をされる可能性もある）

さいごに

実際に、Boxに感染した際のログや復元方法をご覧いただきました。冒頭に申し上げたとおり、Boxはランサムウェア対策の製品ではないものの、世代管理が無制限であり、ランサムウェア耐性はあると言ってよいでしょう。しかし、実際に感染した場合には、一時的ではありますが、業務停止となり、損害は少なからず発生します。そうした事態を防ぐために、ベーシックな対策と万が一の事前準備は必須となります。

ラックでは、セキュリティ要件の対応、DX推進に対応したBoxの導入支援を行ってきました。特にセキュリティ要件については、多くの知見を活かして支援しています。事故が起こる前に、ぜひご相談ください。