いつもデータ復旧のご依頼をいただくサポート業者様からお問い合わせをいただきました。
「QNAPのNASが”eCh0raix”というランサムウェアに感染 拡張子が「.encrypt」に書き換わり、データが暗号化されてしまった。
これらのデータを復旧してほしい。」

「NASにランサムウェア?」
と思われる方がいるかもしれないが 一昨年ぐらいからQNAPのNASが狙われていたらしい。
QNAPも対策(ファームウェアの)を出していたが 対策済みのファームウェアにアップデートしていなかったためランサムウェアに侵入された模様。

もちろん対策はあくまでランサムウェアに侵入されないためのもので 一旦暗号化されてしまったものは復号することはできない。
今回お問い合わせいただいた件も「復号できません」とお伝えしまし お断りしました。

ランサムウェア(身代金要求マルウェア)もだんだん高度になってきており 昔は単にデータを暗号化し「データを復元するパスワードを欲しければ金を出せ」だった。
現実に金を払って解決した というのはほとんど聞いたことがない。
犯人側としては身代金を受け取ってしまえばパスワードを渡す必要などないからだ。
そのため 現実には身代金がとりにくくなっていた。

ところが最近はさらに悪質になり 
1.データをハッキング(盗み出す)
2.データを暗号化(または削除する)
3.(身代金を払わなければ)そのデータを公開する

昨年カプコンが攻撃を受け11億円の身代金を要求されたと(カプコン自身)が公表した。
どうやら身代金は支払われなかった様で その後カプコンの情報はネット上で暴露されているようだ。

本題からそれてきたのでこの件はここまで カプコンの件を詳しく知りたい方はネットで検索してみてください。

さて本題のQNAPのNASのランサムウェア攻撃に対して
「NASだから大丈夫」ではなく どんなストレージも狙われるということを理解してください。
今回はQNAP製のNASが狙われましたがそれ以外のNASが狙われない等云う保証はありません。
ネットワークのセキュリティ対策をする、アカウント管理を厳重にする 等の対策は必要です。


最後にもう一度言いますが 一旦暗号化されたり、盗まれたデータは(莫大な身代金を払ったところで)戻ってきません。
それと同時に 自社の信用も無くしてしまいます。


 

外付けのHDD(特に2.5インチのポータブルサイズ)に”暗号化 パスワード保護”や”セキュリティ機能を搭載した暗号化ハードディスク”等と謳ったものが結構見られます。
特に昨今のテレワーク環境では企業内のサーバーに保存することが出来ないためこれら暗号化HDDが推奨されることもあるようです。
これらのハードディスクの暗号化は強固でこれを破ることはほぼ不可能です。
もちろん強度の高いパスワードを適正に管理していればです。
※今更ですが誕生日、電話番号、使用者の名前 等を使用していないパスワードという意味ですが。

私共のようなデータ復旧業者にはしばしばこれら暗号化HDDの復旧依頼が来ます。
実は暗号化HDDはデータ復旧が困難であることが多いのです。
データ復旧ができないではなく 復旧しても復号化(暗号を平文に直す)が困難なことが多いのです。

過去にも説明したことはあるのですが 最近また暗号化HDDの復旧依頼が増えつつあるので改めて解説します。

<殆どの方が知らない現実>
暗号化HDDはパスワードを設定していなくとも内部では暗号化されて保存されているのです。
「パスワードをかけていなければ暗号化されていないのでは。データの読み出しは何もしなくても普通に読める。」と言われるかもしれません。
実は
1.PCからデータを書き込む時 外付けハードディスク内の基板上に暗号化チップにより自動的に暗号化されて内蔵されているHDDに保存されている。
2.データを読みだす時1.の逆に自動的に復号され平文のデータとしてPCに読み込まれる。
という工程を経ているのです。
パスワードを設定した場合 この読み出し時にパスワードを要求される様になるのです。
3.基板上の暗号化チップと内蔵されているHDDは紐づけされており(同じ製品であっても)他のケースに入れると復号できません。
例えば「外付けHDDのコネクターが壊れてしまって接続できなくなったので同じ型番の製品を買ってきて中身のHDDを入れ替えた」場合などです。
※ビデオのHDDレコーダーも同様でレコーダーが壊れたから同じ型番の製品を探してきてHDDを乗せ換えても再生できません。

使用されている暗号は極めて強固で正規の手順以外で解読することはほぼ不可能です。

要するにこれら暗号化HDDに障害が発生してデータ復旧できたとしてもそれを使用できるデータに戻すことは難しいのです。

また たまにお問い合わせいただくケースで
「パスワードを設定していた。突然パスワードが通らなくなりデータが読み出せなくなった。」と云うのがあります。
おそらく 使用している方が何か間違えた操作をしたということではなく 何らかの障害によりパスワードを認識しなくなってしまったものと思います。

このケースではデータの救出はほぼ無理です。

ということで パスワードを設定する、しないにかかわらずこれら暗号化対応HDDを使用する場合は より確実にバックアップを採ってください。

自分自身のデータを失うという観点からは これらハードウェアによる暗号化ハードディスクは使用しないほうが無難です。
セキュリティは他の方法で考えてください。

私共おくやま電脳工房はデータ復旧作業に関して
1.簡易的復旧
2.ラボでの本格的復旧
の2段階で行っております。

ご依頼いただいた復旧作業はまず1.の簡易復旧に掛けます。
簡易レベルで復旧できなかった、あるいは復旧作業が最後まで維持できなかった等の場合お客様の了承を得て2.のラボにての本格的な復旧に移行します。
この時点で概算のお見積りと大まかな状況をお知らせしており お客様の予算を大きく超えてしまうと予測される場合 此処まででデータ復旧を中止することがよくあります。
本格的な復旧は調査や準備だけでもかなりな工数を踏むため復旧中止になった場合 作業費用はいただきません(調査費用のみいただきます)。
結果私共が行った作業が無駄になってしまう(リスクが発生)からです。

さて1.の簡易作業というと 「簡単にソフトで調べているだけだろう」と思われるかもしれませんが
実はそんな簡単(簡易)な作業をしているわけでは有りません。

お預かりしたHDDはまず専用装置でイメージデータの抽出を行ないます。(簡単に言うとクローニング)
この作業だけで最近の容量が多いHDDの場合 一日以上かかることも珍しく有りません。
抜き出したイメージデータは一旦保管しなければなりませんから 復旧のご依頼を頂いているHDDと同じかより容量の大きいHDDを用意しなければなりません。

無事イメージデータが抽出できると その抜き出したイメージデータ(別媒体)を元にデータの復旧作業を行ないます。
こちらは比較的システムの状態が良くてもクローニングより更に時間がかかり かつデリケートな症状の場合リトライを繰り返すため2,3日かかることも珍しく有りません。
この時間がかかる作業をオリジナルのハードディスクで行うとより症状を悪化させてしまう可能性があるのです。
またこの作業後 抽出できたデータを保存するのにクローニングと同様 オリジナルのHDDと同じかより容量の大きいHDDを用意しなければなりません。
つまり 1件のデータ復旧毎に2台のHDDを使用しているのです。

ということで 私共おくやま電脳工房が簡易的と言っている場合でも結構な手間をかけていることをご理解いただけると幸いです。