ネバダ州がランサムウェア攻撃に遭ってから復旧までの様子をまとめてレポートにしたものが公開されています。ここでは、このレポートを元にして、ランサムウェア攻撃からの復旧に関して簡単にまとめていきたいと思います。
尚こちらは「脅威インテリジェンスコース」の中(11/08)で題材として取り上げ、議論を行なったものになります。
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- 脅威インテリジェンス育成コース(受講生随時募集中)
- ホワイトハッカー育成コース(2025年12月生募集中)
ネバダ州のインシデント
2025/08/24にネバダ州でランサムウェア攻撃による被害が確認されました。政府のサイトや電話機能、オンラインプラットフォームに障害が発生し、2025/08/25にはすべての州政府オフィスが閉鎖されました。ネバダ州知事Joe Lombardo氏の事務所は、2025/08/25にXにこの事件に関する情報を掲載しました。
その後、2025/08/27に本件がランサムウェアグループによる攻撃であること、情報が流出したことなどが発表されました。
最終的にシステムが復旧するまで、28日間がかかっています。今回公表されたレポートではシステム復旧に向けた取り組みで具体的に何をやったのか・幾らくらいかかったのか、などが詳細に書かれています。本レポートから「ランサムウェア攻撃が発覚した際の復旧の段取り」や「日頃何をしておくべきなのか」「復旧させるのにどれくらいの時間がかかるのか」などが垣間見えてきますので、以下で要旨を(感想を交えながら)まとめてみます。ご興味のある方は是非元情報のレポートを一読してください。
インシデントの時系列
以下がインシデント対応をしていた際に発覚した、インシデントの初期発生時から復旧作業に向けての時系列になります。表の中の一部の情報に関しては、下の方で箇条書きで細かい情報を追加しています。
| 日時 | イベント | フェイズ |
| 2025/05/14 | ソーシャルエンジニアリングによる最初の侵害 (1) | 侵害 |
| 2025/06/26 | SymantecEDRによるマルウェアファイルの隔離発生。しかし、バックドアが残った状態 (2) | 侵害 |
| 2025/08/05 | 攻撃者によるキーロギング・画面録画ができるリモート監視ツールのインストール | 侵害 |
| 2025/08/14 | 攻撃者によるカスタマイズされた暗号化トンネルの設置 | 侵害 |
| 2025/08/15〜2025/08/24 | ・攻撃者によるアクセスがエスカレートし、別のシステムにもリモート監視ツールのインストールなどが行われる。 ・パスワード保管サーバーを含む複数のサーバーにアクセスし、26のアカウント+パスワードを取得。 ・バックアップサーバにログインしてバックアップを削除。 ・VM集中管理サーバにログインして設定を変更する。 | エスカレート |
| 2025/08/24 01:52 | VMがオフラインになったという障害が検知される。またこの際にはネバダ州知事技術局(GTO)がシステムからロックアウトされていた状態 (3) | インシデントレスポンス |
| 2025/08/24 07:37 | インシデントがCIOと知事室にエスカレーションされる(4) | インシデントレスポンス |
| 2025/08/24 09:51 | GTOによりバックアップからの管理アクセスが回復。暗号化されたファイルと身代金要求ファイルを見つける | インシデントレスポンス |
| 2025/08/24 12:37 | 影響を受けたVMが隔離される | インシデントレスポンス |
| 2025/08/24 16:44 | 法律顧問とMandiantが関与(5) | インシデントレスポンス |
| 2025/08/24 17:03 | 回復プロトコル開始 | 回復 |
- 2025/05/14にソーシャルエンジニアリングによる最初の侵害が発生した模様です。どうやら職員がシステム管理ソフトウェアをダウンロードしようとした時に、(脅威アクターがあらかじめ仕込んでいた)正規のGoogle広告を通して配布されていた「マルウェア入りの管理ツール」をダウンロードして実行してしまった模様です。この辺は近年(2023年頃から)よく行われている手法です。これにより、マルウェアが実行されてバックドアも開いていた模様です。
- 2025/06/26にSymantec Endpoint Protectionがマルウェアを見つけて隔離してくれていた模様です。しかし残念ながら、バックドアは開いたままだったとのことです。この辺は実際の技術的なデータがないとわかりませんが、ファイル除去しても永続性を担保するようにしていたと思われます。
- 脅威アクターが認証情報を書き換えたため、VM停止に気付いたネバダ州知事技術局(GTO)達は当初システムからロックアウトされた状態になっていたそうです。急遽、バックアップの認証情報を戻すことでようやくアクセスでき、暗号化されたファイルと身代金要求メモを発見したそうです。
- インシデント対応計画が予め策定されており、定期的に訓練がされていた模様です。その一環で、CIOや知事まで情報が速やかに伝わっています。
- ここで早めにMandiantを入れたのが、今回のケースで早めに回復がされた結果につながっています。
インシデント発生時から復旧への体制
今回のインシデントでは、予め策定された・かつ定期的に訓練されていた「インシデント対応計画」に基づいて、物事が進められています(ある意味、お手本のようなケースです)。
結果としては、下記のような役割でインシデントへの対応体制が組まれた模様です。
| チーム | 役割 |
| GTO(ネバダ州知事技術局) | ベンダーへの連絡と復旧作業 |
| Mandiant | 侵入分析 |
| DELL | データの復旧 |
| Microsoft | O365の復旧 |
| その他ベンダー | その他ベンダーの箇所の復旧 |
今回のインシデントでは、(インシデントは未明に発生したため)その日の朝というかなりの初期段階から、州知事までの報告がなされて迅速に対応が開始されています。
また、身代金に関しては、初期段階から「絶対に払わない」ということが決まっていたそうです。
更に報告書を読むと出てきますが、インシデント対応に関しても「インシデント対応プレイブック」が予め作成されており、Microsoftの災害復旧チーム(DART)やDELL・Broadcom(VM)等の各ベンダーや、DHS・FBI等に協力を仰いでいます。
初日の午後という早い段階でMandiantに協力を依頼していたのも素晴らしい対応だったと思います。彼らの参加により、早い段階で「どこからインシデントが発生したのか」を突き止めるのが可能になったためです。通常、「どこからシステム侵害が発生したのか」がわからないと、データを「いつの時点の状態で」復旧させるのかが課題になってしまいますが、これが早い段階で突き止められたからです。
さらに、Mandiantの調査のおかげで、侵害箇所の封じ込めもできたのも復旧を早くできた点です。これがなければ、被害がどんどん拡大していたと推測されます。
ネバダ州がやっていた「いざという」時のための訓練
ネバダ州は毎年セキュリティインシデント対応の訓練に定期的に投資していましたが、今回発生したインシデントでその有用性が証明されました。複数の(指導層の参加を含む)機関の協力で実施されていた演習によ り、インシデント発生時における全ての関係者の責任と役割が理解されていました。担当者に対してのインシデント対応プレイブックも準備されていました。
結果として、今回のインシデント発生時にはネバダ州知事・ 知事室・知事技術局(GTO)・最⾼情報責任者(CIO)・司法長官室・リスク管理部門・各機関の指導部等による、迅速かつ協調的な行動につながっています。日頃からの投資と訓練により、迅速な意思決定と作業が可能になり、 公共サービスの混乱を最小限に抑えることに成功しています。
復旧にかかった費用
今回のインシデント対応にかかった費用も報告書に書かれています。それによるとそれぞれのベンダーに下記のような費用が支払われたそうです。
| ベンダー | 提供サービス | 費用 |
| Microsoft (DART) | 統合的なサポートとインフラの再構築 | 354,481ドル(約5400万円) |
| Mandiant | フォレンジックとインシデント対応 | 248,750ドル(約3820万円) |
| Aeris | 復旧とエンジニアリングサポート | 240,000ドル(約3690万円) |
| BakerHostetler | 法律及びプライバシー顧問 | 95,000ドル(約1460万円) |
| SHI (Palo Alto) | ネットワークセキュリティサービス | 69,400ドル(約1065万円) |
| DELL | データ復旧とプロジェクト管理 | 66,500ドル(約1020万円) |
| その他ベンダー | 各種サポートサービス | 240,069ドル(約3680万円) |
当然これらはベンダー費用だけであり、ネバダ州知事技術局(GTO)の作業費やその他の関連部署の人件費や、インフラが復旧するまで代替で作業を行なっていた際の作業費などは別になります。
今回の教訓:ランサムウェア攻撃からの復旧が何故難しいのか
今回のネバダ州の事例を見ていると、ランサムウェアからの復旧の難しさと普段からの心がけが見えてきます。昨今のランサムウェア攻撃に関して筆者がセミナーなどをすると、よく質問で出てくるものとして
- バックアップから切り戻せないの?
- 暗号化が問題なんでしょ?身代金払って復活してもらうというチョイスは?
- DRサイト(災害対策の拠点)は作っていなかったの?
- なんでシステム復旧にそんなに時間がかかるの?
などが上がってきます。それぞれを今回のネバダ州の事例を踏まえて説明しましょう。
Q1. バックアップから切り戻せないのか?
A1. オフラインのバックアップがあったとしても、いつの時点のバックアップが「綺麗」なのかがわからない限り戻せません。
まず「オフラインにしてあるバックアップが存在する」ことが大前提です。これはランサムウェアというキーワードが日本でも流行り出した5~6年くらい前からずっと強調されていたことです。「バックアップメディアも暗号化されていた為戻せません」ということが発生しないように、バックアップシステムは運用状態のシステムとはネットワークを切り離しておこうというやつです。この辺は割と広まっており、ある程度の規模の組織であれば普通の常識だと思いますので、まずこれが大前提になります。
では何故「バックアップがあってもすぐに戻せない」という自体が発生するかというと、「どの時点のデータに戻したら、攻撃者に侵入されていなかった状態なのか」がわからないからです。
例え1ヶ月前のデータを戻したとしても、脅威アクターが2ヶ月前にシステムに侵入していたのでは意味がありません。リストアする際には慎重にマルウェアなどの混入物がないかをスキャンして戻すとは思いますが、悪意のあるファイルを発見できたとしても、バックドアまで除去できるかは別の話になります。今回のネバダ州の件でも、Symantec Endpoint Protectionがマルウェア自体は見つけていましたが、バックドアは除去できませんでしたよね?。バックアップする際にマルウェアが混入されていなかったかも現在のストレージベンダーの技術だと可能です(筆者も20年以上前にEMCで働いていましたが、その時代でもCAVAを使用してストレージにマルウェアは入らないようなソリューションがありました)。
特に3〜4年前から、所謂LOTL(Living-Of-the-Land)攻撃(侵害したシステム内に存在するOSコマンドやツールを活用して攻撃を行う手法)が増えており、マルウェアがなかったからと言って安心できるわけではありません。今回のネバダ州の件だとわかりやすいですが「認証情報を脅威アクターが書き換えた後の段階」にバックアップを戻してしまったら、他のところにもバックドアを仕込んでいる可能性もありますので、マルウェアが除去されたとしても意味をなさないです。
今回のネバダ州での問題で一番素晴らしいと思われるのは、「最初期の段階でMandiantに依頼を行っていたことで、侵入の時期が特定できた」点です。これがわかれば、バックアップから戻すとしても、その初期侵入前の段階(2025/05/14より前)に戻せば良いのです。当然、その後に2025/08/27くらいまでの差分データを戻すことにはなりますが。
専門家の力を借りないと、ログなども改竄・削除されていますので、この「いつ?」を判明させるのに時間がかかります。ログサーバなどを準備していないと、信頼できるログも無い状態です。その状態での調査はほぼ不可能ですよね。ネバダ州の件は本当に素晴らしい(理想的な)初動だったと思います。
ちなみにバックアップベンダーなどでもよく「ランサムウェア被害に対応するためのバックアップ」が議論になっており、通常の3-2-1ルール(バックアップ業界でよく言われている用語で、バックアップファイルのコピーは3個・記録メディアは異なる2種類・1個は別の場所 (オフサイト) に保管)に加えて、最低でも1ヶ月、できれば1年分を残しておいた方がいい、という話も聞かれます。今回のネバダ州の件を見ても、2025/08/24に発覚しましたが侵入は2025/05/14と3ヶ月前に行われています。バックアップはできれば一年分は残しておいた方が無難だと思われます。
Q2. 暗号化が問題なんでしょ?身代金払って復活してもらうというチョイスは?
A2. ランサムウェアはもはや「暗号化」は関係ないと思ったほうが良いです。
暗号化が・・という話は随分前に出ていましたが、現時点でのランサムウェアグループによる脅迫は、いわゆる「二重脅迫型」(「データの窃盗」を行なってから「ファイル・ディスクの暗号化」を行い、その2つを用いて被害者を脅迫)が主流になっています。なので、問題の本質は「データの窃盗」です。暗号化が解ける・解けないという話も(現状復旧のためには)重要ですが、本質はもはやそこにないことに気をつけてください。
また、2023年ごろから「ノーウェアランサム」(情報窃取をして身代金を恐喝するがファイルは暗号化しない)も流行っています。BianLianランサムウェアグループなどが代表的です。もはや暗号化と「ランサム(脅迫)」は切り離して考えた方がいいです。
更に、「身代金払って・・」というのは、以下の点から問題です。そもそも相手は犯罪者なので、信用できると思う方がどうかしています。
- 本当に複合できるかどうかわからない。
- 複合できたとしても、侵害されたシステムにはバックドアが残っている可能性が多分にある
- そもそも窃取したデータは持っているので、それを破棄する保証はない。今回の攻撃者が「破棄した」と言っても、他の脅威アクターに売り渡している可能性がある。
Q3. DRサイト(災害対策の拠点)は作っていなかったの?
A3. DRサイトは「地震などの復旧に使われるもので、ほぼリアルタイム(あるいは夜間など)にデータが同期してしまう」ため、意味がありません。
DRサイト間のストレージは(筆者もEMC時代に関わっていましたが)夜間などにストレージのビットパターンがコピーされたりします。つまり、侵入されたシステムがそのままDRサイトにもある、という状態になっています。これではDRサイトに切り替えても意味はありませんよね?暗号化されたファイルも同期されているかもしれませんよ?
Q4. なんでシステム復旧にそんなに時間がかかるの?
A4. リストアテストをしていることが大前提ですが、整合性を保ってシステム復旧を行うには、やはり時間がかかります。
まず「リストアテスト」をしていることが大前提です。バックアップを取るだけでリストアテストを行っていなければ、「神棚に祭り上げて祈っている」ものと何ら変わりはありません。
システムを少しでも齧った方ならご理解いただけると思いますが、ソフトウェアによっては数日前のバックアップをリストアしてもすんなり「数日前の状態」に戻るわけではありません。下手なソフトウエアでは動かなくなります。
これらが複雑に絡み合っている業務システムを想像してみましょう。「システム全体を数日前の状態に戻す」だけでも、相当の日数がかかるということがわかりますよね?
これはA1で答えたように「システムにいつ侵入したかが判明したら」ようやくこの作業に移れるわけです。専門家の力を借りないと、ログなども改竄・削除されていますので、この「いつ?」に時間がかかります。ログサーバなどを準備していないと、信頼できるログも無い状態です。
さらに、そこから数日分の差分をどんどん戻していかなくてはなりません。この辺もバックアップから戻せたとしても、「全部の整合性を保ったまま、元に戻すのにどれくらいの時間がかかるか」が想像できると思います。特に相当前にシステム侵入していた場合には、その分時間がかかります。システムにいつ侵入したかが判明しない場合には、この辺も含めて手探りでやっていくことになるので、相当な時間がかかることが想像できると思います。
さらに言ってしまうと、ネバダ州の場合には
- 初動で専門家を介入させて
- 十分な災害対策訓練を行っていて
- インシデント対応プレイブックも作ってある
状態でも28日間かかっています。DELLによるストレージ復旧に一番時間がかかったようですが、これは暗号化からの復旧なのか、綺麗なデータへの切り戻しなのかは、この報告書では見つかりませんでした。何にしても、これだけ綿密な体制が組まれていても、復旧に約1ヶ月かかっているわけです。一般の企業の復旧が数ヶ月かかっても、何ら不思議はありません。
まとめ
今回のネバダ州の公開資料から下記のようなことが結論づけられます
- 「インシデント対応計画」の策定と訓練は大事です。特に最上級責任者なども交えた訓練を行っておくことで、実際のインシデント対応がスムーズになります。
- 担当者に対しての「インシデント対応プレイブック」の準備も大事になります。今回、プレイブックに従って、早めにMicrosoftやDELLなどのベンダーに連絡をとり、復旧体制を組めたことが早期の復旧につながっています。
- 早めに「法律専門家」と「セキュリティ専門ベンダー」を入れておくのは大事です。特に今回(しつこいですが)最初期にMandiantを入れておいた事により、早い段階での封じ込めと復旧ポイントの策定ができています。
- 最後に逆説的ですが「これだけ体制をしっかり組んで、訓練もしていた政府機関」であったとしても、復旧に約1ヶ月がかかっています。なのでランサムウェア攻撃に遭った被害企業・関係者に「まだ治らないの?」みたいに心無い言葉は掛けないでください。中の人たちは一生懸命にやっています。
