MoinQ:

1. 有識者会議/3.4.3.5 データの復旧

1.1. 3.4.3.5 データの復旧

デジタル鑑識研究所も疑問を投げている。

3.4.3.5 データの復旧

上記の通り、多数の PC やサーバーが Lockbit2.0 によって暗号化されてしまったため、院内のシステムに
あるデータが利用できない状況になってしまった。想定される復旧としては大きく二点である。

2018 年までにオフラインで保管していたバックアップデータについては Lockbit2.0 の影響を受けなかったため、
復旧することができた。
もう一点は、B社による復旧で今回のデータ復元に必要な手段を入手し、対応した可能性である。

特に後者の復旧においては、最終的な復旧方法はB社独自の調査のため詳細は把握できなかったが、
半田病院側との会議の中で「適合が困難で復旧に時間がかかっている」「修復プログラムを組んでい
る」といったようなやり取りがあったこと、さらには、データを復元できていることから、何かしらの方法
で修復に必要な手段を入手し、データの復元を行った可能性がある。

なお、楕円曲線暗号などの暗号技術そのものを解決しなければデータ復旧を行うことができないため、
B社の回答はセキュリティの初心者であるユーザーへの説明不備であり、
修復プログラムではなくデータ復元に必要な手段を入手したと考えるのが復旧の流れとしては考えるのが妥当である。

しかしながら、攻撃者によるデータ暗号に関する脅迫文は最初のプリンタによる出力のみであり、
データが攻撃者によって公開された事実などが確認できなかったこと、そ
れ以降の身代金要求の事実も確認できなかったことなどから、B社の折衝は定かではない。
なお、当然ながら半田病院は身代金を支払わない方針を決めており、身代金を支払った事実もない。

MoinQ: Security/実例/つるぎ町立半田病院/有識者会議/3.4.3.5 データの復旧 (last edited 2022-08-18 14:59:32 by ToshinoriMaeno)