2023 年 8 月 18 日金曜日、デンマークのクラウド ホスティング プロバイダーである CloudNordic がランサムウェア攻撃を受けました。

（以前のウェブサイトはこんな感じでした。2023年8月24日現在、「見つかりません」と表示されています。）

ハッキングされたことについて彼らは次のように語っていた。

CloudNordicのお客様

残念ながら、2023年8月18日（金）午前4時、CloudNordicはランサムウェア攻撃を受け、ハッカーによる全システムのシャットダウンを受けました。ウェブサイト、メールシステム、お客様のシステム、お客様のウェブサイトなど、あらゆるシステムがシャットダウンされました。この侵入により、CloudNordicは完全に麻痺し、お客様にも大きな打撃を与えました。

身代金を求めるハッカーの金銭的要求に応じることはできないし、応じたくないため、CloudNordic の IT チームと外部の専門家は、被害の概要と再現可能なものを把握するために懸命に取り組んできました。

残念ながら、これ以上のデータの復元は不可能であることが判明し、大多数のお客様のデータが全て失われてしまいました。これは、現時点でご連絡を差し上げていないすべてのお客様に適用されます。

ハッキング攻撃は警察に通報された。

状態

私たちはこの状況に深く影響を受けており、今回の攻撃が多くのお客様にとって非常に重大なものであることを認識しています。データに加え、すべてのシステムとサーバーが失われ、通信にも支障が生じています。現在、ネームサーバー（データなし）、ウェブサーバー（データなし）、メールサーバー（データなし）など、空のシステムを復旧しました。

引っ越さずに前進するための支援を受ける

ドメインを移行することなく、メールとウェブを再びご利用いただけるよう、DNS管理インターフェースを備えた同じネームサーバー、新しいウェブサーバー（データなし）、そしてメールサーバー（データなし）をご用意し、お客様のドメインを復元いたします。件名に「RESTORE」とご記入の上、 [email protected]までご連絡ください。メールには、メールアドレス、電話番号、ドメインをご記入ください。新しいウェブサイトとメールソリューションへのログイン情報が提供されます。このログイン情報から、ご自身でウェブサイトをアップロードし、メールアドレスを作成できます。

手作り

早急に DNS 管理が必要なドメインについて:

これは、ドメインの DNS を再び機能させる最も速い方法です。

• すべてのネームサービスサーバーを再構築しましたが、お客様のDNSゾーンはまだ取得できていません。ゾーンの大部分は、 https://securitytrails.com/list/keyword > your-domain.xx > サブドメイン（非常に技術的な内容です）からコピーできます。
• [email protected]までご連絡いただき、下記の通り（メールまたは電話で）所有者として認証された場合は、ドメインが引き続き指しているネームサービスに再度登録するようご依頼いただけます。その後、セルフサービスDNSツール（PowerDNS-Admin）にアクセスして、以下のいずれかを行うことができます。
  • 必要な DNS ゾーンを作成します。
  • Securitytrails からゾーン要素をコピーします (上記参照)。

移行したいドメインについて:

ドメインの移管には数日かかる場合があるので、より早く DNS を再び使用したい場合は、まず上記のオプションを使用し、その後でドメインを移動することもできます。

• .dk ドメインの場合、別のプロバイダーから新しい Web ホテルを注文することができ、 punktum.dkを介して、新しいプロバイダーへのドメインの移管を承認する権限が自分自身にあります。
• .comドメインの場合、新しいプロバイダーからドメインを注文し、CloudNordicの認証コード（auth code）を使用する必要があります。その場合は、 [email protected]までご連絡ください。現在、すべてのリクエストに対応しきれない状況にありますので、できる限り迅速かつ効率的に対応できるようご協力をお願いいたします。認証コードはドメイン所有者にのみ送信されていることを確認する必要があり、以下の対応が可能です。
  • ドメインの登録者（所有者）にリンクされたメールに送信します。
  • ドメイン登録者（所有者）の電話番号にご連絡の上、認証コードを口頭でお伝えください。当社にお電話いただいても認証コードは発行できません。該当する電話番号にお電話いただければ、認証コードを発行いたします。そのため、 [email protected]までご連絡いただき、こちらからお電話いたしますようご依頼ください。
  • メールまたは電話でご連絡いただけない場合、作業にさらに時間がかかり、最終的に後回しになってしまいます。もちろん作業はできる限り進めさせていただきますが、現段階では具体的な日程についてはお伝えできません。誠に申し訳ございません。
  • .comドメインのサプライヤーであるAscioに直接お問い合わせください。help@ascio.comまでご連絡ください。
• その他のドメインについては、ルールが異なります。.dk以外のドメインはすべてAscio社が取り扱っておりますので、.comと同じ手順でご登録ください。認証コードが必要となるドメインもあれば、不要なドメインもあります。

独自の Web サイトを再作成できるようにするための提案:

• ローカルバックアップを所有
• Waybackからのコピー – https://web.archive.org/

推奨メールアドレス:

• プロバイダにメールを復元してもらい、自分のパソコンのメールクライアント（Outlook、Apple Mailなど）に古いメールがすべて保存されている場合は、クライアントに新しいメールアカウント用の新しいメールアカウントを作成してください。その後、クライアントから新しいメールアカウントにメールを転送できます。
• メールクライアントで既存のアカウントの情報を修正した場合、メールクライアントはすべてのメールを削除します。その後、メールを復元するには、まずメールクライアントを変更前の状態に復元し、新しいメールアカウントを設定してから、手動でメールを移行する必要があります。Macの場合は、内蔵のTime Machineプログラムを使用できます。

どうしたの？

サーバーをあるデータ センターから別のデータ センターに移動する必要があった際、移動されたマシンがファイアウォールとウイルス対策の両方で保護されていたにもかかわらず、一部のマシンは移動前に感染しており、以前のデータ センターでは積極的に使用されていなかったため、感染があったことは認識されていなかったと推測されます。

あるデータ センターから別のデータ センターにサーバーを移動する作業中に、以前は別のネットワーク上にあったサーバーが、残念ながら、すべてのサーバーを管理するために使用される社内ネットワークにアクセスできるように配線されてしまいました。

攻撃者は内部ネットワーク経由で中央管理システムとバックアップ システムにアクセスしました。

バックアップ システムを介して、攻撃者は次のものにアクセスできました。

• すべてのストレージ（データ）
• レプリケーションバックアップシステム
• 二次バックアップシステム

攻撃者はすべてのサーバーのディスクとプライマリおよびセカンダリ バックアップ システムを暗号化することに成功し、その結果、すべてのマシンがクラッシュし、すべてのデータにアクセスできなくなりました。

データ侵害なし

攻撃は全ての仮想マシンの全ディスクを暗号化することで発生しましたが、データ侵害の証拠は確認されていません。攻撃者がマシン自体のデータ内容にアクセスできたことは確認されていませんが、管理システムにアクセスし、そこからディスク全体を暗号化できたことは確認されています。非常に大量のデータが暗号化されましたが、大量のデータのコピーが試みられた形跡は確認されていません。

当社はこの事態を深く遺憾に思うとともに、長年にわたり当社をご利用いただいた多くの忠実な顧客に感謝申し上げます。

心から

クラウドノルディック

つまり、完全なデータ損失です。

「データ漏洩なし」

…何？

CloudNordic が発表した声明の最初の行には、同社のすべてのサーバーがハッキングされ、侵害されたと書かれている。

すべてのデータが侵害されました。サーバーに保存されていたすべてのデータは、漏洩したも同然です。

「大量のデータがコピーされようとした兆候は確認されていない」と言うのは意味がない。

それは単なる空白のPR声明です。

これは CloudNordic にとって何を意味するのでしょうか?

どうなるか見てみましょう。明らかに彼らは顧客に対して、この状況を「仕方がない」と片付けてしまったようです。

支払いを行っているすべてのクライアントのデータが消えてしまった今、あなたは自分自身に問いかけなければなりません。

そのうち何人が自分でバックアップを取っていたでしょうか？おそらく少数でしょう。

そのため、信頼できると信頼していたホスティングプロバイダーが突然すべてのデータを失った場合は…

おそらく二度目のチャンスは与えないだろう。その時点でもう決まったんだろう。

もし私が CloudNordic の顧客の立場だったら、このブランドの背後にいる人々に対する信頼はすべて失われていたでしょう。

すると、CloudNordic のデッドプールに関する議論が残ることになります…

(よく知らない人のために説明すると、デッドプールとは、 WebSite と25230では破産を意味します。)

有料顧客の大多数が離れれば、CloudNordic は事業を継続できなくなるだろう。

ホスティング ビジネスは、信頼性に関しては、その評判に大きく依存します。

ランサムウェアによってすべてのデータを失った企業として知られていると、信頼は得られません…

この状況が引き起こした宣伝の多さを考えると、たとえこの状況を乗り越えたとしても、同じブランド名で成長を続けるのは難しいだろう。

彼らの最大のセールスポイントに今や大きな穴があいてしまった。

ランサムウェア攻撃が増加中

ランサムウェア攻撃はここ数年増加傾向にあります。

最近では、Acer のような大企業でさえ、ランサムウェア攻撃の被害者になっています。

これは儲かるビジネスであり、ランサムウェア攻撃がすぐに止まるとは思えません。実際、攻撃はより頻繁になり、より巧妙化し続けると思います。

大手ITセキュリティ企業Zscalerによると、「ランサムウェア攻撃は2023年に37%以上増加し、企業の平均身代金支払額は10万ドルを超え、平均要求額は530万ドルに達しました。」

私は関係者ではありませんが、ランサムウェア攻撃に関する非常に優れたレポートをまとめています。一読の価値があります（受信にはビジネス用メールアドレスが必要です）。

いずれにせよ、ランサムウェア攻撃がすぐに止まるとは期待できません。止まらないでしょう。

特にホスティングプロバイダーとして、サーバーを適切に保護することは重要です。それがあなたの報酬の源ですから。

次のような単純なもの:

• ルートを無効にする
• ディスクの暗号化
• ログインにSSHキーが必要
• 特定のIPのみにサーバーへのアクセスを許可する
• UFWのようなファイアウォールの設定

会社全体をデッドプールから救うか、あるいはデータが暗号化されて無の空間に消えてしまうのを防ぐのに役立ちます。

少なくとも外部バックアップを設定してください…

CloudNordic は支払うべきだったのか?

彼ら自身が言うように、「我々は犯罪ハッカーの身代金要求に応じることはできないし、応じたいとも思っていない」。

ハッカーが要求した金額、仮に100万ドルだとしても、彼らは支払えなかった。当然だ。

しかし、公平に言えば、たとえ彼らにそれを買う余裕があったとしても…私はおそらく自分ではそれを支払わなかったでしょう。

過去には、身代金を支払っても被害者にとって有利な状況にはならず、暗号通貨を元に戻すことができない事例が複数ありました。

FBIでさえ身代金を支払わないことを推奨している。

FBIは、ランサムウェア攻撃への対応として身代金を支払うことを支持していません。身代金を支払っても、あなたやあなたの組織がデータを回復できる保証はありません。また、身代金を支払うことは、犯罪者がより多くの被害者を狙うことを助長し、他の人々がこの種の違法行為に関与する動機を与えることにもなります。

彼らは支払うべきではなかったが、そもそもサーバーを安全に保護しておくべきだった。

彼らにとってこれを乗り越えるのは非常に困難だろうが、可能性はある…

CloudNordic にとってこれがどのような結果をもたらすか見てみましょう。