ある週末明けの月曜日に出社したところ、会社のファイルサーバとして使用していたBuffalo製NAS(LinkStation)内にあったファイルが全て消えてしまっていたとのことで、法人のお客さまから弊社サービスについてお問い合わせをいただきました。お客さまのご要望としては、データが元通りに復元されることが最優先であったことから、先にデータ復旧調査を行いました。そしてその次に、なぜデータが消えてしまったのか、社内の人物による犯行も視野に含めつつ、デジタルフォレンジック調査を行い全データ消失の原因と、その手口及び経緯が解明されることになりました。
トラブルが発生したLinkStationは、「LS220DNB Series」の「LS220DN0802B」という型番の製品です。4TBのHDDが2台搭載されていて、ミラーリングが機能し続けていた状態でした。いずれのHDDも正常に稼働しており、故障や不具合は一切検出されませんでした。データ消失の原因はハード的なトラブルに起因したものではなかったということです。なお、詳細は後述しますが、このデータ消失トラブルは、ご依頼のあった企業において突発的に発生したものではないことがその後分かりました。さらに、この型番の製品だけが抱えていた問題ではなく、同社製のNAS(LinkStation及びTeraStation)であれば同様の被害が生じる可能性があることも判明しました。このことはメーカからも注意が呼びかけられていますので、Buffalo社のNAS製品をお使いであれば、ぜひご確認されることをお勧めします。
消失したNASデータの復元
1.まずはバイナリデータの残存状態をチェック
消失データの復旧を目的とした解析調査において、最初に行うは「消失状態のバイナリデータ観察」です。本件Buffalo製NASのようにLinuxで稼働する製品では、ユーザの共有ファイルが保管される領域のファイルシステムが「XFS」であることが多く、データ復旧ソフトを用いたとしても、ある意味で「いい加減な復元結果」しか得ることができません。なぜならばファイルシステムの仕様がそうなっているからです。このことはext3/4についてもいえます。過去には、そうした仕様を無視(?)して復旧ソフトで消失データを処理し、ファイルの中身とファイル名がズレてしまう可能性を意識せず、あたかも正常に復元できたものと思い込んでしまい、結果的に大規模な情報漏洩が起きてしまったこともあります。2012年の出来事でした。今でもネットで検索していただければ、当時のニュースが見つかると思います。(※社名はここでは控えます。)
さて、まずはバイナリデータの残存状況をチェックして、復元の余地が残されているのかどうかを確認します。というのも、本件のようなサイバー攻撃によるデータ消失の場合には、データ復元の可能性までをも絶つような処理が行われてしまうことがあるからです。もし早い段階で復元の可能性が無いことが分かるのであれば、お客さまとしては早めに復元を断念することによって、無駄な調査コストの負担をなくすことができます。
バイナリデータの残存チェック以外にも、暗号化や初期化フォーマットの有無などの確認も行います。こうしたことを調べることで、データが消される前までは元々どのように記録されていたのか、そしてそのデータがどのような過程を経て消えたのか、その経緯が次第に浮かび上がってきます。すると今度は逆に、データを復元するためには、その過程をさかのぼって元の状態に戻せば良い分けですから、必然的にデータ復元に必要な解析処理のプランが決まります。そしてさらには、そのプランで解析処理を進めた場合には、どのようなデータ復元結果になるのかの見込みが立つことになります。弊社のデータ復旧サービスでは、通常ここまでを「1次解析」で行い、報告会にて判明事項の説明や復元見込みなどを解説します。
今回ご相談のあったNASのHDDを調べたところ、上図のスクリーンショットが示すように、バイナリ値の残存が認められました。ここではページサイズの都合上、ごく一部しか表示できていませんが、実際にはこのようなバイナリ値の残存確認は、HDD全域に対して行われました。なお、バイナリ値とは上図の左側の区画にある「FF D8 FF」で始まる領域にある値のことです。そしてそのバイナリ値を文字コード変換した結果であるテキストが、右側の区画内に表示されています。上図内には「Apple iPhone 11」という表記が見えるかと思います。こうして平文テキストの存在が確認できるということは、データが全面的に暗号化されていなかったことを意味します。つまり、少なくともなんらかのデータ復元の見込みはあることになります。
- バイナリデータの残存を確認
- 平文テキストの残存を確認
2.データの消え方を分析し、復元方針を決定する
さらにデータの復元見込みを探るべく、ファイルシステムの種別を特定し、それに応じたデータの消え方を調べます。この事例ではファイルシステムは「XFS」でした。また、ファイルが消えた際に実行された処理内容を把握するため、「inode(読み:アイノード)」と呼ばれるデータを検出して分析します。「inode」にはファイルの実体部分の記録位置情報が含まれていますので、もしその記録位置情報が残存しているのであれば、ファイルが消えたのは「ファイル削除」処理によるものではなく、「ボリュームの初期化フォーマット」が原因であったものと考えられることになります。すると必然的に「inode」及び「ディレクトリエントリ」など、ファイルやフォルダを元通りに復元させるための情報が残存する確率が高まりますので、より精度の高い復元結果を期待することができるようになります。しかしながらあいにく今回の事例においては、検出した「inode」を分析したところ、ファイル実体の記録位置情報が消滅していたことが判明しました。このことはつまり、「ボリュームの初期化」によってデータが消えたのではなく、「ファイル削除」の処理が実行されていたことを意味します。だからといって、まだ復元をあきらめる段階ではありません。「ジャーナル」の残存に期待を持てるからです。
- ファイルリストは「XFS」
- 「inode」を検出し、ファイルが消えた経緯を分析
- 「ボリュームの初期化」または「ファイル削除」を特定
もしも「ジャーナル」と呼ばれるデータの残存があれば、フォルダ構造ごとファイルを元通りに復元できる可能性があることになります。逆に「ジャーナル」の存在を確認できない場合には、ファイルカービング解析での復元に制限されることになりますので、ファイル名やフォルダ構造が元通りにはならないことが決定してしまいます。お客さまとしては使いずらい復元結果ですので、あくまでファイルカービングによるファイル復元は、最終手段にしたいところです。さて、今回の調査では幸い「ジャーナル」の記録が検出されました。
- 「ジャーナル」の残存を確認
上記までの予備的な解析によって、本件のBuffaloのNASは、「ファイル削除」処理によってファイルが消されてしまっていたことが分かりました。また、「ジャーナル」の残存も確認できましたので、これらにより、データ復元解析の方針が導き出されたことになります。つまり、(1)フォルダ構造やファイル名の再現を伴うデータ復元を見込むことができる。(2)そのためには「ジャーナル」を主に活用する。(3)「inode」及び「ディレクトリエントリ」は補助的に活用する。(4)実ファイルの内容に基づくファイル形式と、ファイル名の拡張子が示すファイル形式との合致具体を調べて、信頼度の高い復元結果を出力する。というものです。
- 予備解析によりファイル復元のための方針と解析工程が決まる
上記までの予備解析を行うことによって、いよいよ本番となるデータの復元にむけた解析処理をどうすればよいのかが決まった、ということになります。あとはメインの復元解析です。
3.消失ファイルをフォルダ構造ごと復元
事前の準備は整ってしまえば、あとはメインの復元解析となります。今回のNASは容量が4TBと大きく、かつファイル数も膨大な量であったことから解析にはそれなりの時間を要しましたが、予め何をどう活用すれば精度の高いデータ復旧結果を得ることができるのかを把握済みでしたので、メインの復元解析はスムーズに進みました。
結果として、フォルダ構造を伴い、かつファイル名も再現された状態の復元結果となり、お客さまにも納品前にファイルの状態をご確認いただき、無事にOKとのご判断に至りました。消失したBuffalo NASのデータ復元に成功です。
不正アクセスによるデータ消失と判明
ファイルの復元は無事に成功となりましたが、本件におけるお客さまのご要望は、「なぜファイルが消えたのか」をはっきりさせることでもありました。そこで今度はデータ復旧調査ではなく、デジタルフォレンジック調査を行い、原因究明に取り組むことになりました。
4.アクセスログとシステムログの解析
調査対象となるデータは、NAS内のOS領域と、前段で復元したファイルです。厳密にいうと後者に関しては、復元後のファイルだけでなく、残存していた「inode」及び「ディレクトリエントリ」も含まれました。しかしながら調査が進むにつれて、解析対象の主体はNASのOS内にあるログ情報になりました。なお、ログの一部はNASの操作マニュアルに基づき、管理者機能を用いて取得できるものもありますが、その方法ですと部分的な情報しか取得できませんので、今回の調査ではOS内の全域を対象として、削除済みログの復元も行いつつ、徹底的にログを集めました。なおログにも様々な種類がありますので、一旦はあらゆるログの収集を行いましたが、最終的には外部からNASへのアクセスログと、NAS自体のシステムログの2種類が主な分析ターゲットになりました。
- 社外からNASへのアクセスログ
- NAS自体の動作履歴の記録であるシステムログ
5.NASに見つかった3つの欠点
他にもNASの各種設定項目や、メーカーのWEBサイトにある情報なども含めて調査を進めたところ、今回のNASには大きく3つの欠点があったことが判明しました。それは、(1)管理者パスワードがNASを購入した初期状態のままであった。(2)「Webアクセス機能」が有効であった。(3)ファームウェアの更新がされていなかった。という3点です。
- NAS出荷時の初期パスワードから変更されていなかった
- 「Webアクセス機能」が使われていた
- 脆弱性のあるファームウェアバージョンのまま運用されていた
6.数年に及ぶ不正アクセスと全データの意図的な消去と判明
そして、収集したログ情報とも照合したところ、今回のデータ消失が発生する数年以上前から、社外からの不正アクセスが断続的に行われていたことが分かりました。さらに、データ消失が発生したタイミングも明らかになりました。追加の調査により、そのタイミングで出社していた社員はいなかったことも確認がとれました。こうしたことから、犯行は社外からの不正アクセスであったものとの特定に至りました。
なお、ランサムウェア攻撃の際に残されるような犯行ノートは見当たりませんでした。身代金の支払い要求もありませんでした。また、NASのおかれていた状況からすれば、不正アクセスなどの犯行の形跡を消すこともできたはずでしたが、こうしてフォレンジック調査によって被害発生の経緯や原因が究明できましたので、証拠隠滅を目的とした処理はあまり実行されていなかったものと考えられます。
被害にあわないためには「パスワード変更」と「最新のファームウェア」を
7.初期パスワードは必ず変更を
今回の調査対象はNASでありLinkStationでしたが、同社製のTeraStationに対しても同様の注意がメーカから出ています。さらに同社製のWi-Fiルータも併用している場合には、外部からの意図せぬアクセスが行われていないか確認をされることをお勧めします。
8.ファームウェアのバージョン確認とアップデート(脆弱性対策)
今回の製品に関するファームウェアアップデートの呼びかけは、メーカ等によっても次の通り行われています。
BuffaloのNASデータの消失被害が起きたときは
このページではBuffalo社製のLinkStationに生じたデータ消失事案の対応実例を記載していますが、TeraStationも同様のことが当てはまる製品があります。また、なるべく良いデータ復元結果をご要望される場合には、早めに弊社までお問い合わせください。弊社にはデータ復旧の専門家が常駐していますので、お持ち込み下されば即日着手可能です。また秘密保持契約の締結が可能な法人様には、実データを目の前で解析するなどしながら、被害状況の詳細なご説明も承ります。事前相談や報告会はWEB会議形式で行うことがほとんどですが、直接弊社ラボまでお越しいただければ、対面式でのご説明も可能です。どうぞお気軽にお問合せ下さい。
お問い合わせ先
アイフォレンセ日本データ復旧研究所(株)
0120-835-706 または 06-6345-0523
同様の事案に関する情報
- BUFFALO:Webアクセス機能をより安心してご利用いただくために
- INTERNET Watch:バッファロー、NASおよびWi-Fiルーターのパスワード変更を呼び掛け、不正アクセスの事例受け
- IT media:「NAS/Wi-Fiルーターの初期パスワード変えて」 第三者が不正アクセスしてデータを削除する事例 バッファローが注意喚起
- Security NEXT:NASとWi-Fiルータの初期パスワードに注意喚起 – バッファロー
以上