>バックアップから復旧させる
ランサム攻撃の被害は、バックアップデータの入ったサーバやディスクが使用不能にされるのが、普通です。
テープに保管してあるのなら、そこから戻せますが、古いデータです。
アサヒの場合、受注と物流システムのサーバ群(バックアップ含む)すべてがつかえなくなった。
受注データと出荷のための在庫データを倉庫の実在庫と合わせないと行けません。しかも手作業の出荷も続けています。常に在庫は変化しています。
人手と時間が必要です。
アスクルも在庫物流システムがやられているので似たようなものでしょう。
ボールペン1本までシステムと実在庫を合わせないていけません。
物理サーバも何処まで侵害されているかわかりません。サーバ機の再インストールで解消しないものを仕込まれているかもしれません。
買いなおすかクラウドに作り直すか。
侵入防止もしなければなりません。侵入経路を調べるためのログデータも消されているでしょう。
アサヒで使っていたセキュリティソフトは、マイクロソフトのものです。攻撃者は、Linux用ツールやランサムウェアをWindows上で使っていたりします。
マイクロソフトセキュリティソフトが健在でも検出自体無理に思えます。
アサヒは、ユーザー認証の要のActiveDeretryサーバもやられています。ユーザーアカウントが漏洩している可能性があります。Microsoft365と連携しているでしょう。
ユーザーアカウントを作り直すと配下のいきのこっている各パソコンやサーバ上のデスクトップも作り直しされます。アクセス権も再設定。
Microsoft365上に構築したものものも再設定や新アカウントに移行が必要です。
時間が、かかるのは仕方ありません。
