ランサムウェア攻撃の最後の砦 バックアップ
近年、ランサムウェアによる脅威が企業を脅かしています。
感染すると、システム全体に被害が拡大し、事業継続に大きな影響を与えた事例が、国内でも
複数報告されています。
今回は、ランサムウェアの概要と、ランサムウェア攻撃に対する最後の砦といえるバックアップの重要性や注意点について取り上げます。
ランサムウェアとは?
"ランサムウェアとは、『身代金』と『Software(ソフトウェア)』を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、
このような不正プログラムがランサムウェアと呼ばれています。"
IPA「ランサムウェア対策特設ページ」から引用
ランサムウェアの主な感染経路は、VPN機器、リモートデスクトップからの侵入です。
感染すると、システム全体に被害が拡大し、事業継続に大きな影響を与えた事例が、国内でも
複数報告されています。
企業・団体等におけるランサムウェア被害として、都道府県警察から警察庁に報告のあった件数は、令和2年(2020年)下期より、右肩上がりで推移し、以降も多くの被害が発生しています。
サイバー空間をめぐる脅威の情勢等内令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について 図表1(CSV)参照
こうした被害発生件数の増加などもあってか、IPAの「情報セキュリティ10大脅威」の組織編において、2021年度から2024年度まで4年連続して1位になっています。
ランサムウェアに備える方法 ーバックアップ
ランサムウェアからの攻撃を100%防御することは非常に困難です。境界型防御やセキュリティ対策ソフトをすり抜ける事例も報告されています。
万が一攻撃を受けた際も、バックアップデータが無事であればデータを復旧することが可能です。
そのため、バックアップを取っておくことは大変重要であり、ランサムウェアからの最後の砦といえます。
バックアップデータ保護の重要性
ただバックアップを取っておくだけでは安全とはいえません。攻撃者も容易に復旧されないようにバックアップデータも攻撃の標的としているからです。
例えば、以下のような手法で攻撃が行われることがあります。
・ バックアップデータ自体が暗号化される。
・ バックアップデータが削除される。
・バックアップソフトウェアがアンインストールされる
そのため、バックアップを取得するだけでなく、バックアップデータを保護するための仕組みが重要です。
バックアップデータ保護のポイント
仕組み ① 侵入されにくいOS
バックアップ製品に対して、OSレイヤーで侵入される危険性があります。WindowsやLinuxといったシェア率の高いOSは、情報が広く流布しているため、攻撃者にとっても攻撃のための情報が集めやすいです。
それに比べ、独自OSは攻撃のための情報が限られているため、攻撃の難易度は高いといえます。
仕組み② 書き換え不可なバックアップデータ
バックアップデータ自体が上書きされることを防止するために、バックアップデータを書き換え不可にする必要があります。この機能は、イミュータブルバックアップ機能やWORM機能と呼ばれています。
その他の対応策として、アクセス不可な領域に保管するエアギャップ、管理ツールの多要素認証などがあげられます。
またバックアップ製品の機能だけでなく、自社で気を付ける方法として、いわゆる「3-2-1ルール」に則るなどの対策も有効です。
迅速な復旧のために注意する点
データのバックアップを取っているだけでは、破壊されたデータやマルウェアが潜むデータは復旧に利用できません。
そのため、復旧する際にはランサムウェアによる攻撃を受けていない安全なバックアップデータを特定する必要があります。
しかし、保持しているバックアップの世代数が多いほど、安全なバックアップデータを特定するのに時間がかかることがあります。そのため、バックアップデータが安全であることを確認するための機能が重要です。
最近のバックアップ製品にはAIなどを活用し、異常を検知する機能が搭載されており、これらの検知機能を利用することによる調査対象を絞り込みにより、安全なデータの特定までにかかる時間を短縮することが可能です。
ランサムウェア攻撃に対応したソリューション
ここまで、ランサムウェアに対応する砦は、バックアップであることと考慮すべき点をお伝えしました。SCSKのプライベートクラウド USiZEでは、これらの機能を実装し、ランサムウェア攻撃からデータを守るソリューションを整備していますので、ご紹介します。
バックアップデータ保護 ~標準バックアップサービス
バックアップデータの保護の仕組みとして、USiZEが提供する標準バックアップでは、独自OSや上書きや削除が不可能なイミュータブルファイルシステムという仕組みを実装しています。
また、管理ツールは、多要素認証によるなりすまし防止やSMB/NFSといった汎用的なアクセス方式の制限など様々な仕組みにより、バックアップデータを保護しています。
事業復旧対応 ~ランサムウェア対応サービス
USiZEでは、ランサムウェア攻撃時に、迅速にデータを復旧し、お客様のスムーズな事業復旧支援するランサムウェアサービスをご用意しています。
バックアップ侵害検知
ランサムウェアによる攻撃の疑いを検知した際に、電話やメールにてお客様に通知します。通知を受け取る以前に取得していたバックアップデータは暗号化された可能性が低いため、復旧に利用可能なバックアップデータの特定にかかる時間を削減することができ復旧までの
時間を短縮することが可能です。
バックアップ保持
ランサムウェア攻撃を検知した以降のバックアップジョブが実行されないように自動で一時停止を行い、破壊されたデータのバックアップ取得や世代管理のため、バックアップデータが削除されることを防止します。
仮想マシン隔離
仮想マシンの仮想NICを自動で遮断し、感染拡大を防止します。
まとめ
ランサムウェアは今後さらに巧妙かつ増加していくと予想されます。企業データの漏洩やシステム停止による事業停止を防止するために、現在のバックアップを含むデータの保管場所やデータの保護方法でそれらの脅威に対応できるか、確認を行い、対応を講じることが重要です。