2015年4月、英ロンドンの宝飾店街「ハットンガーデン」の貸金庫が破られ、総額2500万ポンド(約39億円)相当の宝石類や現金が盗まれるという事件が発生した。犯人は60代と70代を中心とするシルバー窃盗集団であった。事件は復活祭の連休中に発生した。窃盗集団は、従業員が不在となるイースター(復活祭)休暇を利用して壁に穴を空け、多数の貸金庫を開けたのであった。

前述の窃盗集団は4日間、貸金庫のあるビルに出入りすることができた。4日間はこの犯行には十分な時間であった。ランサムウェア攻撃では、このような時間を滞留時間(dwell time:デュエルタイム)と呼ぶ。攻撃者が最初にファイアウォールを破ってから被害者に身代金を要求するまでのこの滞留時間を理解することが、インシデントからの復旧のカギとなる。

複数のステップを踏んで実行されるランサムウェア攻撃

ランサムウェア攻撃は通常、キャンペーンと呼ばれるフェーズから始まる。例えば、従業員を標的とした、マルウェアへのリンクを含むフィッシングメールの送信やインターネットに接続するシステムの脆弱性スキャンなどである。手段にかかわらず、このフェーズの目的は、攻撃の標的を見極めることと、侵入手段を確立することにある。

次のフェーズが侵入である。ランサムウェア攻撃者がファイアウォールの内側に侵入すると、残りの一連の攻撃プロセスのロックが解除され、この時点から滞留時間が始まる。ファイアウォール内に侵入すると、ランサムウェア攻撃者は標的のネットワーク内を横断的に移動し、より深い部分へのアクセスのために必要な認証情報を集める。

多くの場合に、RDP(リモート・デスクトップ・プロトコル)などの正規プロトコルに依存するツールを使用した遠隔操作によりコマンド&コントロール(C&C)を確立する。この段階で機密データを特定し、データの暗号化と窃盗を実行するためのソフトウェアのペイロード(悪意ある行為を実行するプログラム)の展開を開始する。

用意周到な攻撃者を完全に排除することがほぼ不可能だとすると、ランサムウェア攻撃を耐え抜くには、滞留時間が始まる前の状態にリストアする能力が必要であり、さらに、それをいかに迅速に行うかが重要な要件となる。すなわち、スナップショットやバックアップからのデータの高速リストアが、対策の決め手となる。

ランサムウェア対策の決め手はスナップショット

スナップショットには、業務時間中のシステムの状態および、データを高頻度の間隔で取得したものが記録されている。スナップショットを使用することで、被害を受けたシステムを高粒度で以前の構成にリストアできる。

スナップショットは、本番システムへの影響を最小限に抑えるよう設計されており、プライマリ・ストレージまたはその近くに保存されることが多い。したがって、スナップショットからのデータのリストアも、通常は迅速に行えることになる。一般的には過去1~2カ月分のスナップショットが保存されている。

一方、バックアップ・コピーの保存期間はスナップショットよりも長い。作成頻度はスナップショットよりも低く、通常は業務時間外の定期的なバックアップ・ウィンドウで行われる。バックアップ・コピーは、ほとんどのケースでセカンダリ・ストレージに保存されるため、リストアに時間がかかる。

滞留時間などの状況によっては、迅速なリストアが可能なスナップショットは、ランサムウェア攻撃からの復旧に最も効果的な方法となる。ただし、ランサムウェア攻撃によって妨害されていない場合に限る。

スナップショットは不変でなければならない

スナップショットは以前から読み取り専用で実装されており、常に不変なはずである。ランサムウェア攻撃者もそのことを知っており、スナップショットの削除や移動を試みる。したがって、ユーザー側は、削除できないスナップショットおよび、復旧目的でのスナップショットの移動を妨害できない仕組みを提供するプロバイダーを探す必要がある。

さらには、複数のIT担当者による認証を要する、PINを使用した多要素認証の設定、保存ポリシー、保存先の設定が可能なスナップショット機能を選ぶことが有用である。

ランサムウェアの滞留時間が比較的短いケースでは、スナップショットが有効なリストア手段となり得る。しかし、滞留時間が常に短いとは限らない。ランサムウェア攻撃には、数カ月かけてファイアウォールの内側で探索を続け、マルウェアをインストールしてファイルを破壊するものがある。このようなケースでは、バックアップからのリストアが必要になる。

スナップショットとバックアップのいずれを使用する場合でも、本番環境を迅速に復旧するには、データを速やかにリストアすることが重要な要件となる。そのカギを握るのが、データ保護のためのバックアップ・コピーを保存するストレージ、すなわち、高速なリストア能力を持つストレージである。

スナップショットの保存に適したストレージとは?

では、高速なリストア性能を備えた、スナップショットやバックアップの保存に最適なストレージ製品とは、どのようなものだろうか。第一に、ソリッド・ステート・ストレージであること。ただし、ファイル/オブジェクトを含む非構造化データに対応するものを選ぶことが重要で、ソリッド・ステート・ストレージなら何でもよいというわけではない。

最新世代のNANDフラッシュが、極めて高速なアクセスが可能な大容量ストレージ・アレイの出現を可能にした。TLCやQLCフラッシュを搭載したストレージ・アレイは、大容量であると同時に、テラバイトあたりのコストはHDD と同等という良好なコスト対容量を提供する。

第二に、スループット性能が高いこと。現在入手できる最高性能のソリッド・ステート・ストレージ・アレイでは、1時間あたり270 TB以上のスループットを達成している。ただし、このレベルの高スループットを提供するストレージ・ベンダーは少ないため、必ず仕様書を確認することをお薦めする。

ランサムウェア攻撃に対する防御は、いかにして滞留時間開始前の状態に戻すかにかかっている。これには、圧倒的なスループット性能を持ち、かつ、高速リストアが可能な大容量ストレージが欠かせない要素となる。