重要なデータを暗号化し、身代金(ランサム)が支払われるまで業務を妨害するランサムウェアの被害報告は後を絶たない。攻撃の手口も多様化しており、身代金を支払ってもデータを取り戻せる保証もない。このような攻撃をセキュリティ対策で防げない場合は、大切なデータを守り、復旧することが必要になる。ランサムウェア対策の最後の砦となる、データ保護の最新動向を紹介したい。

ランサムウェアは2年連続で組織向け脅威の1位に

データ保護、つまりデータのバックアップやリストアは、専門の知識が必要であり、運用も煩雑というイメージがあるので、敬遠されがちだ。しかし、昨今はランサムウェアによる攻撃の被害も多数報告されており、運用者にとっては、業務影響を最小限に抑えるためにもデータの保護は避けて通れない課題となっている。しかも、ランサムウェア攻撃は年々巧妙化しており、単純にデータのバックアップを取っていれば安心というわけではない。

ランサムウェア攻撃は、フィッシングやソフトウェアの脆弱性を突いてターゲットとなる組織のITインフラに侵入して重要なデータを搾取したり、暗号化してデータやデバイスを利用不可の状態にして、それと引き換えにして身代金を要求したりする攻撃のことだ。攻撃を受けた組織はデータの破損や破壊以外にも、生産性の低下、個人情報や財務情報の盗難、横領、詐欺、通常業務の中断、フォレンジック調査、ハッキングされたデータやシステムの復元と削除、風評被害などさまざまな領域で損害が発生する。

IPA(情報処理推進機構)が2022年1月に発表した「情報セキュリティ10大脅威 2022」によると、「ランサムウェアによる被害」が2年連続で組織向けの脅威の第1位となっている。また、警察庁が2022年4月に発表した「サイバー空間をめぐる脅威の情勢等」では、ランサムウェア被害の報告件数は右肩上がりで増加していることが報告されている。ニュースなどでも被害報告が頻繁に報告されていることも考えると、日本でも対応は急務となっている。

複数世代のバックアップ取得で長期にわたる攻撃に対抗

ランサムウェアの被害報告が国内でも急増している中で、ストレージ製品が直接関係するバックアップの視点から見た、ランサムウェア対策の基本についてまずお伝えしたい。

1つ目は「バックアップデータに攻撃者がアクセスできないようにする」ことが重要である。本番データが暗号化されたり、画面ロックされたりした状態から復旧するには、感染前のデータが必要となるが、攻撃者がこのバックアップデータにもアクセスできるような状態であれば、復旧することもできなくなり、身代金を支払う必要が出てきてしまう。最近では元データへの攻撃だけでなく、バックアップサーバへの攻撃や、バックアップデータを暗号化されたり削除されたりするケースも当社のセキュリティエンジニアから報告されている。

2つ目は「十分な長期保存が可能なバックアップポリシーの設定」が必要になる。ランサムウェアには、感染してすぐに活動し始める実行ファイルもあれば、感染してから数週間や数か月後に活動を始める実行ファイルもある。このため、過去のどのタイミングでも戻れるようにするためには、長期にわたって複数世代のバックアップを取得することが大切になる。

最近では、セキュリティの検知の網から逃れるために、侵入者が特殊なドライバソフトウェアを組み込こむことで暗号化による攻撃を運用者から見えなくして、また、少しずつ時間をかけて暗号化していく攻撃例も報告されている。攻撃からしばらく経った後に、このドライバが侵入者によって取り除かれた時には、すべての重要なデータが暗号化されており、データやデバイスが利用できなくなる。

「ストレージアレイの機能として備わったスナップショットやデータのレプリケーションをすれば、ランサムウェア対策になる」と理解されていることがあるが、それは間違いである。取得できるスナップショットの世代には限りがあり、レプリケーションも、感染したデータをすぐに同期してしまうため、直近のデータに戻しやすいが、過去にさかのぼって戻すことは容易ではない。このため、スナップショットやレプリケーションだけではランサムウェア攻撃からデータを守れない。

「3-2-1-1」ルールに基づき、オフラインにデータ逃がす

データ損失の脅威を効果的に軽減できるデータ保護ルールには、ベストプラクティスと言われている「3-2-1ルール」があるが、その進化版が「3-2-1-1ルール」である。これは、少なくとも2種類のメディアにデータのコピーを3部保持し、1部はオフサイトに、もう1部はオフラインもしくは不変的データとして保存することを推奨している。

オフラインでのバックアップ取得では、テープメディアが使われることが多い。テープメディアには、大容量のデータをコンパクトなカートリッジに収められるという特長があるため、データを容易に持ち運び、長期に保管することができる。

3-2-1-1ルールに基づいてバックアップを取得する際は、オンプレミス環境のプライマリアレイに保存されているデータのスナップショットを行い1つ目のコピーを作成し、バックアップアプライアンスに2つ目のコピーを作成する。3つ目のコピーはオフサイトのバックアップアプライアンスやクラウドに取得する。オフラインではテープメディアにバックアップを作成するか、バックアップアプライアンスの不変的コピー機能を活用する。

  • 3-2-1-1ルールに基づくシステム構成例

    3-2-1-1ルールに基づくシステム構成例

テープメディアは設計上オフラインであるため、サイバー犯罪者が利用する無数の攻撃手段から隔離することができる。見ることも、触れることも、改ざんすることもできないテープは、他のすべての防御が破られたときのデータの逃げ道となる。ランサムウェアの被害が多発していることを考えると、テープライブラリーの導入は、比較的安価な選択肢の1つになる。テープメディアで使われるLTO(Linear Tape-Open)規格は20年間、デファクトスタンダードとして認知されており、HPEは当初から規格の策定に携わってきた。

不変的なデータという観点では、最近はバックアップアプライアンスやソフトウェアでも消去および変更できない状態でデータを保存する「Immutable設定」 の機能に対応したものが増えてきているので、こちらの活用を推奨する。

不変的なデータは、スナップショットやバックアップを取得する際に保存期間を設定することで、その期間内はシステムの管理者でもデータを削除できなくなる。このため、仮に攻撃者が重要なデータにアクセスできて、削除しようとしても、一定期間内であればデータを守ることができる。運用時の注意点としては、削除できないデータが無造作に増えてしまい、保存データが急増してシステムの空き容量を圧迫してしまう点が挙げられる。この機能を使う際は、データの重要度も適切に評価して、対象を絞ったうえで、適用することが大切である。

最後になるが、データのバックアップを定期的に取得していても、万が一の時にリストアできなければ意味がない。3-2-1-1に加えて、定期的なリストアのテストも行うことも、対策の一環として備えるべきだろう。