日本
市場トレンド

ランサムウェア対策からみるオフラインデータ保管の重要性

多くの企業・組織では、業務に必要不可欠な書類・資料・図面などのデータをファイルとして保管しています。近年ではそのようなファイルを狙ったセキュリティの脅威――ランサムウェアが猛威を振るい、多数の被害が報告されています。ランサムウェアから大切なデータを保護するには、どのような施策を講じるべきなのでしょうか。ここではデータの保管の仕方から考えてみたいと思います。

データが勝手に暗号化されてしまうランサムウェア

2015年以降、被害を拡大させているセキュリティの脅威として、ランサムウェアが挙げられます。ランサムウェアとは、コンピュータのデータを勝手に暗号化して使えないようにし、データの暗号化を解除する条件として金銭を要求する不正プログラムの総称です。データを“人質”に身代金(ランサム)を要求することから、ランサムウェアと呼ばれるようになりました。

もともとは一般消費者のパソコンに保管されている大切な画像データを暗号化するようなランサムウェアが主流でしたが、最近はあらゆるデータを狙ったランサムウェアが続々と登場しています。

その代表と言えるのが、2017年に猛威を振るった「WannaCry」というランサムウェアです。このランサムウェアは感染したコンピュータのストレージを暗号化し、それを解除するために300~600ドル相当の暗号通貨(仮想通貨)を要求するというものでした。Windowsの脆弱性を突く形で感染が拡大し、一説によると150カ国23万台以上のコンピュータに被害が及んだとも言われています。

このWannaCryの事件をきっかけにランサムウェア対策の意識が高まり、メールやWebサイトを経由した「ばらまき型」のランサムウェアについては徐々に沈静化する傾向にあります。その代わりに、明らかに特定の企業・組織を狙った「標的型」のランサムウェアが急増しつつあり、例えば感染源となる標的型メールに実在する固有名詞が含まれるようなケースも発見されています。

ランサムウェアへの対策手段とは?

ランサムウェアは、感染したコンピュータに物理的に接続されているストレージ、またはネットワークを経由してアクセス可能なストレージのデータをすべて暗号化してしまいます。パソコンに内蔵されているハードディスクやSSDだけでなく、データセンターにあるファイルサーバーのデータも含まれます。さらにはクラウドサービス事業者が提供しているオンラインストレージも、コンピュータのネットワークドライブとしてデータを書き込める状態になっていれば、暗号化されてしまうおそれがあります。

ランサムウェアの被害に遭わないようにするには、いくつかの方法があります。OSや各種アプリケーションを最新にしておくことで脆弱性のリスクを減らしたり、さまざまなセキュリティ対策製品を導入したりすることで、脅威の侵入を防いだり早期に検知できるようにすることです。

ただし、セキュリティ対策に「絶対安心」はありません。そこで万が一感染されたとしてもデータを安全なバックアップ先から復旧できるようにしておくのも別の手段です。バックアップ先がネットワークに繋がっていれば、そこまで感染が及ぶことがあるので、具体的な対策としては、ランサムウェアの不正プログラムが実行されるコンピュータと物理的に接続されていない、オフラインのストレージにデータを複製し、バックアップデータとして保存するようにします。

これにより万一ランサムウェアに感染したとしても、コンピュータのストレージを完全に消去・初期化してランサムウェアの存在を消し去ったのちにバックアップデータを復元すれば、データ消失という最悪の事態を免れることができます。このようにオフラインのストレージにバックアップデータが保存しておけば、ランサムウェアによる金銭奪取を困難にできるわけです。

高度化・巧妙化するランサムウェアの手口

もちろん、ランサムウェアも、その手口はどんどん高度化・巧妙化する傾向にあります。かつてのばらまき型ランサムウェアの多くは、感染するとすぐに活動を開始してデータを順番に暗号化していくというものが主流でした。ところが最近の標的型ランサムウェアの場合、感染してもすぐに活動を開始しません。長期間の潜伏期間ののち、突如として活動を開始するものが増えているのです。また、標的型メールを通じて最初に「RAT(Remote Admin Tool)」と呼ばれる外部から遠隔操作が可能なバックドア型マルウェアを侵入させ、攻撃者が情報収集したのちに感染させるランサムウェアを任意のタイミングで送り込むという攻撃手法も確認されています。

このように時間をおいて活動を開始するのは、被害の範囲をより拡大させることが理由の1つです。そのターゲットは、バックアップデータです。

ストレージのバックアップは通常、1日1回、あるいは数時間に1回というスケジュールで実行します。こうしたバックアップを複数世代用意しておくことで、ディスク故障などのハードウェア障害、あるいは間違ったデータの上書きなどの人為的ミス、さらにランサムウェアなどのマルウェア感染によるデータ消失に備えるわけです。

しかし、感染したランサムウェアが休眠状態にあると、過去のバックアップデータにも知らず知らずのうちにランサムウェアが含まれてしまうことが考えられます。保管している複数世代のバックアップデータのすべてにランサムウェアが含まれていたとすれば、いくら復元しようとも感染を繰り返すことになります。攻撃者はそれを狙っているのです。

データを物理的に隔離しておくことも1つの手段

こうした手口に対処するには、オフラインのストレージにバックアップデータを保存する際に、データファイルだけを上書き不可の状態で保存するようにします。つまり、アプリケーションのプログラムのような実行形式ファイルも含むディスクイメージを丸ごとバックアップするだけでなく、万一に備えて必要なデータだけを抽出して保存するわけです。バックアップデータは一般的に迅速な復旧に備えてニアラインストレージに保存しますが、重要なデータファイルだけはコンピュータから物理的に隔離できるテープメディアなどに保存しておくと、ランサムウェア対策の効果はより高まります。

こうした観点はバックアップだけでなく、アーカイブの必要性にもつながります。企業が抱えるデータの中には、「直近で使用予定はないが残しておきたい」というデータは必ず含まれているはずです。しかし、それらの保管場所を明確に区別せず、日頃使うデータやバックアップデータと一緒くたにされてしまっているケースも多く見られます。しかし、そのような運用の仕方では、上述のとおり、ランサムウェアの被害を避けることはできません。

そこで、大容量かつ当面使わないデータは、磁気テープなどの外部メディアに保管するのも1つの有効な手段です。そうしたニーズに対して、富士フイルムではアーカイブ用のテープストレージである「ディターニティ オンサイト アーカイブ」を提供しています。テープと聞いて、レガシーツールを連想し読み出し速度や操作性に不安を持つ方も少なくありませんが、それはいまや過去のイメージです。

本製品はGUIからの直感的な操作で磁気テープへのデータの書き込み・読み出しを簡単に行えるだけでなく、HDDも備えたハイブリッド型のストレージであるため、通常のファイルサーバーの延長線上で手軽にテープアーカイブを行うことができます。何より、ひとたび磁気テープへ外出ししてしまえば、これまで述べてきたマルウェア感染のリスク低減はもちろん、プライマリストレージのデータ圧迫のリスク、突然の停電などのアクシデントによるHDDの故障リスクも低減させることができます。

ランサムウェアに感染した場合、攻撃者が「金儲けにつながる」と味を占めて再犯を繰り返さないように、身代金は決して支払ってはいけないと言われています。身代金を支払いさえすれば、攻撃者がデータの暗号化を解いてくれるという安易な保障もありません。しかしながら重要なデータが暗号化されて復元する手立てがないのであれば、泣く泣くデータを諦めざるを得ません。そうした事態を招かないためにも、オフラインのストレージにデータを保管するという選択肢も重要になってくるのです。

ランサムウェア対策に。オフライン保管も可能なLTOテープストレージソリューション