日本
市場トレンド

ランサムウェア対策からみるオフラインデータ保管の重要性

多くの企業・組織では、業務に必要不可欠な書類・資料・図面などのデータを保管しています。近年ではそのようなデータを狙ったセキュリティの脅威――ランサムウェアが猛威を振るい、多数の被害が報告されています。ランサムウェアから大切なデータを保護するには、どのような施策を講じるべきなのでしょうか。

データが勝手に暗号化され「人質」にされるランサムウェア

近年、DXの発展やテレワークの定着によりサイバー攻撃の脅威が増加しています。IoTの普及やワークスペースの広がりは、企業に新たなネットワークを生みだし、セキュリティリスクを拡大しているとも言えます。事実、一般社団法人日本情報システム・ユーザー協会(JUAS)が公表した「企業IT動向調査 2021」では、2016年度以降に減少傾向だった企業の情報セキュリティ関連費用の増減予測が、2020年度は増加に転じています。

中でも企業に甚大な被害をもたらす脅威として挙げられるのがランサムウェアです。ランサムウェアとは、コンピュータのデータを勝手に暗号化して使えないようにし、データの暗号化を解除する条件として金銭を要求する不正プログラムの総称です。データを“人質” に身代金(ランサム)を要求することから、ランサムウェアと呼ばれるようになりました。

2015年頃から被害報告が広がり始めたランサムウェアは、もともと一般消費者への攻撃が主流でしたが、近年では2020年に国内大手製造会社を攻撃した「SNAKE(別名、EKANS)」のように、明らかに特定の企業・組織を狙った「標的型」のランサムウェアが急増しつつあり、例えば感染源となる標的型メールに実在する固有名詞が含まれるようなケースも発見されています。また、RaaS(Ransomware as a Service)とも呼ばれる、ランサムウェアの提供や身代金の回収を組織的に行うエコシステムが成立しており、技術を持たない攻撃者が増加していることも大きな脅威となっています。

日本国内のランサムウェア被害の現状

出典:経済産業省PRESS  2020年12月18日「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」

ランサムウェアへの対策手段として取るべきオフラインのバックアップ

ランサムウェアは、感染したコンピュータに物理的に接続されているストレージ、またはネットワークを経由してアクセス可能なストレージのデータをすべて暗号化してしまいます。パソコン内蔵のハードディスクやSSDだけでなく、データセンターにあるストレージサーバーのデータや、パブリッククラウドのオンラインストレージも、コンピュータのネットワークドライブとしてデータを書き込める状態になっていれば、暗号化されてしまうおそれがあります。

ランサムウェアの被害に遭わないようにするには、いくつかの方法があります。OSや各種アプリケーションを最新にして脆弱性のリスクを減らしたり、様々なセキュリティ対策製品を導入したりすることで、脅威の侵入を防いだり早期に検知できるようにすることです。ただし、セキュリティ対策に「絶対安心」はありません。そこで万が一感染したとしても、データを安全なバックアップ先から復旧できるようにしておくのも有効な手段です。

バックアップ先がネットワークにつながっていれば、そこまで感染が及ぶことがあるので、具体的な対策としては、感染したコンピュータと物理的に接続されていないオフラインのストレージにバックアップデータを保存するようにします。これによりランサムウェアに感染した場合でも、コンピュータのストレージを完全に消去・初期化してランサムウェアの存在を消し去ったのちにバックアップデータを復元すれば、データ消失という最悪の事態を回避できます。

万が一感染してしまっても・・・

ランサムウェアへの感染イメージ

オフライン バックアップで復元

オフライン バックアップでの復元イメージ

長期潜伏型や遠隔操作など巧妙さを増すランサムウェア

サイバー攻撃とその対抗手段は、常にイタチごっこです。かつてのばらまき型ランサムウェアの多くは、感染するとすぐに活動を開始してデータを順番に暗号化していくというものが主流でした。ところが最近の標的型ランサムウェアの場合、感染してから長期間の潜伏期間を経て、突如として活動を開始するものが増えているのです。

また、標的型メールを通じて最初に「RAT(Remote Admin Tool)」と呼ばれる外部から遠隔操作が可能なバックドア型マルウェアを侵入させ、攻撃者が情報収集したのちに感染させるランサムウェアを任意のタイミングで送り込むという攻撃手法も確認されています。
このように時間をおいて活動を開始するのは、被害の範囲をより拡大させることが理由の1 つであり、そのターゲットは、バックアップデータです。

ストレージのバックアップは通常、1日1回、あるいは数時間に1回というスケジュールで実行します。こうしたバックアップを複数世代用意しておくことで、ディスク故障などのハードウエア障害、あるいは間違ったデータの上書きなどの人為的ミス、さらにランサムウェアなどのマルウェア感染によるデータ消失に備えるわけです。

しかし、感染したランサムウェアが休眠状態にあると、過去のバックアップデータにも知らず知らずのうちにランサムウェアが含まれてしまうことが考えられます。保管している複数世代のバックアップデータのすべてにランサムウェアが含まれていたとすれば、いくら復元しても感染を繰り返すことになります。攻撃者はそれを狙っているのです。

ランサムウェア対策のバックアップデータを狙うなど巧妙な攻撃も登場

データだけを独立してLTOテープへ物理的に隔離しておくことも1つの手段

こうした手口に対処するには、実行形式ファイルも含むディスクイメージを丸ごとオフラインにバックアップするだけでなく、万一に備えて必要なデータだけを抽出して保存することも有効です。バックアップデータは一般的に迅速な復旧に備えてニアラインストレージに置きますが、重要なデータファイルだけはコンピュータから物理的に隔離したエアギャップ環境に保存しておくと、ランサムウェア対策の効果はより高まります。

また、企業には「直近で使用予定はないが残しておきたい」というアーカイブデータ(長期保管データ)が必ず存在しますが、それらの保管場所を日頃使うデータやバックアップデータと一緒くたにしているケースも多く、このような運用の仕方では、上述のとおり、ランサムウェアの被害を避けることはできません。そこで、大容量かつ当面使わないデータは、LTOテープなどの外部メディアに保管するのも1 つの有効な手段です。

そうしたニーズに対して、富士フイルムではアーカイブ用のテープストレージである「ディターニティ オンサイト アーカイブ [アタッチモデル]」を提供しています。
本製品は、NASなど既存のストレージとテープライブラリを接続し、既存のストレージからLTOテープへデータを自動で退避できるシステムです。テープへのデータ退避のポリシーは、アクセス頻度やファイルサイズ、ファイル名や拡張子単位で設定でき、それに基づき自動でデータを退避させるので、システム担当者の負荷をかけず、効率的に運用できます。HDDと同感覚の操作性でLTOテープへのデータ書き込み・読み出しも簡単です。何より、ひとたびLTOテープへ外出ししてしまえば、マルウェア感染のリスク低減はもちろん、プライマリストレージのデータ圧迫のリスク、突然の停電などのアクシデントによるHDDの故障リスクも低減できます。

LTOテープを活用してデータを物理的に隔離するイメージ

ランサムウェアに感染した場合、攻撃者が「金儲けにつながる」と味を占めて再犯を繰り返さないように、身代金は決して支払ってはいけないといわれています。

身代金を支払いさえすれば、攻撃者がデータの暗号化を解いてくれるという安易な保障もありません。しかし、重要なデータが暗号化されて復元する手立てがないのであれば、泣く泣くデータを諦めざるを得ません。そうした事態を招かないためにも、オフラインのストレージにデータを保管するという選択肢も重要になってくるのです。

ランサムウェア対策に。オフライン保管も可能なLTO テープストレージソリューション