1. ホーム
  2. 【特集】そのバックアップはランサムウェア対策になっていますか?

特集

【特集】そのバックアップはランサムウェア対策になっていますか?

  • 2017年5月中旬、暗号化型のランサムウェアWannaCryによる被害が世界中に拡散しました。

    身代金(Ransom)を要求するマルウェアは以前からありましたが、加速度を増して洗練されより巧妙に、個人や企業のコンピュータやシステムを狙っています。その被害の規模は驚くほどです。

    ランサムウェアへの対策としてバックアップツールが有効、とは耳にするようになりましたが、「そのバックアップ方法、ランサムウェアにとっては格好の餌食!」と思えるような方法も見受けられます。

  • 進化するランサムウェア

    数年前には、添付ファイルをクリックさせる方法でファイルを暗号化しファイルの拡張しを変更するもの、ファイル名そのものを変更するもの(Lockyなどが有名)などから被害が目立ち始めました。

    やがて、ウェブのポップアップ広告から感染させるものや、データベース関連のファイルや仮想化環境を検知して狙うものも登場し、接続された外部ディスクやNASどことか、ネットワーク全体にまで被害が及ぶ種類にまで進化しています。

    驚くことに、被害にあったコンピュータ上で支払いに関するチャットでのサポートの提供や、ランサムウェアによる攻撃者側のサイトを開設し、誰でも登録してお金を稼ぐ仕組みを提供するなど、被害の拡散を加速する、オープンな環境が用意されてきています。

    このように、次々と生まれる新しいマルウェアの攻撃を完璧に防げるセキュリティ対策は存在しない、と考えたほうが良さそうです。境界の防御に加え、万が一侵入されてもシステムに大きな被害が出ないような対策が必要です。

  • ランサムウェアからデータを守るには

    はじめに書いてしまうと

    ・ランサムウェアは数百種類のファイルを暗号化したり、大量のファイルを削除するため、ファイルやフォルダの複製をつくって保存するファイルバックアップではカバーしきれません。
    ・OSの起動にかかわるしくみ自体を暗号化してしまうランサムウェアもあり、OSが起動しなくなったPCをまた使用できる状態にするには、OSの初期化と再設定が必要になります。
    ・どのファイルが暗号化されたかを判断することも出来たのは過去のランサムウェア、進化した現在のランサムウェアでは、暗号化されたファイルをひとつひとつ探し当てて書き戻すことはほんど不可能です。
    ・潜伏期間が1ヶ月にも及ぶランサムウェアも現れました。そのための対策もしっかり立てなければなりません。

    ランサムウェア対策として企業が行う対抗策は多層にわたります。

    OSやソフトウェアの脆弱性を修復するアップデートの適用やアンチウイルスなどの各コンピュータの保護、ネットワーク上のワームの拡散防止、感染経路など最新情報(=不審なリンクや添付ファイル、ウイルスに感染したWebサイト、 不正なオンライン広告、感染したUSBドライブ)を手に入れることなどです。

    それでは、ランサムウェア対策としてのバックアップとして有効な方法を考えてみましょう。

  • まずはイメージバックアップ

    オペレーティングシステム、アプリケーション、設定、すべてのファイルを含むシステムやディスクまるごとをバックアップする、イメージバックアップが有効です。フォルダやファイルを個別に複製するデータバックアップに較べて、復元にかかる時間がとても速いのです

    また、感染前の、バックアップした時点の状態にOSや設定を含めてまるごと復元できます。アプリケーションの再インストールやWindowsのアップデートを一からやり直す必要もありません。

  • 3−2−1のバックアップ

    この「中堅中小企業のバックアップ」で繰り返しおすすめしている、3つのデータで運用(そのうち2つはバックアップデータ)、2種類の媒体(ストレージ)に保存、そのうちひとつは別の場所に保存する、3−2−1−のルールも大切です。

    クラウドストレージに保管

    社内のサーバーやコンピュータ、どれか1台がランサムウェアに感染すると、同じネットワーク内のマシン全てが感染してしまう可能性が高いランサムウェア。企業のバックアップでは、必要な時にハードディスクドライブを接続して、というのはほぼありませんし(そもそも禁止されている場合がほとんどかもしれません)サーバーやNASに保存されているデータが安全ともいえません。
    そのためクラウドストレージへの保管、それも出来れば、独自のプロトコル(通信手段)で暗号化されたデータの転送であればさらに安全です。

    バックアップの期間は数ヶ月以上

    1ヶ月以上の潜伏期間を待って活動するランサムウェアに対抗するためには、数ヶ月間のバックアップを保持することも必要です。バックアップデータが増えてくるとストレージの容量が心配になってきますが、ほとんどのバックアップ専用のソフトウェアでは、差分、または増分を指定してバックアップを継続してとり続けることが出来ます。
    そのため、初回の基本となるバックアップデータの以外は、毎回完全にバックアップをとる場合と較べてデータのサイズは大きくなりません。

    もちろん、バックアップは最後の砦であって、上記のバックアップは、外部ストレージやクラウドにバックアップをとる前提ですが、そこまで手間や時間をかけられない場合には、バックアップソフトに搭載されている便利な機能を活用することも選択肢のひとつです。

    例えば、バックアップソフトのAcronis Backup(アクロニス バックアップ)では、PCの内部、または外部のドライブに Acronis Secure Zone(アクロニス セキュアゾーン)と呼ばれるOSが認識出来ないデータの保存領域を作成して、そこにバックアップデータを保存できます。OSが認識出来ないエリアであればマルウェアも認識が出来ません。

    そして、Acronis Backupでは、マルウェアを関知して防御し、万が一遮断する瞬間までにファイルの改変/変更/暗号化などが行われてしまった場合にも、瞬時に元のファイルに書き戻す Acronis Active Protection(アクティブプロテクション)という機能も活用出来ます。

    以上のように、イメージバックアップ、3−2−1のルール、クラウドの活用、長期の世代管理、ソフトウェアに付属する機能の活用により、日々進化し脅威を増すランサムウェアからバックアップデータを守りましょう。

  • トップページへ戻る