被害後の回復力を高めるバックアップでランサムウェアに対抗

2021年から2022年にかけて、製造業や医療機関など多様な業種のバックアップシステムがランサムウェアに感染する事故が相次いだ。さらに過去にさかのぼると、2017年にWannaCryというランサムウェアが流行した際も、WannaCryによって暗号化されたデータがバックアップされてしまい、システムを復旧できなくなった事例も存在する。ランサムウェア対策として、バックアップシステムの保護と回復用データの早期特定の重要性はこれまでにも説明してきたが、本稿ではその具体的な手法を紹介したい。

自然災害を想定したバックアップでは不十分

 まず、バックアップシステムがなぜランサムウェアに感染してしまうのだろうか。その原因の一つが従来のバックアップに対する考え方や、その運用にある。従来の運用の流れとその課題を図1に整理した。従来のバックアップは、自然災害や人為的ミスによるデータ消失を想定した構成となっており、バックアップ先も基幹ネットワークに接続されているなど、ランサムウェアをはじめとするサイバー攻撃をあまり意識したものではなかった。しかし、ランサムウェアに対して無防備な状態では、PCやサーバーがランサムウェアに感染した場合、基幹ネットワークを通じてバックアップシステムが被害に遭う可能性が高まる。実際に、万が一の際の回復用としていたバックアップデータが復旧できず、システムの回復に時間がかかったり、復元できなかったりするなど、数カ月と長期にわたり事業停止にまで陥るケースが発生していたのだ。

事業継続性を考慮したバックアップの在り方

 では、どのような対策を取ればランサムウェアに対抗し、事業継続性を高めることができるのだろうか。肝心なのは、バックアップの設計だ。バックアップシステムの構成、バックアップの運用、バックアップからの回復手順などを考慮し設計する必要がある。各フェーズで取り入れてほしい点を下記にまとめた。



●バックアップシステムの構成時
・バックアップサーバーへのランサムウェア対策の実施
・バックアップデータの保護手段の確立(プロテクテッドエリアへのバックアップ、冗長化、コピーや同期方式ではないバックアップ方式の採用など)
・多世代のバックアップを取得できる仕組みづくり
・ストレージやLTO※1などを活用したオフラインバックアップシステムの活用

●バックアップ運用
・フルバックアップと差分バックアップのスケジューリング
・システムバックアップとデータバックアップの使い分け
・オンラインバックアップとオフラインバックアップの併用
・暗号化されたデータがバックアップされた際の検知と対処

●回復手順
・EDR※2の活用など、暗号化された範囲およびファイルの特定、暗号化が始まった日時の特定手段の確立
・回復用データの検証方法の確立
・回復作業の手順化


 このように、事業継続を考慮したバックアップでは、実施に当たり押さえておくべき点が多い。そのため、SIerによるコンサルテーションの支援を受けることをお薦めする。その中で、システムの構成検討やバックアップ運用手順作成、回復手順作成といった作業が想定されるが、前述した運用に社内要員で対応するのが難しい場合には、MDR※3サービスやデータ回復を支援するサービスの活用が効果的だろう。MDRサービスはEDRをベースにランサムウェア感染の早期検知や封じ込めを支援するだけでなく、万が一の際にも暗号化された範囲およびファイルの特定、暗号化を開始した日時の特定も支援する。

 データ回復を支援するサービスは、提供元にもよるが回復用データの検証や回復手順のリハーサルなどが対象となる。ここまで準備しておけば、いざという時の回復時間を短縮できて事業継続性を高められるので、ビジネス停止に備えての検討要項と言える。

暗号化対策と併せてデータ窃取対策も

 ここまでデータ回復について説明してきたが、最近のランサムウェアの中には暗号化だけでなく、データを盗んでダークウェブへ暴露するケースもある。このケースに関しては、一度盗まれてしまえばどうしようもない。そのため、窃取対策も欠かせない。例えば、機密情報を盗んだ悪意のある第三者からの参照を拒否できるIRM※4の活用、機密情報を保管するシステムのネットワーク分離(セグメンテーション)、管理者権限が盗まれてもアクセス不可にする特権ID管理などの対策が必須であることも忘れてはいけない。

 ランサムウェアを用いたサイバー攻撃は、事業に多大な影響を与え得る。事業継続の観点で優先的に取り組んでいただきたい。



※1 Linear Tape-Open:大容量データの長期保管に適した記録装置の規格。
※2 Endpoint Detection and Response:端末の処理を常時監視し、不審な挙動をいち早く検知。被害状況の可視化など脅威検知後の対応を支援する機能。
※3 Managed Detection and Response:EDRなどの外部脅威対策の運用として、インシデント対応などを支援するサービス。
※4 Information Rights Management:業務で使用する文書ファイルなどを暗号化し、閲覧や編集などを管理・制限したり、操作履歴を記録したりする機能や専用のソフトウェア。

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部
Security CoEセンタ長
シニアエバンジェリスト

扇 健一 氏