「WannaCry」事件の“痛み”から考える、ランサムウェアへの予防策とは：ビジネスを守るために何ができるか

「WannaCry」などのランサムウェア攻撃は食い止めることができる。そのためには、適切なデータ保護対策を講じておき、データを詳細に監視する必要がある。

[Sonia Lelii，TechTarget]

　身代金要求型不正プログラム（ランサムウェア）の「WannaCry」による攻撃が2017年5月上旬に150カ国の10万以上の組織に影響し、ランサムウェアが世界的に注目を集めた。

　この攻撃は英国の国営保健サービス（NHS）、米国のFedEx、スペインのTelefonicaなどの企業や組織に被害を与えた。この攻撃の結果、支払われた身代金は本稿執筆時点（2017年5月中旬）で総額2万6000ドル程度にとどまるが、不安や恐怖が広がっている。

　企業や組織にとっては、「ビジネスやサービスをランサムウェアから守るために何をすべきか」が大きな課題となっている。

　世界中の数十万台に上るコンピュータへのWannaCryの感染というインシデントは、この課題を浮き彫りにした。だが、ランサムウェアは数十年前から存在しており、身代金を払わずにこうした攻撃の被害を最小限に食い止め、復旧を実現できることを証明する事例もある。

　ただし、こうして復旧を実現するには、攻撃を受ける前に準備をしておく必要がある。データ保護技術とバックアップのベストプラクティスが、ランサムウェア攻撃による組織の被害を抑えるのに不可欠だ。

　「ランサムウェア攻撃に見舞われる可能性は高い。状況は悪化する一方だろう。だが、バックアップが、ランサムウェアに対する1つの防衛線になるのは明らかだ。以前は、RAID障害に備えてバックアップを行っていたが、それと同じ位置付けになる」と、IT調査会社Storage Switzerlandのジョージ・クランプ社長は語る。

併せて読みたいお薦め記事

世界を騒がせたランサムウェア「WannaCry」

• Windows XPにも「WannaCry」対策パッチ提供、Microsoftの英断は吉か凶か
• 「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係

「ランサムウェア対策」をどう進めればよいのか

• 攻撃者にとっての「ランサムウェア」は“ゴールドラッシュ”、必須の対策は？
• 図解で分かる　「ランサムウェア」に有効なセキュリティ対策はこれだ
• 「ランサムウェア対策製品」選びに失敗しない“4つのチェックポイント”
• 「ランサムウェア」対策に有効なバックアップ、どこまでやれば安心か

　米連邦捜査局（FBI）は、最も効果的なランサムウェア対策の1つとして、定期的なバックアップを推奨している。また、バックアップの完全性を確認することと、バックアップのセキュリティを確保することも勧めている。バックアップは、本番環境から切り離して保持するのが最も安全だ。ランサムウェアはバックアップコピーも破壊することがあるからだ。スナップショットやレプリケーションは、ランサムウェアによる時間差攻撃に脆弱（ぜいじゃく）な場合がある。

　「バックアップは依然として最良の復旧オプションだ」。侵入検知ベンダーのFidelis Cybersecurityで脅威システムマネジャーを務めるジョン・バンベネク氏はそう語る。

　データ保護ベンダーのUnitrends、Zerto、CommVault Systems、Acronis、Barracuda Networks、Infrascale、Asigra、Druva、Dattoなどは、ランサムウェアからの保護機能の追加を進めているとしている。ストレージベンダーも、ファイル内での異常の発生をユーザーにアラートし、ランサムウェアからの保護を支援するレポートツールを提供している。

　これは、データやファイルのパターン検出を利用して、異例な暗号レベルを管理者にアラートし、被害を緩和または抑制できるようにしようとするものだ。

　「大量のファイルで発生しているさまざまな変化を見ることができる。私が見た例では、ランサムウェアによる暗号化は、ファイル単位で実行されていた。ボリュームを暗号化するランサムウェアは見たことがない。もしそのような攻撃をされたら、被害は甚大だろう」（クランプ氏）

　WannaCryは、Windows SMBv1やSMBv2の脆弱性を悪用し、ネットワーク内を水平方向に移動するタイプのマルウェアだ。このマルウェアは、Microsoftが2017年3月に公開したパッチ「MS17-010」が適用されていないあらゆるWindowsコンピュータに影響した。