「3-2-1」の基本はもう古い？ ランサムウェア対策に足りないバックアップは？：巧妙化する攻撃にバックアップで対抗【前編】

データを暗号化して身代金を要求するランサムウェアの脅威が広がる中、バックアップに新たな対策が求められている。ベンダー各社が推奨する手法を基に、重要性が高まる対策を紹介する。

[遠藤文康，TechTargetジャパン]

　ランサムウェア（身代金要求型マルウェア）による脅威が、企業を脅かしている。独立行政法人の情報処理推進機構（IPA）が毎年公開している「情報セキュリティ10大脅威」では、「ランサムウェアによる被害」が2021年に続き、2022年も組織にとっての脅威として1位になった。ランサムウェアの脅威が影響を及ぼすのは、セキュリティ対策における防御や検知の在り方だけではない。バックアップツールベンダー各社は、ランサムウェアによる被害を抑止するためにはバックアップ対策の強化が重要だと強調する。

　データを暗号化して事業継続を困難にし、データの復号のための身代金を企業に要求してくるのがランサムウェア攻撃の基本的な手口だ。正常なバックアップがあれば攻撃者の手を借りずにシステム稼働を正常に戻すことはできる。だがランサムウェア攻撃はより巧妙になり、企業は単にバックアップを取得しているだけでは対処が難しい状況に置かれている。

「3-2-1」では不十分　企業に求められるランサムウェア対策は？

併せて読みたいお薦め記事

バックアップに必要なランサムウェア対策

• ランサムウェア対策にも使える「データ保護製品」ベンダーの“3強”はこれだ
• ランサムウェア被害のCIOが明かす「わが郡はランサムウェアにこう攻撃された」
• 真っ先にやるべき「ランサムウェア対策」はこれだ

　バックアップツールベンダーArcserve Japan（arcserve Japan）でユーザー企業への技術支援を担当する渡辺敬彦氏（ソリューション統括部プリンシパルコンサルタント）は、注意すべき変化の一つに、ランサムウェア攻撃が「ばらまき型」から「標的型」に変わってきたことを挙げる。

　一般的なばらまき型のランサムウェア攻撃は、データを暗号化して身代金を要求するマルウェアをメールに添付し、不特定多数に対して無差別に送り付ける。こうした攻撃であれば、バックアップが影響を受けない限り、自社でデータを復号できる可能性がある。

　標的型のランサムウェア攻撃では、復旧はより難しくなる。一般的な標的型の場合、攻撃者は標的となる組織のネットワークに潜伏して重要なデータの在りかを確認するなど、周到に準備してからデータ暗号化のマルウェアを実行する。渡辺氏は「標的型の攻撃はバックアップも暗号化の対象になる可能性が高まる」と説明する。その場合は単にバックアップを取得しているだけでは十分な対策ができないため、バックアップを侵害されないようにする対策が必要だ。

　ランサムウェア攻撃ではバックアップがどの程度、攻撃対象になっているのかについても見てみよう。バックアップツールベンダーVeeam Softwareが2022年5月に発表したレポート「2022 Ransomware Trends Report」は、ランサムウェア攻撃を受けた経験のある企業のIT管理者1000人（日本を含むアジア太平洋地域、欧州・中東・アフリカ地域、南北アメリカの16カ国）を対象にした調査を基に、その実態を公表した。攻撃がバックアップのリポジトリ（データの保管庫）にも及んでいたかどうかを尋ねる設問では、回答者のうち、

• 30％が「バックアップリポジトリのほとんど、または全てに影響があった」
• 38％が「いくらかのバックアップリポジトリに影響があった」
• 26％が「影響を与えようとしていたが失敗した」

と回答。何らかの影響があったという回答は合計すると68％になり、バックアップを狙った攻撃が広く実施されている状況が分かる。

「3-2-1」ルールの追加対策

　バックアップベンダー各社は、バックアップ狙いの攻撃に対して何らかの対策強化を図る必要があると強調する。対策の軸になるのは、「3-2-1」というバックアップの基本ルールに加え、バックアップ自体を保護する対策を取り入れる点だ。3-2-1と組み合わせ、「3-2-1-1」と表現されることがある。

　一般的に3-2-1は、

• 3：本番データ以外に、バックアップとして2つのコピー（合わせて3つのデータ）を用意する
• 2：バックアップの保管用メディアを2種類使用する
• 1：本番拠点とは異なる災害用拠点でバックアップのうちの1つを保管する

ことを意味する。

　3-2-1-1において、これらに加わる「1」は、

• データをオフラインで保存したり、ネットワークを分離したりすることによって「エアギャップ」（他のネットワークから隔離した状態）を作ってバックアップを保管する
• バックアップにイミュータビリティー（不変性）を持たせる

といった、バックアップに変更を加えることを阻止する追加対策を意味する。

　Veeam Softwareは、3-2-1-1に「0」を加えた「3-2-1-1-0」を提唱している。この場合の0は、「バックアップから復旧するテストを実施して、正常に復元可能な状態を保つ」ことを意味する。いざバックアップから復旧しようとする際に、何らかのエラーによって復旧できない状態を生まないようにするための対策だ。同社で製品戦略を統括するリック・バノーバー氏は、復旧時間を短縮するためにはテストの実施に加え、作業を自動化することも重要だと説明する。

イミュータブルストレージの提供

　Arcserveが新たに投入した対策は、バックアップに不変性を与えるイミュータブルストレージの提供だ。「Arcserve OneXafe」として、国内市場でもArcserve Japanが2022年5月に販売を開始した。Arcserve OneXafeは、バックアップソフトウェアから転送されてきたデータのスナップショット（データの一時点の状態を保存するデータ）を、変更不可の状態で保存する。仮にバックアップのデータに改ざんや削除の変更があったとしても、保存してあるスナップショットからデータを元の状態に戻すことが可能だと渡辺氏は説明する。

---

　前編に続き、中編以降はDell TechnologiesやNetApp、Veeam Softwareが重視する対策を紹介する。