ランサムウェア感染で直面する「バックアップのジレンマ」問題：ランサムウェア攻撃への備え【後編】

ランサムウェア攻撃からの復旧にはバックアップツールが不可欠だ。ツールを効果的に使うためにIT担当者が把握しておくべき「バックアップのジレンマ」とは。

[W. Curtis Preston，TechTarget]

　バックアップやリカバリーの一般的な製品は、単一の時点からデータのリストア（復元）を実施する。これが原因で、ランサムウェア（身代金要求型マルウェア）攻撃を受けた企業はある“二者択一”を迫られる。

ランサムウェア感染で陥る「バックアップのジレンマ」問題とは？

併せて読みたいお薦め記事

連載：ランサムウェア攻撃への備え

• 前編：ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは？

ランサムウェア攻撃に備えたバックアップ対策

• 「3-2-1」の基本はもう古い？　ランサムウェア対策に足りないバックアップは？
• ランサムウェア対策機能も強化　進化する“あの定番バックアップツール”とは？

　ランサムウェア攻撃を受けた際は、コンピュータからランサムウェアを取り除き、暗号化されたファイルを全て削除するのがリストアの基本だ。特定のファイルシステムやディレクトリの全ファイルが削除の対象となる。ファイルを削除した後、サーバをランサムウェアに感染する直前の状態に戻す。

　ここでジレンマが生じる。「全システムを一度のリストアで感染前の状態に戻し、感染した後に実施された変更は全て諦める」のか、「暗号化されたファイルを全て特定し、個別に暗号化直前の状態に戻す」のか――。後者の方法では、何百ものディレクトリやサブディレクトリを確認しなくてはならない場合がある。何週間もの時間を費やすべきかどうか、検討が必要だ。

　バックアップ製品ベンダーに問われているのは、この問題の解決策を持っているかどうかだ。ディレクトリを正常な状態に戻すために何百回ものリストア作業が必要なら、被害企業は「むしろ身代金を支払いたい」と考えても不思議ではない。身代金を支払うことは犯罪行為の容認につながり、さらなるサイバー犯罪を生み出すことにつながる。だからこそバックアップ製品ベンダーは、この課題に取り組まなければならない。

　ユーザー企業はバックアップ製品ベンダーに対し、ランサムウェアに感染したファイルだけを感染前の状態に戻す効率的な方法があるのかどうか、聞いてみるとよい。もしベンダーから「その方法はない」という回答を受け取ったとしても、実際にランサムウェア攻撃を受けてからそのことを知るよりは、事前に知っておいた方がよいだろう。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。