ランサムウェア攻撃はなぜ成功するのか？　対策を“無効”にする手口に注意：ランサムウェアとバックアップの攻防史【第2回】

「バックアップを取っていればランサムウェアに対抗できる」と考えてはいけません。それはなぜなのか、被害を出さないためには何を知っておくべきなのかを説明します。

≫ 2023年02月09日 05時00分公開

[高井隆太，ベリタステクノロジーズ]

なぜランサムウェア攻撃は成功するのか

併せて読みたいお薦め記事

データ保護の基礎知識

　ランサムウェアに関して気を付けるべきポイントとして、インターネットの普及をはじめ、さまざまなITの発展がサイバー犯罪者に恩恵をもたらしていることが挙げられます。サイバー犯罪者はインターネットを介したグローバルなブラックマーケット（闇市）を形成し、分業や役割分担で犯罪成功率を高めるためのエコシステム（協業や協力の体制）を構築しています。

　「悪事に手を染めたものの、技術力がなく有効な攻撃ができなかった」といった低レベルの攻撃者ばかりだと考えてはいけません。昨今は、国家主導で潤沢な予算を投じて開発されたと考えられる最先端のマルウェアなどの攻撃ツールが、ブラックマーケットでサポート付きで提供され、サイバー犯罪者を支援する体制が作られているのです。このため攻撃を受けた場合には、防御側も高水準のセキュリティ専門家を擁していないと、防御は困難です。ほとんどの場合、サイバー犯罪者はやすやすと防御壁を突破し、被害を生むことになります。

　ランサムウェア攻撃を仕掛けるサイバー犯罪者は、標的の企業が「バックアップがあれば身代金の支払いを避けることができる」と考えていることを重々承知しています。そのため攻撃を成功させるために、システム内部のバックアップシステムの状況を探り、あらかじめバックアップを停止させたり、バックアップデータを使えない状況にしたりしてから、重要なデータを暗号化するといった工夫をすることがあります。ランサムウェア被害を想定していない旧来のバックアップシステムでは、真っ先に攻撃を受けて機能停止に追い込まれるリスクが無視できません。

バックアップ体制の更新を

　バックアップに関しては、確実にリストア（復旧）できることが何より重要な要件となるのですが、意外にもこの点は見落とされがちです。バックアップをきちんと取っていても、いざというときにリストアが確実にできるのかどうかまでを確認していない企業は珍しくないのです。実際にシステム障害などのトラブルで、データが全面的に喪失する深刻な事態を経験したことのない企業がほとんどだからです。

　ランサムウェアの攻撃者は、可能な限り甚大な被害を与えることで身代金を支払わざるを得ない状況に追い込もうとします。標的になった組織が被害に気付いたときには、システムが全面的に破壊されているといった深刻な状況になっていることが大半です。こうした事態を避けるためには、バックアップシステムで確実に復旧できるのかどうかを確認しておく必要があります。

　前述の通り、最新のランサムウェア攻撃ではバックアップシステムを探して破壊するという挙動が確認されています。バックアップシステムはランサムウェアに狙われているという前提に立って、その対策を講じている製品を導入する必要があります。

　次回以降は、ランサムウェアがバックアップシステムに対して具体的にどのような攻撃を仕掛けてくるのか、バックアップシステムがどのような新たな対策を講じているのかなど、最新の状況を紹介します。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。

TechTargetジャパントップシステム運用管理