ランサムウェアの“裏工作”「権限掌握」と「横展開」とは？ 何に警戒すべきなのか：ランサムウェアとバックアップの攻防史【第4回】

ランサムウェアは企業に身代金を支払わせるために、システム内部でひそかに準備を進めることがあります。特に注意が必要なのは「権限掌握」と「横展開」です。これによって引き起こされるリスクを解説します。

[高井隆太，ベリタステクノロジーズ]

　ランサムウェア（身代金要求型マルウェア）の攻撃者は、企業に身代金を支払わせるために、さまざま手口を使うようになっています。特に注意が必要なのは、ランサムウェア対策の“最後のとりで”とも言えるバックアップデータを狙う手口です。第3回『侵入しても「暗号化に着手しないランサムウェア」も　その狙いとは？』では、ランサムウェアがシステムに潜伏し、さまざまな活動をするようになってきた点に触れました。

　システム内部に入り込んだランサムウェアの活動は多岐にわたります。その中でも大きな被害につながる可能性が高いのは、「権限掌握」と「横展開」です。それぞれどのような手口で、何に注意する必要があるのかを見てみましょう。

ランサムウェアの「権限掌握」と「横展開」　警戒すべき点は？

併せて読みたいお薦め記事

• 連載：ランサムウェアとバックアップの攻防史

広がるランサムウェアの攻撃例

• 「ランサムウェア」に狙われた企業が“数時間”で復旧できた理由
• ランサムウェア被害のCIOが明かす「わが郡はランサムウェアにこう攻撃された」

　権限掌握は、標的のシステムを自由に操作するために「システム管理者権限」を取得するものです。横展開は、特定のシステムに侵入後、ネットワークで接続している他のシステムにも次々と感染を広げていくことを指します。横展開が成功した場合、クライアントやサーバがネットワークでアクセスできるシステムは、その全てが攻撃対象になってしまいます。

　バックアップのトレンドが変化してきている点も、防御側に不利な要素となっています。かつては十分な容量を備える磁気テープなどのリムーバブルメディア（ドライブから取り外し可能な記録媒体）を使ったバックアップが普及していました。昨今はデータ量の爆発的な増大が続く過程でこうした記録媒体は使いにくくなってしまい、バックアップデータも全て、ネットワークに接続したHDDに記録する方法が主流になっています。

　その結果、権限掌握と横展開に成功したランサムウェアから見ると、バックアップデータも「ネットワークに接続しているストレージ内のファイル」になります。つまりバックアップデータが暗号化の対象になる、ということを意味します。バックアップデータを含めて暗号化されてしまった結果、小まめにバックアップを取っていたにもかかわらずデータ復旧ができなくなった、という被害は実際に発生しています。このような可能性を踏まえた上で、バックアップ体制を整備する必要があります。

バックアップシステムの「汚染」

　ランサムウェアが権限掌握に成功した場合、システム内部の詳細な情報を読み出すことが可能になります。攻撃者はそのシステムでどのようなソフトウェアが実行されているのか、他のどのようなシステムと通信しているのか、といった情報を精査します。バックアップシステムもその対象になります。例えば攻撃者が、

• システムが標準で搭載しているバックアップ機能を停止させる
• バックアップソフトウェアのエージェントがインストールされているのを見つけ出し、それを停止させる

といった工作を実施することが考えられます。

　こうしてランサムウェアが潜伏しながらさまざまな悪事を働くことが、別の問題を引き起こす懸念もあります。システム内にランサムウェアが潜伏していると、リストアの際にランサムウェアごと復元してしまう可能性があるのです。その結果、ランサムウェア感染が明らかになった後にバックアップからシステムを復旧させたにもかかわらず、ランサムウェアがすぐに活動を再開し、データが再び暗号化されかねません。

　セキュリティソフトウェアは、一般的に稼働中のシステムやオンラインデータが感染していないかどうかをチェックしますが、バックアップデータの中身まではチェックしない場合があります。その場合は、バックアップデータが感染していないかどうかを確認するための対策を考える必要があります。

　ランサムウェアは着々と進化を続けています。攻撃者は「どうすれば被害企業が身代金の支払いに応じるか」に知恵を絞って工夫を凝らしています。被害報告が広がっている「多重脅迫」と呼ばれる手法では、被害企業のシステム内部に保存されているデータを、外部の暴露サイトで公開することがあります。その被害までをバックアップで全て防げるわけではありませんが、被害を最小限に食い止めるために、なぜバックアップが重要なのかを考えることが重要です。バックアップがなければデータの復元ができず、事業継続の点で重大な問題が生じる可能性があるのです。

　攻撃者がバックアップシステムを標的として攻撃手法を工夫している以上、バックアップシステムも最新の防御機能で対抗する必要があります。次回の第5回では、進化するランサムウェアに対抗するためにバックアップシステムが新たに搭載する、さまざまな防御機能を紹介します。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。