貪欲に身代金を狙う「ランサムウェア攻撃」に負けないバックアップ対策は?ランサムウェアとバックアップの攻防史【第5回】

ランサムウェア攻撃は、さまざまな手法で標的となる組織のシステムへの侵入を試みます。それを受けて、防御やバックアップの対策は変わってきました。本稿はバックアップ対策の変化を中心に紹介します。

2023年04月11日 05時00分 公開
[高井隆太ベリタステクノロジーズ]

 ランサムウェア(身代金要求型マルウェア)は、昨今のサイバー犯罪の中でも特に大きな被害を生じさせる脅威の一つです。その存在が企業の間に知れ渡るのと同時に、ランサムウェア対策を講じる動きが広がってきました。しかしランサムウェアの攻撃者は、洗練された高度な攻撃手法を駆使して企業の対策をすり抜ける工夫をしていますから、防御側も常に最新情報にキャッチアップし、対策強化に努める必要があります。

 インターネットを介したブラックマーケット(闇市)によって、ランサムウェアのエコシステム(協業や協力の体制)は巨大化しており、それと同時に攻撃の分業化が進んでいます。その結果、極めて高水準の技術に基づくマルウェアを使った攻撃が当たり前のように繰り広げられ、セキュリティソフトウェアによる防御はますます困難になっています。

 結果として、セキュリティ対策の主流は「完全に防御できるとは考えず、防御をすり抜ける攻撃があり得るものと想定して対策をする」という方向にシフトしています。そうした動きを受けて、セキュリティ対策としてのバックアップの考え方も変わってきました。

ランサムウェア攻撃の狙いは「身代金」

 ランサムウェアの侵入を防ぐことはセキュリティソフトウェアに任せることになりますが、セキュリティソフトウェアにランサムウェア対策を任せ切りにするのは確実性を欠きます。「セキュリティソフトウェアがあるのだからランサムウェアは侵入してこない」と安心するのではなく、「セキュリティソフトウェアの防御をすり抜けて侵入したランサムウェアが、データの暗号化やバックアップシステムの破壊を狙ってくる」と想定して、対策することが重要になっています。

 ただしランサムウェアを使って攻撃を仕掛けてくる攻撃者の目的は「身代金を得ること」であり、データの暗号化はそのための手段に過ぎません。目的はあくまでも「標的の企業に身代金を支払わせること」ですので、攻撃者が必ずデータの暗号化を試みるとは限りません。実際、データを暗号化せずに脅迫してくる攻撃が存在します。そう考えると、データが暗号化される場合に備えたバックアップ対策でランサムウェア攻撃の全ての手口に対処できるとは限らないため、その他の対策も併用して備える必要があります。

 とはいえ信頼できるバックアップ対策を用意しておくことが必須である点に変わりはありません。ランサムウェアによってデータが暗号化されるリスクに加えて、機器障害や自然災害、操作ミスなど、データ喪失につながるさまざまなリスクが存在する中で、バックアップは万一のデータ喪失に備えた“最後のとりで”となるからです。

バックアップシステムの進化

 ここからは最新のバックアップ対策がどのように進化しているのかを具体的に見ていきましょう。Veritas Technologiesのバックアップシステム「Veritas NetBackup」の機能や考え方を前提にしていますので、ベンダーや製品によっては同等の内容を別の呼び方で提供している場合があります。

 まずランサムウェアのまん延以前から重要だと考えられてきた、データ損失を避けるための基本ポリシー「3-2-1バックアップルール」があります。これは、以下の対策を推奨する考え方です。

  • 重要なデータはコピーを3つ作成して保存する(プライマリーとして1つ、バックアップとして2つ)
  • データを2つの種類の異なる記録媒体に保存して、さまざまな種類の危険から保護する
  • コピーの1つをオフサイト(本番システムとは離れた拠点や施設)に保存する

 3-2-1バックアップルールは、主に機器故障や大規模な自然災害による大規模なダメージを想定したポリシーですが、ランサムウェア対策としても有効です。「2つの種類の異なる記録媒体」と「1つのオフサイトコピー」は、ランサムウェアの被害を受けないバックアップを残すためには極めて有効な手法です。とはいえバックアップ対象となるデータ量が増大していたり、バックアップの頻度を増やしたいというニーズがあったりする中で、これらのルールに厳密に沿って運用するのは現実問題として困難が伴います。そのためベンダー各社は、3-2-1バックアップルールを実現しやすくするさまざまな新機能を開発しています。

 基本となるのは、バックアップ対策の「基本機能の底上げ」です。かつてのシステム開発の発想では、個々に独立したシステムを構築する過程で、システムごとに異なるバックアップシステムを導入することが少なくありませんでした。その結果として、システムのサイロ化(分断した状態)につながる例が目立ちました。昨今はオンプレミスとクラウドサービスのシステムを連携させた、ハイブリッド構成のシステム基盤で、さまざまなシステムが稼働することが一般的になってきています。それに伴い、バックアップシステムに関しても、ハイブリッド構成のシステム基盤全体に共通した仕組みを選ぶべき、という認識になりつつあります。本稿では、そうした仕組みをバックアップシステムの「統合環境」と呼びます。

 統合環境にすることで、ハイブリッド構成のシステムを一元的に運用でき、運用管理の手間や負担を減らしやすくなります。結果として作業の「抜け漏れ」に気付きやすくなると同時に、より迅速に復旧できるようになります。3-2-1バックアップルールに準じた運用もしやすくなるのです。こうした利点は、最終的にはランサムウェア攻撃による被害を最小化することにつながります。

バックアップ専用アプライアンスの利点

 運用負担の軽減という視点で検討されるようになってきたのが、バックアップシステムの「専用アプライアンス」を導入する手法です。汎用(はんよう)サーバでバックアップソフトウェアを運用する従来の手法では、バックアップサーバ自体がランサムウェアの攻撃を受けてしまうことを避けられませんでした。専用アプライアンスは専用OSを搭載することで、汎用サーバを使うよりも堅牢(けんろう)でセキュアな仕組みにすることが可能になり、ランサムウェア攻撃を受けるリスクを下げることができます。

 専用アプライアンスは、ネットワーク接続の面でも安全性を高めることが可能です。専用アプライアンスは、あらかじめOSを含めてバックアップシステムに最適な設定を施すことで、バックアップの正当なジョブ(コンピュータによる作業単位)以外のアクセスを全て遮断するようになっています。

 ランサムウェアは特定のシステムへの感染後に、システム管理者権限を取得する「権限掌握」や、他のシステムに感染を拡大させる「横展開」を実行し、ネットワークに接続するシステムの全てを攻撃対象にしようとします。バックアップシステムも攻撃対象にしてしまいますが、一般的な汎用サーバへの侵入と同じ手法で専用アプライアンスに侵入することはできないため、ユーザー企業は被害に遭いにくいのです。


 バックアップシステムの進化は、本稿で触れた点だけではありません。「エアギャップ」や「WORM」(Write-Once, Read Many:書き込み1回、読み込み複数回)という手法について、第6回でご紹介します。

執筆者紹介

高井隆太(たかい・りゅうた) ベリタステクノロジーズ 常務執行役員 テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...