大事なデータを「ランサムウェア」から守り切る――危機を想定した対抗策を：ランサムウェアとバックアップの攻防史【第6回】

ランサムウェアは企業の対策をどうにかすり抜けて攻撃の目的を達成しようとします。それと戦うには、巧妙な手口の“先を行く”対抗策が必要です。2つの手法を紹介します。

[高井隆太，ベリタステクノロジーズ]

　ランサムウェア（身代金要求型マルウェア）に対抗するために、企業はさまざまな対策を選択できるようになっています。第5回『貪欲に身代金を狙う「ランサムウェア攻撃」に負けないバックアップ対策は？』では、バックアップ対策における進化の一部を紹介しました。ランサムウェアは感染後にさまざまな手法を駆使してシステム全体を攻撃対象にしようとしますから、防御側にもさまざまな対策が求められます。警戒すべき手口の一つが、第5回でも触れた「横展開」です。この手口に対し、バックアップ対策においてはどのような対抗策が有効なのでしょうか。

データを“ランサムウェアから守り切る”ための対抗策

併せて読みたいお薦め記事

• 連載：ランサムウェアとバックアップの攻防史

ランサムウェア対策の課題とポイント

• 「ランサムウェア対策」が中小企業で進まない残念な事情――ベンダーが語る
• 真っ先にやるべき「ランサムウェア対策」はこれだ
• 重要システムを1日で復旧させた敏腕CIOが明かす「ランサムウェア対策のヒント」

　横展開とは、ランサムウェアが特定のシステムに感染後、ネットワークに接続する他のシステムにも次々に感染を広げようとする手口を指します。横展開への対抗策としては、「エアギャップ」と呼ばれる手法が普及しています。これを分かりやすく例えると、常にアクセス可能な「地続き」の状態にしておくのではなく、普段はアクセスできないように「隙間が空いた」状態にし、必要なときだけアクセスするということです。

　バックアップ対象のシステムからバックアップデータをコピーするときだけバックアップシステムへのアクセスを可能とし、それ以外のタイミングでは、バックアップシステムをネットワークから切り離しておく――。エアギャップをバックアップシステムに適用すると、このような考え方になります。こうした対策を打っておくことで、マルウェアが横展開を実行してバックアップシステムを探そうとしても、見つけられない可能性が高まります。

　データの暗号化を直接的に防ぐ手法としては、データの書き換えができない記録媒体に記録する方法があらためて評価され、対策の見直しが進んでいます。かつては「CD-R」や「DVD-R」といった「WORM」（Write-Once, Read Many：書き込み1回、読み込み複数回）と呼ばれる形式の記録媒体が広く活用されていました。これらは1度しか書き込みができない記録媒体なので、データを書き込んだ後の改ざん防止に有用だと考えられてきました。そうした特性を持つWORMは、ランサムウェア対策としても有用性があるとの認識が広がっています。

　昨今はクラウドサービスを中心に、一度書き込んだデータの書き換えや削除ができないように、ソフトウェアによって保護するファイルシステムやストレージサービスが利用できるようになってきました。バックアップデータの保管にこうしたファイルシステムやストレージサービスを活用すれば、暗号化されて復元できなくなる、といった事態を避けることができます。

　ランサムウェアやマルウェアの検出においても変化があります。検出はアンチマルウェアソフトウェアをはじめとしたセキュリティツールの本来の役割ではありますが、昨今はバックアップシステムでも基本的なマルウェアスキャンの機能を備えるようになっています。そうした機能を活用すれば、バックアップデータを対象にマルウェア検出を実行し、バックアップデータ内にランサムウェアなどのマルウェアが潜伏していないことを確認した上でリストア（復旧）する、といった対策が取れるようになります（図）。

図　バックアップシステムにおけるマルウェア検出のイメージ（ベリタステクノロジーズの資料を基に作成）《クリックで拡大》

　このように、バックアップシステムやバックアップデータがランサムウェアの攻撃に遭わないように保護する機能が充実してきているのが、最新のバックアップ対策の特徴だと言えます。

確実な事業継続のために必要な備えを

　バックアップは、失われてしまうと再び入手することが困難なデータを、万一の喪失リスクから保護するための基本的な対策です。機器故障や自然災害にリスクがあることに加え、昨今は悪意を持って標的組織のデータに攻撃を仕掛けるサイバー犯罪者やマルウェア、ランサムウェアがまん延しています。バックアップを保護する十分な対策が不可欠となっているのです。

　ランサムウェア対策としては、最新かつ効果的なセキュリティソフトウェアを導入することが不可欠です。それに加えてバックアップシステムが確実に機能していれば、どのような深刻なダメージを受けた場合でも再びシステムを復旧させ、事業を継続できるようになります。もちろん、そうしたバックアップの備えに頼るような目に遭わないことが最善ではありますが、備えあれば憂いなし。最悪の状況を想定した対策を準備しておくことが、結局は被害や損失を最小化するために、最も効率の良い対策になることを念頭に置くことが重要です。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。