ランサムウェア対策としてのバックアップの限界とリスク:バックアップの何が問題なのか
ランサムウェア攻撃によってバックアップの重要性が高まっているが、バックアップは万能薬ではない。限界とリスク、より効果的なバックアップ方法を知っておく必要がある。
ランサムウェアによって、バックアップとリカバリーを再び議題に挙げざるを得なくなった。バックアップとリカバリーの戦略がなければ、身代金を支払ったとしてもランサムウェアの被害から回復できる見込みはほとんどない。
こうした状況がCIO(最高情報責任者)にバックアップ/リカバリー戦略の見直しを迫っていると語るのは、Databarracksのバーナビー・モート氏(マネージングディレクター)だ。「逆に言えば、ランサムウェアがバックアップとリカバリーに再び焦点を合わせたと言える。5年前は、バックアップとリカバリーは予防策の問題であり、CIOやCEOの議題に挙がることはなかった」
海運会社A.P. Moller - Maerskや石油ネットワークColonial Pipelineに対するサイバー攻撃によってこの種の攻撃がもたらすリスクに注目が集まった。
ランサムウェアはよりスマートになり、二重、三重の攻撃を仕掛け、長期にわたって検知されずにマルウェアを潜ませるようになっている。その結果、重要な防御策としてバックアップの強化を求める圧力が高まっている。
Freeform Dynamicsのトニー・ロック氏(アナリスト)は言う。「大きく変わったもう一つの要因は、ランサムウェアに感染してもすぐに表面化するとは限らなくなったことだ。そのランサムウェアがかなり前からシステムに潜んでいたことが分かる場合がある」
その結果として、クリーンなバックアップを見つけるためにさらに時間をさかのぼり、目標復旧時点(RPO)を広げなければならない。「再び感染をよみがえらせないようにするには、どこまでさかのぼればよいだろう」(ロック氏)
危険にさらされるバックアップ
ランサムウェア対応の最大のリスクは、汚染されたバックアップによって再感染を引き起こすことだ。運用システムにランサムウェアが侵入した場合、ランサムウェアごとバックアップされる可能性は十分ある。
バックアップを積極的に標的にすることも、データの回復を阻止することも、回復したファイルを標的にして暗号化することも起こり得る。
運用システムを迂回(うかい)して、バックアップを直接標的にするランサムウェア(「Locky」や「Crypto」など)もある。
変更不可のバックアップ
一つの選択肢は、「変更不可」のバックアップを使うことだ。つまり、いったん書き込んだら変更できないバックアップだ。バックアップ/リカバリーサプライヤーの多くは、変更不可のバックアップ機能を製品に組み込んでいる。
最も一般的な変更不可のバックアップの作成方法は、スナップショットを利用する方法だ。スナップショットは常に変更不可だ。
バックアップの書き込み、マウント、削除はそのバックアップを作成したソフトウェアに限定される。さらに一歩進め、バックアップを上書きする際はPINを使って2人の人物に承認を求めるようにしているサプライヤーもある。
スナップショットの問題点は、作成されるデータの量とティア1ストレージに書き込まれることが多い点だ。そのためスナップショットは高価だ。ランサムウェア対策としてバックアップを数日から数週間保持する場合は特に高価になる。
「スナップショットの問題点は大量のデータが作成されることだ。機能はする。だがスナップショットをプライマリーストレージに配置するのにコストがかかる」(モート氏)
エアギャップ
もう一つの方法は、バックアップに「エアギャップ」を設けることだ。エアギャップは幾つかの点で最も安全な方法だ。バックアップをオフサイトに保存する場合、書き込み専用(WORM)メディアに保存する場合、あるいはテープに保存する場合はさらに安全性が高まる。
「個人的にはエアギャップを好んでおり、テープにコピーして別の場所に保管している。なるべく論理的にも物理的にもエアギャップを設けるようにしている」(ロック氏)
エアギャップの欠点は、データの復旧に時間がかかることだ。ランサムウェアに汚染されていない数世代前のバックアップにさかのぼらなければならない場合、失われたデータを回復するコストが高騰し、身代金よりも高額になるかもしれない。
サプライヤーは、仮想的なエアギャップを作る技術で復旧時間の問題を回避しようとしている。仮想エアギャップ技術は、バックアップをより高速なローカル(またはクラウド)ストレージに格納する。だが重要なデータを扱う事業にとっては、完全に変更不可でエアギャップを設けたバックアップでなければ十分とは言えない。
多層防御:バックアップとセキュリティのツール
バックアップに潜むランサムウェアに再感染するのを防ぐには、復旧前にバックアップをスキャンする必要がある。だが時間がかかる。さらに、マルウェアの作成者は痕跡を隠すのに長(た)けている。
バックアップが安全かどうかを確認するアプローチの一つが異常検知だ。Freeform Dynamicsのロック氏は、マルウェアによるデータ変更の検出には機械学習ツールが最適だと言う。攻撃者が二重、三重の恐喝に移るにつれ、この種の技術がますます重要になっている。
「データ保護、可観測性、異常チェックを継続的なプロセスにする必要がある」(ロック氏)
Copyright © ITmedia, Inc. All Rights Reserved.