ランサムウェアが狙う「バックアップデータ」 巧妙化する攻撃から企業を守るには：「ここまでは必要ない」という認識が“スキ”になる

「データをバックアップすればサイバー攻撃や障害への備えは万全」。そんな認識の“スキ”を突いた攻撃が相次いでいる。ITに割けるコストや人的リソースが少ない企業もある中、データの消失や金銭的な損害を防ぐ保護方法は何か。

[PR／ITmedia]

PR

　データ消失のリスクはあらゆる場に潜む。システム障害やユーザーの操作ミス、地震や水害といった災害も原因になる。一般的な対策は、重要なシステムやファイルサーバのバックアップだ。近年、バックアップに関してもう一つの重要な目的が注目されている。それが、猛威を振るうランサムウェア対策だ。

　ランサムウェア対策としてデータ保護が注目された大きなきっかけは、2017年ごろから世界で猛威を振るった「WannaCry」だ。WannaCryはWindowsの脆弱（ぜいじゃく）性を悪用して拡散し、企業システムのさまざまなデータを暗号化した後「元に戻してほしければ仮想通貨で金銭を支払え」と要求する。海外はもちろん、国内でも複数の企業が被害に遭った。

　ランサムウェアに感染しないようネットワークの境界やエンドポイントで防御策を講じることも重要だが、それでも被害は生じ得る。そのため「重要なシステムのバックアップデータを保存してランサムウェアに感染してもすぐに復旧できる体制を整えることで、万が一の際のデータ消失や金銭的な損害を抑える」という考え方が広まった。

　だが、サイバー攻撃への防御からデータのバックアップまで多方面の対策が進んだにもかかわらず、ランサムウェア攻撃の被害は続いている。一体なぜなのか。

「バックアップがあるから大丈夫」と思う企業はなぜ狙われるのか

Arcserve Japanの中田皓介氏

　「最近は、標的型攻撃と組み合わせて感染先の管理者権限を奪い取り、その中でランサムウェアを使う手法が目立っています。身代金（ランサム）を奪い取る成功率を上げるため、システム本体だけでなくバックアップデータも見つけ出し、壊してしまう手口が報告されています」と話すのは、多様なバックアップソリューションを扱うArcserve Japanの中田皓介氏（ソリューション統括部　マネジャー）だ。

　実は、WannaCryが猛威を振るっていた頃、オフラインや上書き困難なクラウド環境といった「攻撃者の手の届かないところ」にデータを置いて保護することが推奨された。しかし、それらの対策にはコストや手間が掛かるため「そこまでしなくても大丈夫だろう」と判断した企業があり、サイバー攻撃の標的にされてしまった。

　数日から数週間の潜伏期間を持ち、タイムラグを置いてからデータを暗号化するランサムウェアも目立つ。「何も不審な点がないと思われたシステムが実はかなり以前からランサムウェアに感染しており、気付いた時点で企業がリストアしても問題を解決できなかった」という事態も発生しているという。

　高度化したランサムウェアへの対策を考えると、単に直近のデータをバックアップするだけでは不十分だ。少なくとも約1カ月、30世代分のバックアップを取得し、かつそのデータが攻撃者によって消去されたり暗号化されたりしないよう保護する必要がある。

統合的なデータ保護を実現する「Arcserve UDP」

　Arcserve Japanは、情報システムが広がり始めた時期から数十年にわたってデータ保護ソリューションを提供してきた。2014年にリリースした「Arcserve Unified Data Protection」（UDP）は過去の蓄積を生かしてコストパフォーマンスに優れたディスクストレージを主な対象に、簡単かつ統合的にイメージバックアップを取得する。Arcserve UDPが搭載するランサムウェア対策機能について、中田氏はこう話す。

　「あれこれ細かく設定する手間なくサーバを丸ごとバックアップし、エクスプローラーライクなGUIでリストアできて簡単に使える点が評価されています」（中田氏）

　単一のソフトウェアで多様なシステム環境をカバーできる点も特徴だ。オンプレミスのサーバはもちろん、「VMware vSphere」や「Microsoft Hyper-V」「Nutanix AHV」などのハイパーバイザーやクラウドの仮想マシンもカバーし、アプリケーションと整合性を取った形でバックアップを取得できる。

　「UDPの正式名称である『Unified Data Protection』という言葉の通り、データ保護の統合管理ができることが強みです」（中田氏）

　最近は「Microsoft 365」関連のバックアップ機能も強化している。「Microsoft Exchange Online」や「Microsoft SharePoint Online」「Microsoft OneDrive」「Microsoft Teams」などのバックアップを簡単に取得し、オンプレミスを含めて統合的に管理、リストアできる。

　規模に応じてインタフェースも使い分けられる。数台程度の小規模な環境はシンプルに操作できる一方、仮想化環境やクラウドも含めて複数拠点を展開する中〜大規模の環境は「Arcserve UDPコンソール」で統合管理が可能だ。

オブジェクトロックや隠しドライブへの保存で、攻撃者の新たな手口に対抗

　Arcserve UDPは、以前からランサムウェア対策機能を実装していた。その一つが、継続的な増分バックアップや重複排除を利用した「バックアップ容量の最小化」だ。

　「初回だけフルバックアップを取得し、それ以降は増分バックアップを実行します。初回以降は1日当たりの変更点のみのバックアップで済みます」（中田氏）

　フルバックアップすると1TBになるデータを30世代分バックアップしたい場合でも、30TBのストレージを用意する必要はない。1日当たりの変更が全体の1％程度ならば1.3TB程度で収められるという。そこに重複排除を組み合わせることで、ストレージをより効率的に利用できる。

バックアップ容量の最小化の事例（出典：Arcserve Japan提供資料）

　Arcserve UDPは2021年4月に「8.0」へとメジャーバージョンアップし、同年9月13日には最新版「Arcserve UDP 8.1」（以下、8.1）がリリースされた。高度化するランサムウェアに対処するための新機能を備える。

　その一つがデータの上書きや改ざんを防止するオブジェクトロック機能「WORM」（Write Once Read Many）だ。中田氏は「最も厳しい設定では、たとえ管理者でもデータを一切変更できなくなります」と話す。

　「仮にサイバー攻撃者が管理者権限を乗っ取り、それを悪用してストレージのデータを削除しようとしても不可能になり、バックアップの安全が保たれます」（中田氏）

　8.1は「Amazon S3」に加え「Nutanix Objects」「Wasabi Hot Cloud Storage」などのオブジェクトストレージもサポートする。バックアップデータの保存先がWindowsサーバの場合、ドライブ文字を削除した隠しドライブにバックアップデータを保存し、見つけにくくする機能も追加した。「地味かもしれませんが、金銭を目的にしたサイバー攻撃者の効率を損なう『妨害策』は意外と効果的です」と中田氏は話す。

オブジェクトロック機能の概要（出典：Arcserve Japan提供資料）

　8.1のArcserve UDPコンソールは二要素認証にも対応した。仮に攻撃者が不正なログインを試みたとしても、メールやモバイルアプリでの追加認証が求められ、攻撃を阻止する仕組みだ。

　「顧客の要望に応じて細かな機能追加や改善を進め、安心して使えるようセキュリティ強化に努めています」（中田氏）

Arcserve Japanが推奨するランサムウェア対策のベストプラクティスとは

　日本企業をターゲットにしたランサムウェアの被害は続いている。公表されていない事件も含めると相当数の企業がリスクにさらされており、Arcserve Japanには「どのようにバックアップデータを保護すればいいか」という相談が増えているという。

　Arcserve Japanは、企業に以下のベストプラクティスを推奨する。

　1つ目は、2〜3世代ではなくできるだけ多くの世代、できるだけ長期間のバックアップを取得しておくことだ。中田氏によれば「少なくとも1カ月、30世代分のバックアップが必要」だという。

　「最近はサーバだけでなくクライアントに重要なデータが保存されていることもあります。これらも視野に入れて統合的にバックアップを取ることが重要です」（中田氏）

　2つ目は、定期的な復旧訓練の実施だ。バックアップしても、データの復旧がうまくいかなければ意味がない。「サイバー攻撃や大規模な障害が発生した際、慌てないように手順を確認しておくという意味でも、ぜひ復旧訓練をやっていただきたいと思います」と中田氏は述べ、同社が提供するオンライントレーニングやWebセミナーなども参考にしてほしいとした。

　リストアまで行かなくても、バックアップデータを仮想マシンとしてブートできる「インスタントVM」機能を利用してバックアップデータの中身が暗号化されていないかどうかチェックするだけでも、データの安全性確認に役立つという。

　3つ目は、オフライン環境におけるバックアップデータの保管だ。バックアップデータの保存先は「テープからディスクへ」という流れにあったが、ランサムウェアの問題を踏まえて再びテープを含むオフライン媒体へ回帰しつつある。

　「どうしても人手の問題などでオフライン媒体を利用できない場合は、オブジェクトロック機能を活用してクラウドに保存する方法が一つの解決策になるでしょう」（中田氏）

手間や人手、コスト――バックアップのハードルを下げる

　Arcserve Japanは、市場やIT環境の変化に合わせて機能を充実させてきた。「バックアップデータを転送するネットワークの経路指定」や「バックアップ設定のエクスポート／インポート」など、日本企業からの要望に応じて実装された機能も多々あるという。

　もともと簡単に利用できることが特徴だったArcserve UDPだが、機器調達やインストールの手間を省いてバックアップを始められるアプライアンス製品「Arcserve UDP Appliance」や、細かな設定が不要でクラウドにバックアップデータを複製できる「Arcserve UDP Cloud Hybrid」といった選択肢を追加する。これにより、より使いやすいバックアップ環境を提供する。Arcserve UDP 8.0からサブスクリプション方式を追加するなど、導入しやすいライセンスも用意する。

　「Arcserve UDPは『ビジネスを守るためにデータを守る』というコンセプトで開発されています。『手間が掛かる』や『人手が足りない』『予算がない』といった理由で十分なバックアップが取れていない企業に対し、バックアップのハードルをできるだけ下げ、より多くの企業が十分なデータ保護を実現できるようにします」（中田氏）

Amazonギフト券が当たる！アンケート実施中　＜本アンケートは終了しました＞

本記事に関連して「データのバックアップ対策」についてのアンケートを実施しています。回答された方から抽選で10名様にAmazonギフト券3000円分をプレゼントいたします。ぜひ下記アンケートフォームよりご回答ください。当選発表は発送をもって代えさせていただきます。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。