被害者の悲しい実体験から学ぶ “本当に役に立つ”ランサムウェア攻撃対策：「防御力」に「復元力」を〜なぜなにサイバーレジリエンス（番外編）（2/2 ページ）

[小原 誠，ネットアップ合同会社]

そのバックアップ対策、ランサムウェアに有効ですか？

　バックアップやリストアというと昔からあるテーマですから、読者の中には「自社はしっかりとバックアップを取得しているから大丈夫」「今さら議論するまでもない」と思っている人も多いことでしょう。

　しかしランサムウェア被害に遭った人たちと話すと、ランサムウェア攻撃の実態と対策の間には大きなギャップがあると感じます。多くの企業はバックアップやリストアが必要な場面としてハードウェア障害を想定していますが、この仕組みではランサムウェア被害特有の問題にはうまく対処できないのです。

　この問題は、米国立標準技術研究所（NIST）の「Cybersecurity Framework 2.0」で定められているセキュリティにおける6つの中核機能ごとに考えると分かりやすいかもしれません。なお中核機能のうち、バックアップに直接関連していない「統治（GV）」「識別（ID）」については割愛します。

Cybersecurity Framework 2.0のセキュリティにおける6つの中核機能（出典：Cybersecurity Framework 2.0を基にNetAppが作成）

防御（PR：Protect）

　ハードウェア障害の場合、HDDやSSDなどのメディアに問題が発生し、データの読み書きができなくなる状況が想定されます。そこでRAID（Redundant Arrays of Inexpensive Disks）などの機能によってデータを複数のメディアに同時に書き込んだり、必要に応じて別のメディアにバックアップしたりしておくのが一般的です。このとき必要とされるのは基本的に最新のバックアップのみです。

　しかしランサムウェアの場合、これらの方法だけでは十分に対処できません。暗号化されたデータを複数のメディアに同時に書き込んでも対処になりません。また、ランサムウェアは気が付かないように“こっそり”データを暗号化するため、暗号化されたデータをせっせとバックアップし、気づいたときにはバックアップの中身が暗号化済みのものに置き換わっておりリストアに使えなかった、というケースになりがちです。

　昨今のランサムウェア攻撃では、データの暗号化に加えてバックアップを破壊することで、自力での復旧を妨害するものまで登場しています。

検知（DE：Detect）

　ハードウェア障害の場合、機能停止や性能低下などが発生することから、ファイルサーバ自体の状態を監視することでこれを比較的容易に検知できます。

　一方、ランサムウェア被害の場合、データ暗号化や持ち出し時には異常なデータアクセスが発生しますが、ファイルサーバ自体は正常に動作しています。そのためハードウェア障害と同様の監視だけではランサムウェア攻撃の検出は困難です。

対応（RS：Respond）

　ハードウェア障害の場合は、異常を検知するとサポートに連絡して部品交換などの対応を依頼することになります。基本的にこの間に被害が拡大するという性質のものではありません。

　しかしランサムウェア攻撃の場合、気付いた段階で既にデータの暗号化や持ち出しが実行されており、放っておくと被害はどんどん拡大してしまう恐れがあります。また、放っておけば証拠を隠滅されるリスクもあります。

復旧（RC：Recovery）

　ハードウェア障害の場合は故障直前の状態に戻すため、最新のバックアップを利用して全体を上書きリストアすることになるでしょう。

　一方、ランサムウェアの場合、最新のバックアップ内のデータが既に侵害されている恐れがあるため慎重なリストアが必要になります。

　また、意外と見落としがちなのが、「一刻も早い業務復旧」と「犯行調査」の両立という問題です。「犯行調査のためには現場保存が必要だが、業務への影響もあるのでいつまでも現場保存しておくわけにもいかない。しかし同じ環境を2セット用意するのも難しい」というジレンマに陥ってしまうわけです。

ランサムウェア被害に対処するには、新たなアプローチが必要に

　このように、ハードウェア障害を想定したバックアップやリストアのアプローチでは、ランサムウェア被害には十分対処できません。対処するには新たなアプローチが必要とされているのです。

　後編では、具体的にどのような方法があるのかを紹介します。