「データ侵害はこうして見抜く」 ランサムウェアからバックアップデータを守る簡単な方法：ランサムウェア対策をもっと簡単に

システムや本番データだけでなく、復旧に必要なバックアップデータを狙う攻撃が横行している。今、エンドユーザーに必要な最新のランサムウェア対策とは。

PR／ITmedia

PR

　サイバー攻撃の被害報告が絶えない。ITインフラソリューションのディストリビューターとして知られるネットワールドの塚田 真一郎氏（マーケティング本部 セールスコンサルティング部）は「セキュリティ被害に遭った後の対応スピードによって、その企業に対する顧客の評価は180度変わります。問題は、検知と復旧の迅速化です」と語る。

　復旧については、ランサムウェアによってデータが破壊されたとしてもバックアップデータを使えば最悪の事態を回避できると思われてきた。だが、塚田氏は警察庁の調査結果「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を引用して「83％もの人が『バックアップデータから復元できなかった』と回答した」と被害の深刻さを説く。ランサムウェアは潜伏期間が長く、その間にバックアップデータにも感染することがあるためだ。

　ではどうすればいいのか。2025年1月29日に開催されたネットワールド主催のセキュリティセミナー「必要な通信以外は遮断せよ！　バックアップデータを死守する新常識」を基に、ランサムウェアからバックアップデータを守る方法と、データが改ざんされたことを検知する有効な方法を解説する。

最後のとりで「バックアップデータ」が侵害されないようにするには

　塚田氏は「データバックアップの課題は5つあります」と語り、ネットワールドが扱うデル・テクノロジーズの「Dell PowerProtect Data Domain」（以下、DD）を使った解決策を提示した。

講演する塚田氏

・課題1：複数世代にわたってデータを保持するとストレージコストが増加する

　DDは高度な重複排除機能「DD Boost」を備えているため、複数世代にわたるデータを保管してもストレージ容量を圧迫しない。より多くの世代のバックアップデータを確保しておけば、感染前の最新データに限りなく近い復旧ポイントまでさかのぼることができる。

・課題2：汎用（はんよう）プロトコルは侵入されやすい

　ネットワーク接続ストレージ（NAS）のデータ転送プロトコルがCIFS（Common Internet File System）やNFS（Network File System）だとデータの保管先に侵入され、簡単にバックアップデータを改ざん、暗号化される可能性がある。その点、DDは独自のプロトコルを採用しているのでバックアップサーバが乗っ取られてもDDに侵入されるリスクは低い。

・課題3：バックアップデータが改ざんされる

　DDに装備されている「Retention Lock」機能によって、ストレージを書き換え不可能な状態にできる。コンプライアンスモードにしておけば、システム管理者権限を持つ人でもバックアップデータを変更、破壊、削除できない。

・課題4：ネットワークにあるストレージに侵入される

　ランサムウェアが到達できないように、隔離環境でバックアップデータを保管する必要がある。DDが2台あれば「Cyber Recovery Vault」という隔離環境を構築でき、Vault環境に1台目のDDのバックアップデータを複製できる。

2台のDDを使ったVault環境構築例（提供：ネットワールド、以下同）

・課題5：どのデータが感染しているか分からない

　Vault環境にあるバックアップデータの安全性をチェックするための脅威分析エンジン「CyberSense」を併用すれば、バックアップデータが改ざんされていないことを容易に検証できる。有事の際はすぐにリストアを開始でき、復旧までの時間を短縮可能だ。

　これら5つのうち、課題1〜3は1台のDDと1台のサーバがあれば済む。データを保護、隔離するためのソリューション「Cyber Recovery Solution」（以下、CRS）のライセンスはDDに含まれるので、バックアップソフトウェアだけ追加すればいい。課題4〜5は、2台のDDと2台以上のサーバが必要だ。課題5に必要なCyberSenseのライセンスは有償になる。

エアギャップでバックアップデータをランサムウェアの脅威から保護する

　次に、ネットワールドの片山大悟氏（SI技術本部 データ基盤技術部 1課）がデモンストレーションを通してCRSとCyberSenseを使い、ランサムウェアによってバックアップデータが改ざんされていないかどうかを検証する方法を解説した。

塚田氏に続いて登壇した片山氏

　片山氏は「ネットワークへの侵入を防ぐために有用なのが、CRSのエアギャップ機能です。バックアップデータをランサムウェアなどの脅威から保護するのに役立ちます」と説明する。エアギャップ機能は、DD同士がLANケーブルで直結に接続されたままでも、NIC（Network Interface Card）の有効／無効をCRSが動的に切り替えることでネットワークの分離を実現できる。

　同氏は、CRSのバックアップデータの保護と脅威分析の仕組みについてこう話した。

　「普段はエアギャップを有効にしておき、Vault側にバックアップデータの複製をする間だけ無効にします。DD内のバックアップデータをSync処理でVault環境に複製し、世代別に保存します。そして、Retention Lock（WORM化）と脅威分析を済ませたら再度エアギャップを有効にして外部と遮断するという流れです」

　講演では、CyberSenseを使う際に必要になる初期設定方法についても詳細が語られた。CRSのデプロイ時に登録したセキュリティオフィサーのIDでログインし、まずはスタートメニュー内の「Users」の直下にある「Add」ボタンをクリックしてadminのIDとパスワードを入力する。

　ログイン後、「Vault Storage」と「Policies」に関する設定をする。Vault Storageについては、Vault環境のDDの名称とFQDNまたはIPアドレス、DD BoostユーザーIDとパスワードを指定すればいい。Policiesについては、ポリシー名（ジョブ名）とポリシータイプ（PowerProtect Data Manager＜PPDM＞またはStandard）、Vault環境のDDを指定、エアギャップに使うNICを指定、Retention Lockのモード（GovernanceまたはCompliance）を設定する。

　これで初期設定は完了だ。ポリシー名を選択してActionを指定すると、CRSが実行される。もちろんスケジュールで自動実行をさせることもでき、CRSポリシーで指定できるActionには以下の6種類の処理を選択可能だ。

• Secure Copy Analyze（同期、世代別管理、Retention Lock、脅威分析）
• Secure Copy（同期、世代別管理、Retention Lock）
• Sync Copy（同期と世代別管理）
• Copy Lock（世代別管理とRetention Lock）
• Sync（同期のみ）
• Copy（世代別管理のみ）

CyberSenseで簡単に見抜けるデータの改ざん、検知の仕組みをデモで解説

　CRSでもう一つ重要な機能が、フルインデックスと機械学習技術を組み合わせてバックアップデータが改ざんされたことを検出するCyberSenseだ。

　片山氏は「CyberSenseで分析の対象となるのは元のデータではなく、バックアップソフトウェアが作成したバックアップデータです」と注意を促した上で、CyberSenseで改ざんを検出するプロセスを説明した。

　まず、テスト用に5000ファイルを新規作成し、そのデータのディレクトリをバックアップして脅威分析を実行する。その後、ファイルを改ざんして再びバックアップを取ることで、改ざん前後のデータが比較できるようになる。この状態で、データが改ざんされたことを検出できるかどうかをCyberSenseの脅威分析機能を使って確かめたという。検証は4回行われた。

CyberSenseによるデータ改ざん分析環境

　1回目の検証では、全ファイルにランダムな文字列を書き込んだ。だが、CyberSenseの指標「Cyber Sensitivity Index」の増分はゼロ（既定のしきい値は50）であり、指標「Entropy」がわずかに上昇しただけだった。結果としてデータが改ざんされたことをCyberSenseで検知できなかった。

　2回目の検証では、全ファイルにランダムな文字列を書き込んだ後、CAB圧縮をかけた。Cyber Sensitivity Indexの増分は7になり、Entropyも95に上昇した。だが「Changed Files」「Changed File Type」「Deleted Files」の各指標の値がほぼゼロだったためか、改ざんとして検知はされなかった。

　3回目の検証では、全ファイルにランダムな文字列を書き込み、CAB圧縮をした後に1000ファイルの拡張子を「.cab」から「.zip」に変更。別の1000ファイルを削除した。その結果、Cyber Sensitivity Indexの増分はゼロだったが、Deleted FilesとEntropyの値が上昇した。しかし片山氏は「確かにファイルの改ざんは認識されましたが、ランサムウェアによるものとは認められませんでした。検証前にファイルを改ざんしたものの、ランサムウェアの実際の振る舞いとは異なるため、検知できなかったのではないでしょうか」と説明した。

　改ざんを検知したのは4回目の検証だ。この検証では、全ファイルに対してランダムな文字列を書き込んだ後にCAB圧縮、暗号化（AES256）した。その結果Cyber Sensitivity Indexの値が50を超え、CyberSenseの「Alerts」のリストに「Critical」として表示され「検知した」との結果を得た。

　4回の検証で分かったことは、CyberSenseはただファイルの改ざんを検知するだけではなく、マルウェアやランサムウェアの動きかどうかを判断して検知しているということだ。

　片山氏は「CyberSenseは実際のランサムウェアの挙動パターンを200以上の指標で分析し、メトリックス（測定値）をどれだけ超えているかで改ざんを検知する仕組みを採用しています」とロジックを説明し、次のコメントでイベントを締めた。

　「CyberSenseによるランサムウェアの検知精度は99.99％とされており、グローバルから届く1200万以上のフィードバック情報や、AI分析（機械学習）によって常にアップデートされています。今回ご紹介したDDに搭載されているRetention LockやDD Boost機能、CRSやCyberSenseを、今後のセキュリティ対策にお役立てください」

Amazonギフトカードが当たる！アンケート実施中　＜本アンケートは終了しました＞

本記事に関連して「バックアップストレージの導入状況」についてのアンケートを実施しています。回答された方から抽選で10名様にAmazonギフトカード4000円分をプレゼントいたします。ぜひ下記アンケートフォームよりご回答ください。当選発表は発送をもって代えさせていただきます。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。