ランサムウェアの標的はバックアップデータ、時代遅れのバックアップを進化させる4つのポイント：サイバーレジリエンスで実現する事業継続への道

高度化するランサムウェア攻撃は、事業継続の「最後の砦」であるバックアップデータをも標的にする。迅速な復旧を目指すサイバーレジリエンスの観点から、バックアップの仕組みを見直し、現代の脅威に対抗して進化させるための4つのポイントとは。

[PR／ITmedia]

量・質ともに変化、大きな脅威になったランサムウェア攻撃

　近年のランサムウェア（身代金要求型マルウェア）攻撃の恐ろしさは、特定の企業が被害を受けるだけでなく、サプライチェーンを構成する企業グループやサービスを利用する一般市民の生活にまで影響が出ることにある。自社や自社グループはもちろん、市民社会を維持するためにもランサムウェア攻撃への対策が急務だ。

　なぜランサムウェア攻撃による被害を止められないのか。背景には攻撃の組織化・大規模化と、攻撃自体の高度化・巧妙化がある。近年のランサムウェア攻撃の主な手口としては以下の4つが挙げられる。

　1つ目は「インターネットに接続された機器の脆弱（ぜいじゃく）性を狙った攻撃」だ。IoT化が進んだ上、テレワーク対応でインターネットに接続する機器も増えた。そこで、セキュリティパッチが適用されていないVPN機器やリモートデスクトップの脆弱性が狙われている。

　2つ目は「窃取した認証情報の悪用」だ。盗んだIDやパスワードで外部からログインして内部で感染を広げる攻撃が目立つようになった。正規のIDとパスワードを悪用するため、侵入検知システムなどでは検知できない。

　3つ目は「Webサイトやメール経由での感染」だ。Webサイトで偽の認証画像やエラー画面などを表示して、利用者をだましてランサムウェアに感染させる。添付ファイルにマルウェアを仕込んで感染させることもあるが、実在の人物をかたるなど手口は巧妙化している。

　4つ目は「ダークWebの利用」だ。匿名性の高いダークWebでは、RaaS（ランサムウェア提供サービス）による攻撃代行や認証情報の売買が行われている。

　量と質が変化しているランサムウェア攻撃に対して、近年重要になってきたのが「サイバーレジリエンス」の考え方だ。

「最後の砦」バックアップを狙った攻撃は40％超とのデータも

　サイバーレジリエンスは、サイバー攻撃を受けることを前提に、脅威に侵入された後で速やかに復旧して、被害を最小限にとどめることを目指す。これまで予防を主眼にしていたサイバーセキュリティに、復旧に力を入れるサイバーレジリエンスを組み合わせることで、脅威への耐性を高めて事業継続を図るアプローチだ。

　具体的なフレームワークやガイドラインには、米国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク（CSF） 2.0」や分野ごとに作成されるガイドライン「SP 800シリーズ」がある。CSF 2.0ではサイバーセキュリティとサイバーレジリエンスの概念や枠組みが提示され、サイバーレジリエンスは「SP 800-160 Vol.2」にまとめられている。

　企業はこれらを参考にして、セキュリティベンダーが提供するツールを組み合わせて必要なランサムウェア対策を講じる。

　機器の脆弱性は、脆弱性管理ツールや外部公開資産管理（ASM）ツール、ゼロトラストネットワークアクセス管理などを使った対策が重要だ。認証情報の悪用は、ID管理ツールや多要素認証（MFA）などで対抗する。

　Webサイトや電子メール経由での感染は、事前防止のためのURLフィルタリングやクラウドサービスへのアクセス権管理（CASB）、侵入後にエンドポイント上で脅威を検知するEDR（Endpoint Detection and Response）などが重要だ。ダークWebは、外部の脅威インテリジェンスの活用など、さらに幅広く多角的な対策が必要になる。

　サイバーレジリエンスを高めるにはバックアップが重要になるが、バックアップそのものを暗号化したり、削除したりする攻撃も増えている。米国の市場調査会社Omdia/ESGによると、ランサムウェア攻撃の被害に遭った組織の41％が「攻撃者はバックアップインフラを明確に攻撃対象としていた」と回答した。

　EDRによる検知をすり抜けてもバックアップデータさえ正しく復旧できれば、事業継続が可能だ。バックアップは「最後の砦」になるが、近年のランサムウェア攻撃はその最後の砦をターゲットにすることで攻撃の成功率を高めているという。

サイバーレジリエンスを意識した新しいバックアップへの進化が求められる

　ランサムウェア対策としてのバックアップに求められるのは、サイバーレジリエンスを意識した新しい仕組みに進化させることだ。

　新しい仕組みをどのようにして構築するかを検討するために、バックアップの復旧が困難になる背景やバックアップを無効化する攻撃の手口を整理しておく。

　バックアップの復旧が困難になる背景には4つの問題がある。1つ目が潜伏期間の長さと脅威検知の難しさだ。Omdia/ESGの2025年の調査によると、調査した企業の92％が過去12カ月間にランサムウェア攻撃を受けており、その半数近くがマルウェアの侵入に8日以上気が付かなかった。マルウェアはシステム内にとどまって、横移動で感染を広げてデータを窃取し続ける。潜伏中にバックアップの仕組みを無効化したり、バックアップデータを破壊したりする。多くの企業はデータの窃取にもバックアップデータの破壊にも気が付けない。

　2つ目は、バックアップの仕組みが不完全なことだ。本番データと同じネットワーク内にバックアップが保存されている場合がある。ランサムウェアは同一ネットワーク内で横移動することもあるため、本番データと同じネットワークにデータが保存されていると無防備な状態で暗号化や破壊、改ざんを仕組まれる可能性がある。クラウドサービスなどにバックアップを保管するケースも増えているが、横展開でクラウドサービスの認証情報が奪われると、社内ネットワークと同様にバックアップも破壊、改ざんされる。

　3つ目は、復旧手順が確立されていないことだ。バックアップを取得しても、確実に復旧できるかどうかまで訓練している企業は少ない。正しくバックアップしているつもりが実際はデータが破損しており、正しく復旧できないというトラブルに遭遇することは多い。特にランサムウェア攻撃を受けた場合には、暗号化されたデータをバックアップし続けて、正しく復旧できるバックアップデータが存在しない事態に陥ることもある。

　4つ目は、事業継続の視点が抜け落ちがちなことだ。正しいバックアップデータを確保していても、実際に業務を再開できるようになるまでには時間がかかる。まずは事業で中核になる業務機能を回復させて、段階的に元の状態に戻していくような戦略が重要になる。

　これら4つはバックアップを進化させるためのポイントと言い換えられる。

“時代遅れのバックアップ”を進化させる4つのポイントとは

　バックアップベンダーやセキュリティベンダーは、上述した4つのポイントについて、さまざまな機能を提供して企業のランサムウェア対策を支援する。

　1つ目の「潜伏している脅威の検知」は、EDRのようなプロセスやネットワーク上での振る舞いを検知する仕組みに加え、データに対するアクセスや内容への変更などを監視して脅威を検知する仕組みがある。この仕組みを利用することで、EDRをすり抜けた脅威を検知する可能性が高まるり、脅威への多層防御としても有効になる。バックアップデータ自体が改ざんされていないかどうかをチェックしたり、復旧時にマルウェアに再感染するリスクをチェックしたりする機能を提供する製品もある。

　2つ目の「不完全なバックアップの見直し」は、WORM（Write Once Read Many）機能やイミュータブルストレージ機能を持つバックアップ製品を採用することがポイントだ。これらは、読み込みは可能だが、一度書き込んだら書き換えられなくするもので、バックアップデータの改ざんや変更、削除を制限できる。バックアップ先データとバックアップ元データを物理的、論理的に隔離して管理するエアギャップ機能も有効だ。

　3つ目の「復旧手順の確立」は、データが暗号化された場合を想定して、バックアップデータから正しく復旧できるかどうかを迅速に確認できる機能が必要だ。こうした機能を復旧訓練に組み込んで定期的に実施する体制を整備する。

　4つ目の「事業継続の戦略策定」では、復旧手順を確立する際に単にシステムを復旧させるだけでなく、実際に業務を復旧できるかどうかを検討して、そのための戦略と計画を策定することが重要だ。「最小限の実行可能な事業復旧」（Minimum Viable Business Operation：MVBO）と呼ばれることもある。

　ランサムウェアは明確にバックアップデータを標的にしており、それを想定していない時代遅れのバックアップは今日の状況に合わせて進化させる必要がある。その際には「潜伏している脅威の検知」「不完全なバックアップの見直し」「復旧手順の確立」「事業継続の戦略策定」という4つのポイントを踏まえて、取り組みを推進することが重要だ。また、そうした機能を持つ製品を選定することで、取り組みを推進しやすくなる。

幅広いポートフォリオで企業のサイバーレジリエンスを支援するデル・テクノロジーズ

　ランサムウェア対策としてバックアップを中心としたサイバーレジリエンス製品、サービスを提供するデル・テクノロジーズ。「PowerProtect」のポートフォリオとして4つの製品、サービスを展開している。

• PowerProtect Data Domain
  　バックアップ専用ストレージアプライアンス。重複排除や圧縮、レプリケーションなどの機能が高く評価されており、さまざまなバックアップソフトウェア製品と連携してバックアップ環境を構築できる他、仮想アプライアンスをパブリッククラウド上に展開することも可能だ。データ転送効率を高めると同時に堅牢（けんろう）性も高めることになる独自転送プロトコル「DD Boost」の提供や、WORM／イミュータブル機能など、ランサムウェア対策の機能も豊富に備えており、小規模なシステム環境や、中小企業や支店、拠点でも利用しやすいエントリーモデル「PowerProtect Data Domain DD3410」も提供している。

（提供：デル・テクノロジーズ）《クリックで拡大》

• PowerProtect Cyber Recovery
  　サイバーレジリエンスを実現するためのソリューション。バックアップのデータ転送時にネットワークを遮断してエアギャップを作り出したり、復旧データや認証データを「Vault」と呼ばれる隔離環境で保護したりできる。バックアップデータや復旧データの検証や、迅速な復旧訓練も可能だ。
• PowerProtect Data Manager
  　オンプレミス、仮想化環境、マルチクラウド環境を対象に、仮想マシンやコンテナアプリケーション、クラウドアプリケーションなどのワークロードを保護するソフトウェア製品。ストレージ製品「Dell PowerStore」や「Dell PowerMax」とネイティブに統合されており、バックアップと迅速なリカバリーを実現する。幅広い環境に対応することでMVBO計画策定に役立つ。
• PowerProtect Backup Services
  　SaaSベースのサイバーレジリエンスソリューション。「Microsoft 365」「Google Workspace」「Salesforce」のデータや、PCなどのエンドポイントのデータを安全にバックアップできる。仮想化環境やクラウドネイティブ環境のデータバックアップも可能だ。SaaSで提供され、管理負担を軽減できる。柔軟なMVBO計画策定に役立つ。

筆者紹介

スコット・シンクレア（Scott Sinclair）

通信／IT関連を専門とする市場調査会社Omdia/ESGのインフラストラクチャ、クラウド、DevOps担当プラクティス・ディレクター、アナリスト。インフラストラクチャ、クラウド、DevOpsを専門とするESGのアナリストチームを率いる。サーバおよびストレージ業界で25年以上の経験があり、Fortune 500にランクインするテクノロジー企業での勤務経験から得た専門知識を生かして、クライアント固有の課題解決を支援。以前は、デル・テクノロジーズおよびEMCで上級管理職を務めた。ヴァンダービルト大学でコンピュータ工学の学士号を、テキサス大学オースティン校のマコームズ・スクール・オブ・ビジネスでMBAを取得。

※本記事は、デル・テクノロジーズからの寄稿記事を翻訳・再構成したものです。