2016年ごろから急激に被害が拡大し、未だ注目すべき脅威であるランサムウェア。
感染したコンピュータのファイルを暗号化して使用不能にし、元に戻すための身代金を要求してくる脅迫型のマルウェアで、
一時は落ち着いたかと思われましたが、最近では標的を個人から企業へシフトし再び増加傾向にあります。
基幹システムが感染してしまった企業や医療機関はどうなるでしょうか。
ここではランサムウェア対策に最適なバックアップの方法、保管方法を紹介していきます。
ランサムウェアとは
ランサムウェアとは、感染したコンピュータのファイルを全て暗号化し使用不可にしてしまうマルウェア。
そしてそのファイルを"人質"にして、元に戻す為の身代金を要求してくるタチの悪さが特徴です。
お金を払っても確実に元に戻る保証もありません。
感染したコンピュータにとどまらず、直接接続している外付HDDやリムーバブルディスク、ネットワークで繋がっている他のコンピュータにも感染します。
1台の感染が基幹システムにまで到達したらどうでしょうか。
企業は営業がストップ、工場は稼働停止、医療機関なら人命に関わります。
今、ランサムウェアの標的は個人から企業にシフトし巧妙化してきています。
ランサムウェア対策は感染を防ぐのも大切ですが、感染してしまった場合速やかに復旧できるようにする備え、つまり「バックアップ」が最も重要です。
3つの感染経路
最近最も多いのはVPN機器やリモートデスクトップからの侵入で、企業や団体・組織のネットワークインフラの脆弱性を狙った攻撃が全体の7割を占めています。
その背景として、テレワークなどの普及によりセキュリティの甘いVPNやリモートデスクトップなどの外部との接続ポイントを狙って犯人が直接的に侵入、 手動で攻撃を行うようになったと考えられます。
テレワークを行う自宅などでは、企業や組織などのネットワークに比べセキュリティレベルは劣ります。 自宅のパソコンがランサムウェアに感染した場合、VPNやリモートデスクトップ経由で組織ネットワークに感染を広げてしまうこともあります。
更にカフェや街中で使用できる公衆Wi-Fiの中には傍聴を目的としているものもあるので、注意が必要です。
ランサムウェア以外のウイルスと同様に、メールからの感染例が多く報告されています。
このようなメールにはウイルスを含む添付ファイルが付いていたり、
WEBサイトへのURLが記載されていてアクセスするとウイルスをダウンロードさせ感染させます。
私たち日本人を狙って日本語で巧妙に騙そうとしてくるメールがとても多いです。
添付ファイルやURLを開いてしまう前に、不審な点がないか確認することが大切です。
これもランサムウェアに限らず、様々なウイルス(マルウェア)に共通しています。
WEBサイトを見るだけで感染してしまうケースも多く、感染元WEBサイトの例は以下の通りです。
・正規サイトに表示されている不正広告(実在の広告と同じデザインで見分けがつかない)
・サイトからダウンロードしたファイルやプログラム
WEBサイトからの感染を防ぐためには、公式サイト以外からのソフトウェアダウンロードを控える、 サイト閲覧中に何かしらのインストールを促すポップアップが表示されても反応しない など日頃から警戒心をもっておくことが重要です。
感染したらどうなるか
ランサムウェアに感染してしまうと、感染したコンピュータ内の全てのファイルが暗号化され使用不可となります。
復元ポイントも暗号化されるため成すすべがありません。
その上で、脅迫文を表示させるファイルが作成され「暗号化を解除するためにはお金を払ってください」などのメッセージが表示されます。
注意が必要なのは攻撃者の要望通りお金を払ったとしても、元に戻る保証はないということです。
ランサムウェアは、感染したコンピュータのみならず直接接続している外付HDDや ネットワーク上の他のPCやサーバにまで感染が拡大します。 感染が基幹システムに到達し、更にはバックアップ用のストレージまで感染したらシステムの復旧ができなくなってしまいます。 (バックアップにRAID構築のNASを使用していても、RAID機能はウイルス対策にはなりません)
最適なバックアップ方法
最も重要な注意点
前述の通り、しっかりバックアップを取っていてもサーバと接続された状態ではランサムウェア感染のリスクがあります。 実際にバックアップデータも感染してしまい「システムの再構築より身代金の支払いを選択するしかなかった」という例もあります。 バックアップデータを取得したら、サーバやネットワークから切り離しておくことが最も安全です。
バックアップフロー
バックアップデータをランサムウェア感染から防ぐためには、バックアップデータをオフラインで保管することが有効です。
また、複数世代管理をすることで最新のバックアップ時点に復元できるだけでなく、
もっと前の時点でも復元できるようになります。
例えば感染後すぐに活動を始めるのではなく、潜伏期間のある時限式のランサムウェアも存在します。
発症した前日のバックアップが既にランサムウェアに感染している場合もあるのです。
感染前のバックアップデータまで遡って復旧できるように
復元できる時点を複数持っておくこと、月単位・年単位のバックアップやファイル単位での復元ができるようにしておくと良いでしょう。
バックアップデータの保管方法
取得したバックアップデータは、サーバやネットワークから切り離してオフラインで保管することが最も有効です。
保管環境については、メディアにより異なるので確認しておくと良いでしょう。
実際にデータ復旧が必要になったときに確実に読み込み可能な状態で保つことが重要です。
また、事業所内以外に外部保管をすることによりランサムウェアなどのウイルス対策だけでなく
災害対策にも有効です。
おすすめのバックアップツール
RDX(Removable Disk Exchange System)
RDX(Removable Disk Exchange System)とは、ディスクの取り外しができるバックアップシステム。
2.5インチHDDをカートリッジ化することで、フロッピーディスクのようにドライブに着脱して使えます。
バックアップシステムとして開発され、主なサーバメーカーに採用されているディファクトスタンダード規格。
USBで接続するだけで使用可能なのでシステム専任者のいない中小企業や店舗等でも多く導入されています。
RDXカートリッジは取り外し・交換が可能なので複数カートリッジを使った世代管理バックアップが可能なので、
ランサムウェア対策にピッタリです。
更に堅牢で可搬性に優れており、外部保管にも向いていることから災害対策も実現できます。
