1. コラム
  2. コラム
  3. ランサムウェア対策にバックアップの保護が必要な理由と具体的な対策

ランサムウェア対策にバックアップの保護が必要な理由と具体的な対策

ランサムウェア被害から復旧するためにバックアップを取っておくことは重要です。ただし、バックアップデータやバックアップサーバ自体を感染させるランサムウェア攻撃も一般化しています。「バックアップを取っておけば安心」とは言い切れません。

バックアップを取るとともに、そのデータやサーバを保護する仕組み作りが必要です。ではどのように対策すべきでしょうか。この記事では、バックアップデータのランサムウェア対策が必要な理由や具体的な対策7選を解説します。

バックアップデータのランサムウェア対策が必要な理由

ランサムウェア攻撃は従来のばらまき型攻撃から標的型攻撃に変化しており、特にネットワーク貫通型攻撃を利用したAPT攻撃に注意が必要です。狙われるのは大企業だけではありません。また、バックアップからのシステム復旧ができないランサムウェア攻撃も一般化しており、バックアップデータを保護する取り組みが重視されます。

APT攻撃によるランサムウェア被害のリスクが増している

ランサムウェア攻撃のトレンドは、不特定多数のデータ暗号化および身代金(ランサム)獲得を狙う「ばらまき型攻撃」から、標的組織を明確に定めた「標的型攻撃」に変化しています。

標的型攻撃の中でも被害が大きくなりやすいのは「APT攻撃(Advanced Persistent Threat)」です。IPA(情報処理推進機構)は、「ネットワーク貫通型攻撃」を利用したAPT攻撃のリスクが増していると注意喚起しています。

・ネットワーク貫通型攻撃:ファイアウォールやVPNサーバなどネットワーク機器の認証情報の窃取や犯罪組織間での売買、あるいは脆弱性の悪用により、ネットワーク内部へ不正アクセスする攻撃
・APT攻撃:標的組織に潜伏して長期間にわたって情報窃取・改ざんやシステム攻撃を行う、より高度・持続的な標的型攻撃

中小企業がサプライチェーン攻撃の踏み台として狙われる被害も増加

ランサムウェアを使用したAPT攻撃では、二重脅迫型の手法がよく見られ、サプライチェーン攻撃の被害も増加しています。攻撃者は不正アクセスに成功すると、ネットワーク内を探索し、重要な情報を窃取した後、ランサムウェアを展開・実行します。そして、「データの暗号化を解除したければ身代金を支払え」「支払わなければ機密情報を公開する」といった二重の脅迫を行います。

さらに、セキュリティ対策が脆弱な関連会社や子会社を「踏み台」として利用し、本命のターゲット企業に攻撃を仕掛ける事例も少なくありません。二重脅迫型ランサムウェア攻撃は、自社だけでなく取引先やサプライチェーン全体に被害が広がる可能性があるため、「自社がAPT攻撃を受けるリスクがある」という認識を持ち、徹底した対策を講じることが非常に重要です。

【関連記事:サイバー攻撃とは?動向・目的・種類・被害事例とセキュリティ対策

バックアップからのシステム復旧ができないランサムウェア攻撃も一般化

ランサムウェアは、ネットワークに接続された機器やシステムに次々と感染し、PCや外付けHDDなどのストレージデータを暗号化します。さらに、バックアップデータやバックアップサーバ自体を暗号化する攻撃手法も増えています。

このような状況では、感染に気付いた組織がバックアップからシステムをリストアしようとしても、「ストレージ内のバックアップデータがすでに暗号化されている」「バックアップサーバ自体が暗号化されている」といった問題に直面することがよくあります。

ランサムウェア攻撃の手口は進化し続けているため、「未然防止は重要だが、完全な防御は難しい」という認識が必要です。その上で、データの確実な復旧や、被害の拡大を防ぐための対策が求められます。

バックアップのランサムウェア対策には「3-2-1ルール」を推奨

ランサムウェア被害から確実に復旧するには、冗長性を確保したバックアップ構成を取ることが求められます。言い換えると、「あるバックアップデータが感染しても別のバックアップデータから復旧できる」という構成を取ることです。そのためのルールとして「3-2-1ルール」の順守が推奨されています。

バックアップの冗長性を重視した基本ルール

ランサムウェア攻撃からバックアップデータを保護するには、「3-2-1ルール」に沿ったバックアップ構成を取ることが推奨されます。

3-2-1ルールとは、2012年に米国のセキュリティ組織US-CERT(United States Computer Emergency Readiness Team)が提唱した、バックアップをする際に守るべき基本ルールです。具体的には以下のルールを守ります。

  • 3つのデータコピー(プライマリデータと2つのバックアップデータ)を用意し
  • バックアップデータは2つの異なるメディアに保存し
  • 1つのバックアップデータはオフサイトに保存する

オフサイト(off-site)はオンサイト(on-site)の対義語です。システムの主要な設置場所を現地(オンサイト)と捉え、地理的に離れた場所(オフサイト)にバックアップデータを保存することをオフサイトバックアップと呼びます。

3-2-1ルールを守ったバックアップ構成例

クラウドコンピューティングの普及によりオフサイトバックアップは容易になり、3-2-1ルールを守ったバックアップ構成を取りやすくなっています。

例えばプライマリデータをローカルストレージに保存し、1つのコピーはオンプレミスのバックアップサーバやLTOテープ(大容量テープカートリッジ)に、もう1つのコピーはクラウドサーバに保存する構成です。

地理的に離れた自社データセンターをバックアップ先として運用することも考えられますが、クラウドサービスはサーバの保守管理をクラウドベンダーが行うため、より低コストでバックアップ構成を維持できます。

【関連記事:データバックアップとは?基礎知識や方法とクラウドストレージ活用

ランサムウェア攻撃からバックアップデータを保護する対策7選

3-2-1ルールに基づく確実なバックアップデータ保護には、複数の対策を組み合わせた多角的な保護施策を展開することが求められます。例えば、世代管理や不正ファイル操作検知機能に優れた製品を導入すること、WORM機能対応のストレージにバックアップデータを保存することなどです。ここでは、具体的な対策7選を解説します。

世代管理や不正ファイル操作検知機能に優れた製品を導入する

ランサムウェアの潜伏期間は長期化しているため、バックアップデータの世代管理や不正ファイル操作検知機能に優れたバックアップソリューションを使用することは重要です。管理できる世代数が少なかったり、異常検知ができなかったりすると、被害に気付いたときには「全てのバックアップデータが感染している」という状況もあり得ます。

以下のような機能のある製品を採用すれば、安全なリストアポイントでシステム復旧をしやすくなります。

  • 管理できる世代数が多いまたは無制限
  • 差分バックアップにより世代数が増えても容量の肥大化を抑えられる
  • ファイル暗号化や異常なファイル操作の検知ができる
  • 機械学習により安全なリストアポイントを提案できる
  • ブロックチェーン技術によりバックアップデータの改ざん検知ができる

WORM機能対応のストレージにバックアップデータを保存する

バックアップデータへの不正操作を防止するには、WORM(Write Once Read Many) 機能に対応したストレージを採用することも重要です。WORMとは、一度書き込んだデータを消去・変更できない追記型の記憶方式で、一般的にはライトワンスと呼ばれます。

WORM機能に対応した不変ストレージであれば、攻撃者に管理者権限を乗っ取られたとしても書き換えが不可能で、ランサムウェアによるバックアップデータの暗号化・削除も防止できます。

サンドボックスやエアギャップによる隔離環境でデータの検証・保護を行う

バックアップデータの安全性の検証や保護のために、サンドボックスやエアギャップによる隔離環境を活用する方法もあります。

サンドボックスとは、システム上に設けられた外部から隔離された領域です。例えば出所不明のプログラムや感染の疑われるバックアップデータをサンドボックス内で稼働させることで、本番環境に一切影響を与えずに安全性を検証できます。

エアギャップとは、有線・無線の通信を遮断し、特定のシステムや機器を物理的に外部のネットワークから切り離すことです。通信回線を通じた保護は困難になるものの、不正アクセスやランサムウェア感染の影響が及ばない領域で、バックアップデータを保存できます。

LTOテープやRDXによるエアギャップ・オフサイト保管を行う

バックアップメディアの見直しも重要です。WORM機能やエアギャップはランサムウェア対策に有効ですが、問題なく対応できるメディアを検討する必要があります。

候補検討となるメディアの例は、LTOテープやRDX(Removable Disk Exchange system)です。いずれも可搬性に優れオフサイト保管にも対応しやすく、グローバルICT企業や研究機関・金融機関など、多くの組織に採用されています。

・LTOテープ:テープカートリッジを専用ドライブに抜き差しするもの。記録容量は18TB/1巻など。容量当たりの価格が安く、大容量データ保存でコストメリットが高い他、長期保管性に優れる
・RDX:2.5インチHDDやSSDがカートリッジ化されたもので、ドライブに抜き差しして使用。USB接続で簡単に運用できる。媒体価格はLTOテープより高いが、ドライブは安く、初期費用を抑えて導入できる

振る舞い検知ができるアンチウイルスソフトを採用する

バックアップデータのランサムウェア感染を早期発見するためには、AI・機械学習による「振る舞い検知」ができるアンチウイルスソフトを採用することも大切です。

一般的なパターンマッチング方式のアンチウイルスソフトは、パターンファイル(ウイルス定義ファイル)に登録された既知のマルウェアしか検出できません。

振る舞い検知ができる製品なら、普段と異なる異常な振る舞いを検知し、バックアップデータを未知のマルウェアから保護できるのが利点です。パターンファイルに登録されていない新種・亜種や、感染のたびに自らを書き換えるマルウェアも検出でき、安全なバックアップデータをより高精度に判断できるようになります。

バックアップデータの保存時・転送時に暗号化する

ランサムウェア攻撃を受ける前にバックアップデータ自体を暗号化して保護することや、バックアップデータをネットワーク間でやりとりする際の通信データを暗号化することも大切です。

あらかじめバックアップデータを暗号化しておくことで、攻撃者によるデータの解析やランサムウェアによるファイルの改ざんなどを防止できます。通信データを暗号化することで、ネットワーク盗聴によるデータの悪用も防ぎ、ランサムウェア攻撃の展開を抑止できます。

【関連記事:ファイル暗号化とは?仕組みや業務効率化に効くツールを解説!

セキュアな認証方法や送受信データの監視により不正アクセスを防止する

不正アクセスを防止することも重要です。システム利用に必要なID・パスワードなどの認証情報が流出すると、ネットワーク内への侵入や継続的な情報窃取、ランサムウェアの展開・実行などを許します。SSO(シングルサインオン)や多要素認証など、よりセキュアな認証方法を採用しましょう。

ファイアウォールなどでネットワーク境界の送受信データを監視し、不審な通信を制限・ブロックすることも大切です。

【関連記事:不正アクセスをされたら?よくある手口と対処法を解説

イッツコムのソリューションで多角的なセキュリティ対策を

企業がサイバー攻撃から重要な情報を守るためには、リモートアクセスやデータ管理における多角的なセキュリティ対策が欠かせません。イッツコムは、ランサムウェアやAPT攻撃などの脅威に備えるための包括的なソリューションを提供し、リモートワークやクラウド利用時のデータ保護とセキュリティ強化を実現します。

「モバイル閉域接続」でリモートアクセス環境のランサムウェア対策

リモートアクセス環境のセキュリティ対策が不十分だと、ID・パスワードの傍受やVPNサーバのハッキングなどを招き、ネットワーク貫通型攻撃・APT攻撃につながる恐れがあります。ランサムウェア被害を抑止・軽減するには、攻撃経路を極力少なくすることや、なるべく早く異常を検知できる仕組みが必要です。

イッツコムが提供する「モバイル閉域接続」なら、デバイスに挿入したSIMカードで経路判別をするシンプルなシステムで、閉域網接続による安全なリモートアクセス環境を実現できます。VPNアプリやID・パスワードによる認証が不要となり、社内LANへの接続にはインターネットを経由せず、リモートアクセスのセキュリティ向上に最適です。

社外からクラウドサービスを利用する際なども社内LANを経由するため、通信ログを取得し、セキュリティリスクの高い通信の検知・制限にも活用できます。

「Box」でデータを安全に一元管理

ランサムウェア対策として、クラウドストレージ「Box」の利用も効果的です。イッツコムが提供するBoxは、各国の政府機関にも採用されている信頼性が高いソリューションで、7段階のアクセス制限や70種類以上の監査ログを備え、データ管理のセキュリティを強化します。

クラウドストレージとして社内ネットワークから分離された構造を持つBoxは、感染拡大のリスクを低減し、ランサムウェアの影響を最小限に抑えます。また、1,500以上の業務アプリと連携が可能で、万が一のトラブル時にもリモートワーク環境で業務の継続が容易に行えます。イッツコムの「Box」は、データの安全な一元管理と迅速な復旧をサポートする理想的なクラウドソリューションです。

企業のセキュリティ強化をお考えの方は、ぜひイッツコムにご相談ください。

まとめ

一見安全に見えるシステムも、すでにネットワーク貫通型攻撃を利用したAPT攻撃の被害を受けている場合があります。ランサムウェアの潜伏期間は長期化しており、「気付いたときには全てのバックアップデータが感染している」という重大なセキュリティリスクを想定した対策が必要です。

中小企業がサプライチェーン攻撃の踏み台となる事例も目立ちます。「自社がいつランサムウェア攻撃の被害に遭ってもおかしくない」という意識で、多角的な対策を講じましょう。

イッツコムは、リモートアクセス環境のセキュリティを強化する「モバイル閉域接続」を通じて通信制御を行い、ランサムウェア侵入リスクを低減します。また、クラウドストレージ「Box」によるデータの一元管理で、社内ネットワークから分離された安全な環境を実現し、感染拡大を防ぎます。ランサムウェア対策でお悩みなら、ぜひイッツコムにご相談ください。