見えなくすれば攻撃はできない
ファイルを暗号化して人質にとり、身代金を要求するランサムウェアの被害が拡大している。手口は、巧妙化・高度化しており、セキュリティ対策を強化しても感染を100%防ぐことは困難だ。そこで感染の防止策に加えて、万が一、感染しても確実にデータを復旧できるようにするバックアップが不可欠となる。セキュリティ対策としてのバックアップで抑えるべきポイントと具体的な対策について、ベリタステクノロジーズに聞いた。
完全防御は無理という前提で
対策を考える
感染したPCや接続されたハードディスク、同一ネットワークのデータなどを使用不能にして、その復帰と引き換えに金銭の支払いを要求するランサムウェア。感染すると、ファイルが暗号化され使用不能となり、画面がロックされてPCでの作業ができなくなる場合もある。
ランサムウェアは主に、スパムメールや改ざんされたウェブサイトから感染するが、最近では新種や亜種が次々に登場し、手口も巧妙化、高度化している。そのためウイルス対策ソフトによる検知をすり抜け、各種セキュリティ対策も回避されてしまうなど、完全な防御はまず不可能になっているのが現状だ。
小川達彦
テクノロジーセールス&
サービス本部
Backup Exec製品担当 SE
テクノロジーセールス&サービス本部Backup Exec製品担当SEの小川達彦氏は、「直接感染したクライアントはもちろん、ネットワークやファイルサーバーを通じて拡散するなど、被害が広範囲にわたる恐れがある」と状況を説明する。
IPA(独立行政法人情報処理推進機構)でも、2015年から頻繁に注意喚起を行ってきたが、ランサムウェアの感染件数は急増している。あるセキュリティ対策企業の調べでは、2016年の個人・法人ユーザーにおける被害報告件数は前年同期比で7倍へと大幅に増加しているという。
ランサムウェアに感染して使用不能にされたPCや暗号化されたファイルの復元は困難だ。感染したPCには、感染前の状態に戻すことを引き換えに金銭の支払いを要求する画面が表示される。だが、もし支払いに応じても暗号化やロックが解除されて元に戻る保証は一切ない。実際、先頃世界中で最大規模の感染を引き起こした「WannaCry」でも、支払者は暗号やロックを解除することができなかった。
そこで今、重視されているのがインシデント対応への取り組みだ。つまり、完全防御は無理という前提で、その後の対応を迅速かつ適切に行うことで攻撃を無効化し、ダメージを最小限に抑えるのである。国やセキュリティ機関も、入口・出口対策以上にインシデント対応の重要性について、啓発活動に力を入れるようになっている。
ランサムウェアへの
有効対策はバックアップ
PCをランサムウェアの感染から防御するには、さまざまな対策が必要とされる。それでも感染の被害に遭ってしまった場合、最も有効な手段となるのがバックアップだ。ファイルの定期的なバックアップを取っておけば、たとえランサムウェアに感染しても復旧することができる。
「従来までのセキュリティアプローチは検知と抑止が中心だった。今は、それに加えて復旧が重要な要素になっている。復旧のためのバックアップという点では、システム障害や災害に備えるという従来の目的と変わらない。ただし、ランサムウェア対策を意識したバックアップでは、何を、いつ、どこに、どうやって、という4点から改めて要件を検討しなければならない」と小川氏は強調する。
例えば、バックアップの対象には、データだけでなくシステムロックに備えるため、システムファイルも含めることが求められる。データは必要な期間/世代保護して、万が一の際には迅速にデータやシステムを復旧できるようにしなければならない点は従来と共通している。
とくに留意すべき点は、ランサムウェアの感染は、外付けHDDやNASなどバックアップのためにつないでいた記憶媒体までも使用不能にしてしまう可能性があることだ。そこで、基本的にバックアップ先は、できるだけ感染リスクが低い別の場所を選択することになる。IPAでは、バックアップ時のみ外付けHDDをつなぎ、バックアップ完了後には取り外す運用を提案している。しかし、常にそうした運用をするのではあまりに非効率だ。
ランサムウェアも
見えない対象は攻撃できない
ベリタステクノロジーズでは、ランサムウェア対策を意識したバックアップに対応する各種製品を揃えている。そのなかから3製品を紹介しよう。
まず、主力製品の「Veritas Backup Exec 16」は、中規模程度の環境を対象としたシンプルな統合バックアップソリューションだ。バックアップ対象としてシステム(Windowsのみ)とデータの双方をカバーできる。
「大きな特徴の一つがエージェントで、これをバックアップ対象サーバーに導入することにより対象サーバーとバックアップサーバー間の通信をエージェントが担う。エージェントはベリタスの独自サービスなので、ランサムウェアからはバックアップデータの保存先が見えない。見えなければ攻撃ができないので、安全な場所へのバックアップが実現する」と小川氏。
バックアップ先にはディスク/テープ/クラウドストレージが利用できる。データをテープに複製してオフサイト保管すれば、さらに安全が高まる。一方、ディスクを利用する際も重複排除機能を利用して、高いパフォーマンス、ストレージの効率利用を実現する。とくに OSTという独自規格に準拠したストレージであれば、ネットワーク上に設置してもWindows共有としては見えず、ランサムウェアから隠すことができる。小川氏は、「仮想化環境、クラウドにも対応している。また、GRT(Granular Recovery Technology)により、細かい単位のリストアも可能と、柔軟性も備えている」と強調する。
Backup Execについては、四半期ごとのペースでパッチ(Future Pack)を提供しており、7月からはクラウドストレージに対しても重複排除したデータを直接、転送できる機能が追加される予定だ。
次に、「Veritas System Recovery 16」。この製品は、小規模環境を主な対象としたイメージバックアップ製品だ。
専任の管理者がいない中小企業でも容易に扱え、ドライブ全体を丸ごと高速イメージバックアップできる。万が一の際には、ウィザード形式の画面に従った簡単な操作で、ディスクを丸ごと元通りに復旧できる。フォルダやファイル単位で戻すことも可能だ。
小川氏は、「バックアップ先がNASの場合、バックアップの際には『隠し共有』を使用することで、ランサムウェアから見えなくすることができる。また、NASへのアクセスに専用ユーザーアカウントを指定すれば、ランサムウェアなどが利用する一般ユーザー権限ではアクセスできない」とアピールする。
このほか、ディスクカートリッジの取り外しや交換、カートリッジ単位のライトプロテクトができるRDXが利用できるので、よりセキュアな対策を求めているユーザーにも、テープ利用と同様の物理的な外部保管/保護が可能となっている。
個々に環境が異なる
クライアントデータを管理
「サーバーは決められた運用がほとんどだが、クライアントはそれぞれに使用環境が異なる。決められた時間にバックアップを実施できないため、データやファイルの保護が非常に難しい。このエンドポイントのデータバックアップに特化したソリューションが『Veritas Desktop and Laptop Option (DLO) 9.0』だ」と小川氏。
DLOは、AD(Active Directory)と連携して1台の管理サーバーで最大10万台のクライアントを集中管理できる。リアルタイムのデータバックアップが特徴で、対象データに変更があると自動でパックアップを実施する。2回目以降の送信は、変更分ブロックのみのため端末や回線への負荷が最小限ですむ。また、モバイル端末などがオフラインの場合は、いったん内部にバックアップデータを保持して、ネットに接続したタイミングで保存先サーバーに送信する。
ユーザーが一切、意識することなくバックアップが実行され、世代管理によって、ランサムウェアに感染しても、感染前のデータまで戻すことができる。重複排除機能も備えているので、ストレージ利用の効率化にも貢献する。
田葉光子
パートナー営業統括本部
ソリューションパートナー営業本部
BEプロダクトセールス
パートナー営業統括本部ソリューションパートナー営業本部でBEプロダクトセールスの田葉光子氏は、「データ保護にバックアップは不可欠であり、さらにランサムウェア対策という切り口が加わることで、新しいソリューションとして顧客に提案できるようになる。ベリタスは、小規模からハイエンドまで、バックアップの幅広いニーズに応えるラインアップを揃えている。ぜひ、ベリタス製品を商材として活用してほしい」と訴える。
