Security Online Day 2022レポート（AD）

約7割がデータ復旧できず　増える脅威に対抗する、Arcserveのバックアップソリューション

広がる攻撃対象、長くなる潜伏期間　3-2-1-1のランサムウェア対策とは

2022/10/20 10:00

通知

　昨今猛威を振るうサイバー攻撃の中でも、ランサムウェアの感染被害が特に拡大している。企業の資産であるデータを暗号化して“人質”に取り、復元に身代金を要求するという攻撃手法だが、復旧対策となるバックアップデータが攻撃される事例も増えているという。9月16日に開催された「Security Online Day 2022」では、ランサムウェアから守るためにすぐにできる対策と、新しい対策として注目される「不変ストレージ」について、Arcserve Japanのソリューション統括部プリンシパルコンサルタントの鈴木智子氏が解説した。

通知

進化するランサムウェア　広がる攻撃対象、長くなる潜伏期間

　警視庁のサイバー犯罪プロジェクトによると、届出があっただけでも令和2年（2020年）の下半期の21件から、令和3年（2021年）の上半期では61件、同下半期は85件と右肩上がりでランサムウェアによる被害が増加している。攻撃された企業のうち、バックアップデータを復元できた企業は29％と、71％は復旧できなかったということになる。

arcserve Japan ソリューション統括部プリンシパルコンサルタント鈴木智子氏 — Arcserve Japan ソリューション統括部プリンシパルコンサルタント鈴木智子氏

　Arcserveが2022年6月に203社を対象に行った調査でも、45％（93社）の企業が自社または取引先がランサムウェアに感染経験したと回答。そのうち、データ復旧できたのはわずか18社だったという。

　鈴木氏によれば、ランサムウェアでビットコインの身代金支払いが認識されてきたのが、2013年ごろ。その後、攻撃は日々高度化しており、トレンドとして「攻撃対象の広がり」と「潜伏期間の長期化」などを挙げられている。

　鈴木氏によれば、データだけでなく、システムファイルへの攻撃が増加している上に、「最後の砦とされるバックアップデータを検出し、暗号化してから、実際のファイルを暗号化するという悪質なものも出てきている」という。潜伏期間については、2～4週間などのものも出ており、被害を防ぐために「企業はこれに対応しなければならない」と指摘する。

　このようなトレンドから、鈴木氏はバックアップデータを「どこに」そして「どう置くか」が重要なポイントになっていると強調する。

今すぐできる対策とは？

　鈴木氏によると、ランサムウェア攻撃の対策として、すぐにできることがいくつかあるという。

　まず1つ目として挙げたのが、バックアップで有効と言われる3-2-1ルールの実践だ。3-2-1とは、（3）「本番データ＋最低2つのバックをもつ」、（2）「最低でも2種類のメディアを利用する」、（1）「最低1ヵ所は災害対策用に遠隔に置く」というものだ。

　「遠隔地にデータを置くという考え方は、ランサムウェア対策でも有効な手段」と鈴木氏。バックアップに備わっているレプリケート（複製）機能を使い、ネットワーク経由で遠隔地にコピーすることになる。Arcserveの「Arcserve UDP」は、送信データ量を最小化する重複排除などの機能が備わっており、また“リトライ”と再送機能でネットワークの寸断や断線に対応できるという。

　2つ目として鈴木氏は「バックアップの世代数を定期的に見直すこと」だと述べる。これはランサムウェアの潜伏期間への対応のために有効な手段となる。SALやバックアップ容量から世代数を定義（Plan）し、運用（Do）、そして潜伏期間とディスク空き容量から世代数を見直す（Check）というサイクルを回すというものだ。

　「バックアップデータを少ない世代しかもっていない企業もあるが、その場合、現在のランサムウェアに対応できない。より多くの世代を格納していただきたい」と鈴木氏はアドバイスした。

　「Arcserve UDP」では、重複排除機能を使って世代数の増加に対応できる。顧客の中には、25TBのデータを82％削減して4.5TBにできた事例もあるそうだ。

　3つ目は、バックアップのセキュリティ向上だ。鈴木氏は具体的な対策として、バックアップデータにアクセスできるのはバックアップアカウントのみにするなど「アクセス権の限定化」、隠し共有やドライブ文字削除で不可視化する「秘匿化」、多要素認証による「認証強化」の3つを挙げた。

不変ストレージ「Arcserve OneXafe」を使ってバックアップデータを守る方法

　最後に鈴木氏は、「踏み込んだ対策」として不変ストレージを活用する手法を紹介した。

　不変ストレージとは書き換えができないストレージのことで、“イミュータブルストレージ”と言われることもある。鈴木氏が提案する方法は、その不変ストレージにバックアップデータを書き込むもので、先述の3-2-1に加えて、不変ストレージにも書き込む“3-2-1-1ルール”だ。

　Arcserveは2022年6月に不変ストレージ「Arcserve OneXafe」をリリースした。「不変ストレージ領域が付いたNAS」と鈴木氏は紹介する。では、OneXafeを使ってどのように進化するランサムウェアに対抗できるのか？

　ポイントは、Arcserve OneXafeが備えるスナップショット機能だ。NASであるため、共有フォルダを作ってバックアップデータを格納するが、データ領域は書き換え不可ではない。つまり、ランサムウェアで攻撃される可能性がある。一方で、バックグラウンドで不変なスナップショットを格納する。スナップショットは書き換えが不可だ。「何か変更を加えようとするとすべて弾き返す」と鈴木氏。これによりランサムウェアの侵入を拒否できるという。スナップショットからの復旧は、コマンドを打つことでデータを戻すことができるとのこと。

　なお、データ領域を不変にする方法も考えられる。しかし、その場合はランサムウェアだけでなくユーザーも編集や削除ができなくなるというデメリットがある。そうなると、編集のためにコピーを取り、それを格納するディスクが必要になる。編集したデータも全容量で保管するため、データの量が増える。そこで、スナップショットを不変にしたほうが良いとArcserveでは考えたという。