ランサムウェア復旧の分かれ道は「バックアップデータが“使えたか”どうか」本番システム暗号化への対応策

ランサムウェアはバックアップシステムやデータを狙っている

　海外企業ばかりでなく、最近は日本企業へのランサムウェア攻撃が後を絶たない。標的型攻撃で、何か少しでも隙があればそこを突かれる。ネットワーク層での防御を行っていても、それを乗り越え侵入されることも珍しくない。侵入をすぐに検知するなどの対策強化はなされているが、残念ながら1回でも侵入されるとビジネスやブランドに大きな損害を被ってしまう。

　攻撃を特定して防御し、侵入を検知するためのセキュリティフレームワークに則った対策は重要だ。その上で「ポストインシデント、つまりインシデントが発生した後にいかに迅速かつ安全にサービスやシステムを復旧できるかが非常に重要だと認識されるようになりました」と中井氏は言う。

　以前からバックアップは、人為的なミスなどを含め何らかデータを削除してしまった際、元の状態へと巻き戻すために利用されてきた。今はそれを、セキュリティ対策として活用する。ランサムウェアによる感染でデータが暗号化されても、バックアップから暗号化前まで巻き戻すのだ。実際に米国ダーラム市やラングスビルディングサプライ社では、ランサムウェアに感染しデータが暗号化され、システムがことごとくダウン。幸いにもバックアップを取得していたため、比較的短時間でシステムを復旧できた。

　一方、国内企業ではバックアップは取得していたが、本番環境だけでなくバックアップ自体も暗号化され、基幹業務の復旧に3週間を要した例もある。すべての業務を完全復旧させるためには再構築が必要で、それに3ヵ月もの時間がかかった。バックアップを取得しているという点で同じようにも見えるが、大きな違いは有事の際にバックアップデータが使えたかどうか。バックアップデータを使えた前者はRubrikのソリューションを導入していた。なお、復旧に時間のかかった国内事例でも、インシデントを機にRubrikを導入している。

　ランサムウェアは、侵入するとまずは企業の重要なデータを特定する。今は、バックアップデータも対象だ。「バックアップシステムがないかを探し、あればそれをダウンさせます。そして、バックアップデータを暗号化して使用不可に。ランサムウェアは、高い優先順位でバックアップを狙っています」と中井氏は言う。

　前述したRubrik導入前の国内企業を例に挙げると、攻撃により何がどこまで影響を受けたかが見えない状況だった。Rubrik導入以降は、バックアップから確実に復旧できる体制となり、復旧先としてパブリッククラウドも活用できるようにしている。また、別の国内企業を例に挙げると、一部Rubrikでバックアップを取っていた領域だけは暗号化されず利用できたが、それら以外の領域ではバックアップを取っていてもどれが安全かを判断できなかった。結局、二次感染を引き起こさずに安全復旧できるかが確認できず、再構築をしている。「たとえバックアップを取っていたとしても、復旧に多くの時間がかかることがあります」と中井氏は説明する。

　たとえば、バックアップシステム自体が攻撃されるケースもある。Windows環境に侵入されOS権限が奪われ、バックアップソフトウェアがアンインストールされた例もあれば、ウィルスに感染したことはわかっても、どこまで影響が及んでいるかがわからず復旧すべき範囲が特定できないこともある。復旧すべき範囲により、リストア作業の時間も変わる。さらにバックアップデータは取得し厳重に保管しているが、それを取り出すために時間がかかるケースもある。取り出すために数日、復旧に1週間かかるとなればビジネスへの影響も大きくなり、『身の代金を払った方が良いのでは』と考える企業も少なくない。