ランサムウェア復旧の分かれ道は「バックアップデータが“使えたか”どうか」本番システム暗号化への対応策

ランサムウェアはバックアップシステムやデータを狙っている

　海外企業ばかりでなく、最近は日本企業へのランサムウェア攻撃が後を絶たない。標的型攻撃で、何か少しでも隙があればそこを突かれる。ネットワーク層での防御を行っていても、それを乗り越え侵入されることも珍しくない。侵入をすぐに検知するなどの対策強化はなされているが、残念ながら1回でも侵入されるとビジネスやブランドに大きな損害を被ってしまう。

　攻撃を特定して防御し、侵入を検知するためのセキュリティフレームワークに則った対策は重要だ。その上で「ポストインシデント、つまりインシデントが発生した後にいかに迅速かつ安全にサービスやシステムを復旧できるかが非常に重要だと認識されるようになりました」と中井氏は言う。

　以前からバックアップは、人為的なミスなどを含め何らかデータを削除してしまった際、元の状態へと巻き戻すために利用されてきた。今はそれを、セキュリティ対策として活用する。ランサムウェアによる感染でデータが暗号化されても、バックアップから暗号化前まで巻き戻すのだ。実際に米国ダーラム市やラングスビルディングサプライ社では、ランサムウェアに感染しデータが暗号化され、システムがことごとくダウン。幸いにもバックアップを取得していたため、比較的短時間でシステムを復旧できた。

　一方、国内企業ではバックアップは取得していたが、本番環境だけでなくバックアップ自体も暗号化され、基幹業務の復旧に3週間を要した例もある。すべての業務を完全復旧させるためには再構築が必要で、それに3ヵ月もの時間がかかった。バックアップを取得しているという点で同じようにも見えるが、大きな違いは有事の際にバックアップデータが使えたかどうか。バックアップデータを使えた前者はRubrikのソリューションを導入していた。なお、復旧に時間のかかった国内事例でも、インシデントを機にRubrikを導入している。

　ランサムウェアは、侵入するとまずは企業の重要なデータを特定する。今は、バックアップデータも対象だ。「バックアップシステムがないかを探し、あればそれをダウンさせます。そして、バックアップデータを暗号化して使用不可に。ランサムウェアは、高い優先順位でバックアップを狙っています」と中井氏は言う。

　前述したRubrik導入前の国内企業を例に挙げると、攻撃により何がどこまで影響を受けたかが見えない状況だった。Rubrik導入以降は、バックアップから確実に復旧できる体制となり、復旧先としてパブリッククラウドも活用できるようにしている。また、別の国内企業を例に挙げると、一部Rubrikでバックアップを取っていた領域だけは暗号化されず利用できたが、それら以外の領域ではバックアップを取っていてもどれが安全かを判断できなかった。結局、二次感染を引き起こさずに安全復旧できるかが確認できず、再構築をしている。「たとえバックアップを取っていたとしても、復旧に多くの時間がかかることがあります」と中井氏は説明する。

　たとえば、バックアップシステム自体が攻撃されるケースもある。Windows環境に侵入されOS権限が奪われ、バックアップソフトウェアがアンインストールされた例もあれば、ウィルスに感染したことはわかっても、どこまで影響が及んでいるかがわからず復旧すべき範囲が特定できないこともある。復旧すべき範囲により、リストア作業の時間も変わる。さらにバックアップデータは取得し厳重に保管しているが、それを取り出すために時間がかかるケースもある。取り出すために数日、復旧に1週間かかるとなればビジネスへの影響も大きくなり、『身の代金を払った方が良いのでは』と考える企業も少なくない。

最後の砦「データセキュリティ」

　当然ながら、ネットワーク層での防御で侵入させない必要がある上で、侵入されてもすぐに検知できるようにする。ランサムウェアはデータを狙ってくるため、そこを保護できなければならない。このデータを守るための対策こそが「データセキュリティ」だ。

　データセキュリティは「安全かつ迅速に復旧するためのセキュリティ対策だと思ってください」と中井氏。Rubrikのデータセキュリティでは、バックアップを取ることがスタートであり、バックアップデータを活用することも鍵となる。まずは、バックアップとして本番環境のレプリカを取得する。もし、本番環境に直接アクセスして分析した場合、本番環境の負荷は高まってしまう。一方、バックアップのレプリカを使えば、バックアップを取得した時間までは遡ることにはなるが、本番環境相当のデータを使い分析ができる。さらに毎日バックアップを取得していれば、時系列による分析も可能だ。1週間前までまとめて、あるいは1ヵ月前、1年前のデータまで含め分析できる。これらもバックアップデータを使う利点だ。

　なお、データセキュリティは、「データレジリエンス」「データオブザーバビリティ」「データリカバリー」という3つにカテゴリーできる。データレジリエンスのためには、バックアップシステム自体が乗っ取られないようにする。バックアップデータが暗号化されない、改ざんされない、さらにバックアップシステム自体の堅牢性を高め、セキュリティ性を確保することが重要だ。

　またデータオブザーバビリティは、日本語で「データ可観測性」とも言う。これはバックアップデータの分析を通じ、さまざまなリスクを可視化することだ。バックアップデータを見ていけば、これまで見えなかった範囲が見えるようになり、攻撃の影響範囲やデータの重要度などが把握できる。そしてデータリカバリーは、より安全かつ迅速に復旧できるようにすることだ。リカバリーで再感染なく、迅速な復旧が実現できるようにする。

　そして中井氏は、デモンストレーションでRubrikを使い、どのようにデータセキュリティを実現するかを解説した。Rubrikのダッシュボード画面では、どのシステムが保護されているのか、たとえばSaaSのMicrosoft 365のオブジェクトがきちんと保護されているのか、クラウド上のさまざまなインスタンスのバックアップが取得されているかなどを確認できる。また、『昨日かなり多くのバックアップのジョブが実行されたが、それが問題なく終了しているのか』なども確認可能だ。

　他にも、ランサムウェアの感染で暗号化されたシステムがあることが疑われると、バックアップデータ分析から導き出した結果がメッセージとして表示される。「セキュリティ担当者はウィルス検知の仕組みだけでも何か起きている、侵入されているなどがわかるかもしれません。そうした“IT運用者”の目線で、日々見ているダッシュボードに違いを発見できるのです」と中井氏は説明する。

　通知メッセージをクリックすれば、中身の詳細が示される。たとえば日々取得してきたバックアップデータを分析した結果、最新データにこれまでと大きな違いがあることがわかるなどだ。具体的には、非常に大量のファイルが削除されていたり、逆に追加されていたりするなど、バックアップの異なるビヘイビア（挙動・振る舞い）を検出する。これにより、実際にランサムウェアで暗号化されたファイルがどこにどれくらいあるかもわかる。これらを使い攻撃の範囲を特定できるのだ。

　また、“セキュリティ担当者”の目線で見れば、リスクのある領域がどれだけ攻撃されたかがわかる。あらかじめ個人情報に関わるような重要データのキーワードを定義しておき、それを使いバックアップデータを分析。キーワードが含まれるファイルがどこにあるかも見つけられ、該当ファイルに誰がいつアクセスしたかもわかる。

　もちろん、過去を参照することで攻撃された範囲がわかるため、しかるべき初動対応につなげることが可能だ。たとえばランサムウェアに感染すれば、対外的な発表も必要であり、業界によっては報告義務があるかもしれない。実際に、そうした対応が遅れた例がある。「わざと遅らせたわけではなく、何が起きてどれだけリスクがあるかがわからず報告ができなかったのです。これは実際にあったことです」と中井氏は言う。

　攻撃されたものに重要なデータが含まれていた場合、次に考えるのは「リストア」だ。何世代ものバックアップのうち、いったいどれに戻せば良いのか。Rubrikではバックアップデータを照らし合わせ、ランサムウェアの痕跡を検出。そうすることで、痕跡情報の入っていないバックアップデータから安全に戻すことができる。「単一のコンソールからさまざまな状況を可視化し、リストアまで一気通貫でできます。これもRubrikの特長です」と中井氏は述べる。

有事の際、どれだけ安全かつ迅速に復旧できるかが鍵に

　Rubrikは、そもそもバックアップシステム特有の堅牢性を持ち合わせている。システムをダウンさせず、乗っ取らせもしない。バックアップデータへのアクセスを抑制して、仮にアクセスされても削除できない、改ざんできない仕組みを持つ。これらはOSを含めたアプライアンスにより実現している。アプライアンスは専用OSとなっており、OSの特権ユーザーも全くの非公開で、パラメータ変更などをユーザーはできない。そもそもパラメータ設定をする必要がなく運用できる。その上で外部からのバックアップデータへのアクセスも、不可能となっているのだ。

　また、権限をもつユーザーがバックアップ保存期間を変更するなどの設定変更を行った際は、異なるユーザーの承認がないと設定が反映されないようにもなっている。これにより、内部ユーザーによる攻撃からもバックアップデータを守っているのだ。このようにバックアップを通じたデータセキュリティにとって「Rubrikには非常にベーシックな機能が、あらかじめ組み込まれています」と中井氏は言う。そのため、仮に本番システムがランサムウェアにより暗号化されても、バックアップシステム、バックアップデータ自体は影響を一切受けない。

　リカバリーに関しても、Rubrikはさまざまなオプションを用意している。迅速に復旧するためにはVM（仮想マシン）を素早く立ち上げる必要があり、差分だけを戻す高速なリカバリーが可能だ。またシステムのあるサイトだけでなく、別サイトにも戻せる。他にも最近引き合いが増えている機能に“Microsoft 365環境のデータ保護”がある。Microsoft 365は今や重要なビジネスインフラでもあり、そのデータを別のサイトに取っておきたい要望がある中で、Rubrikはそれを容易に実現できる。

　ランサムウェア対策としては、データをいかに保護できるか。それが有事の際に確実かつ安全、迅速に復旧することにつながる。それを実現するためには、レジリエンスのもとにさまざまなセキュリティ機能を搭載し、堅牢性を高めてバックアップのシステムを守る。加えて、さまざまな分析を通じ復旧を判断するオブザーバビリティや、安全、迅速に復旧するデータリカバリーといったキーワードのもと、Rubrikはユーザーの復旧力を強化しそれを支援すると、中井氏は強調した。