SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

アクロニスに聞く!今さら聞けない企業向けバックアップ集中講義(PR)

ランサムウェア対策は、企業のBCPそのもの――ランサムウェア対策にシステムバックアップが鍵となる理由

 2016年2月、米国の病院をターゲットとした衝撃的なサイバー攻撃事件が発生した。ロサンゼルスにある「Hollywood Presbyterian医療センター」という病院のITシステムが、マルウェアに感染した事件だ。このマルウェアは一般に「ランサムウェア」と呼ばれるもので、感染するとハードディスク上のファイルなどが暗号化され、PCの利用が制限されてしまう。そして、攻撃者から暗号化の解除を引き換えに、身代金を要求されるものだ。今、このランサムウェアの脅威が大きな問題となっている。本稿では、増加するランサムウェアの攻撃に企業が備えるために必要なセキュリティ対策と、システムバックアップの重要性について問う。

脅しに屈して身代金を払って解決――ランサムウェアの脅威

 上述のHollywood Presbyterian医療センターの例では、攻撃者側からビットコイン9,000枚か360万ドル(約4億円)を要求する脅迫があったと報道された。このランサムウェアによる攻撃により、病院のITシステムは利用できなくなり、治療の必要な患者を別の病院に移送する事態となった。この問題を解決するために、病院側が攻撃者に身代金を払うのかに注目が集まった。

 この事件の簡単な経緯としては、2月5日に病院のネットワークに不正アクセスがあったことに気づく。その後マルウェアの感染が確認され、ファイルが暗号化されコンピュータが使用不能となった。感染被害は1台のPCだけでなく、病院内のネットワークに接続されている多くのコンピュータに拡大し、結果的に電子カルテのシステムなど医療行為に必要なITシステムが使えなくなってしまったのだ。

 これに対して、病院側は外部のセキュリティ専門家などの手も借り、ITシステムの復旧が試みられた。しかし、暗号を復号化する鍵がないとどうにもならない状況だったようだ。結局、この病院ではこの状況を迅速に解決するには「お金を支払い、復号鍵を手に入れる」という判断をとった。そして、復号鍵を手に入れ、それを使って2月15日に病院内のシステムは復旧する。この事件により、今日ではコンピュータが使えなければ、病院のような医療施設もまともに機能しなくなることが明らかになった。

 病院側が明らかにしたところによると、報道にあった4億円あまりの金額要求はどうやら間違っていたようだ。実際に支払ったのは40ビットコイン(約1万7,000ドル)。この程度の金額を支払って即座に解決できたのならば、身代金を払うとの判断は間違っていなかったかもしれない。

 しかし、今回は「たまたま本物の復号鍵を手に入れることができた」が、身代金を支払ったからといって本物の鍵が手に入るとは限らない。また、マルウェアに感染したコンピュータが復号鍵で完全に元に戻るとも言い切れないだろう。場合によってはバックドアが残され、ほとぼりが冷めたころに再びファイルが暗号化されるかもしれない。

 また、「この病院ならば脅せばお金を払う」と思われてしまえば、他の攻撃者からも格好のターゲットとされる可能性もある。解決のためにお金を払ったことが本当に良かったかどうか、それはこの後にどれだけ万全な対策を施すかにもかかっている。では、企業はこうした攻撃に対して、どのように向き合う必要があるのか。

最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)

バックアップとリカバリに関する重要なつの真実

本ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」、「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。

ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。 

詳細&資料ダウンロードはこちら!

ランサムウェア対策は企業のBCPそのもの

 「今回は病院の経営判断としてお金を払っていますが、個人のPCがランサムウェアに感染した場合などには、ちょっとお金を払えば解決すると思いお金を払ってしまう人もいるでしょう。自分のPCだけなら会社に報告などせずに払って済ませようと考える人もいるかもしれません」と、アクロニス・ジャパン セールスエンジニア マネージャの佐藤匡史氏は述べる。

アクロニス・ジャパン セールス エンジニア マネージャの佐藤 匡史氏

 海外の事例では「法律に違反している証拠のファイルがあるので、それを暗号化してファイルを差し押さえました」といったメッセージを出すランサムウェアもある。公的機関を巧妙に装って罰金を払えと命令されると、個人にやましいことが少しでもあれば払ってしまうかもしれない。

 攻撃者にとっては、システムに侵入しそこから重要な情報を盗み出して誰かに売るには、手間もかかるしリスクもある。一方でコンピュータという人質をとり、身代金を要求する方法は、リスクも少なく簡単にお金を稼げる方法ともいえる。攻撃者に旨味があるので、ランサムウェアが急激に拡大しているというわけだ。

 このランサムウェアの対策は、具体的にどのようにすればよいのだろうか。ランサムウェアとはいえ、基本的には従来のマルウェアと侵入方法は同じだ。そのため、アンチウイルスやセキュアゲートウェイなど基本的なマルウェア対策を強化するのが1つだろう。

 しかし、次々と生まれる新しいマルウェアの攻撃を完璧に防げるセキュリティ対策などはもはや存在ない。境界の防御に加え、万が一侵入されてもシステムに大きな被害が出ないような対策が必要となる。

 それには「システムのバックアップがあるかないかが鍵になります」と佐藤氏。そもそもシステムのバックアップを企業がきちんと取得していれば、ランサムウェアはここまで拡大することはなかっただろうと述べる。ランサムウェアの被害では、基本的には重要な情報が流出するわけではない。感染したPCやシステムが使えなくなるだけだ。そのため、被害に遭ったPCを迅速に復旧できれば、ランサムウェアの攻撃はそれほど怖くないことになる。

 これはPC上で失われたものを復旧させることであり、アンチウイルスというよりは、バックアップ・リカバリーの領域だ。佐藤氏はランサムウェア対策では、単なるバックアップではなくシステムバックアップが極めて有効だと指摘する。

 「以前のランサムウェアは、主要なファイルを暗号化するものでした。たとえば暗号化後にファイルの拡張子を".vvv"に変えてしまうものなどが有名です。この被害であれば、暗号化されたファイルをリストアップし、バックアップから対象ファイルを戻すことで対策できました。ところが2015年後半くらいから、ランサムウェアも進化しており暗号化する対象のファイルの種類が大きく広がっています。暗号化後の拡張子もランダムになっており、こうなると戻すべきファイルがなかなか特定できません。対処するには、システムをリセットするしかなくなるのです」(佐藤氏)

 どのファイルを戻せばいいかがはっきりしなければ、PCのシステムを丸ごと復旧させるほうが手間はかからない。システムバックアップをきちんと取得しているかどうかが、ランサムウェア対策では重要となるわけだ。実際にシステムバックアップで事なきを得た事例があると、リージョナル プロダクト マネージャの古舘與章氏は述べる。

アクロニス・ジャパン リージョナル プロダクト マネージャの古舘 與章氏

 「アクロニスに相談された海外のランサムウェア被害としては、企業内の23台のPCが感染した事例があります。このユーザーは、Acronis Access Advancedを利用していて、Acronis Cloud(アクロニス クラウド)にバックアップをとっていました。海外ではクラウド上のバックアップデータをハードディスクに入れてユーザーに届けるサービスがあり、これを使って23台のPCの復旧をおよそ28時間で実施しています」(古舘氏)

 ファイルを洗い出しバックアップから復旧させる方法でも、PCは使えるように復旧できるかもしれない。OSからリセットするよりは、ファイル単位で復旧するほうが速いだろう。しかし、それでPCが完全に元に戻ったかどうかは誰も保証できない。

 「戻ったとIT担当者が言っても、なんらか爆弾は残っているかもしれません」と佐藤氏。そんな不安を取り除くには、システムをリセットして丸ごと復旧させるしかない。

 また、最近のランサムウェアは、1台のPCだけの被害では終わらない。ネットワークにつながった他のPCにも感染し、ファイルサーバーで共有しているファイルなども暗号化してしまう。被害が数10台、数100台と拡大すれば、その復旧をOSのインストールから始め環境をセットアップし必要なファイルを戻すといった作業を行っていたのでは、復旧までには徹夜作業が何日も続くことになるだろう。その手間とコストを考えたら、身代金を支払ったほうが安いと判断してしまうかもしれない。

 対してシステムバックアップをきちんととっていれば、感染していない状態に戻すのにそれほど手間と時間はかからないだろう。これは、ランサムウェアの被害だけを想定する話ではなく、日常的な災害対策(DR)や事業継続計画(BCP)といったことと同様な問題だ。「ランサムウェア対策は、企業のBCPそのものでもあります」と佐藤氏。

最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)

バックアップとリカバリに関する重要なつの真実

本ホワイトペーパー 『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。

ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。 

詳細&資料ダウンロードはこちら!

ネットワークセキュリティとシステムバックアップの“合わせ技”が有効

 システムバックアップから復旧させる場合にも、アクロニスのようなシステムバックアップの仕組みだけでなく、不正侵入を検知するようなネットワークセキュリティの仕組みの“合わせ技”が重要だと古舘氏は指摘する。いつどのように侵入されたかの細かいレベルのログがないと、どのPCをどの時点まで戻せばいいかの判断ができないからだ。こうした背景から、アクロニスでは現在、セキュリティベンダーとの協業も積極的に進めている。

インタビュー:谷川 耕一(DB Onlineチーフキュレーター/ITジャーナリスト)

 「セキュリティベンダーも、今や100%不正侵入を防ぐことは不可能です。アクロニスのようなシステムバックアップのソリューションを持つベンダーと手を結ぶことで、万が一、侵入された場合でもシステムを守ることができることになります。そのため、両者が組む意味はかなり大きいと判断してくれています」(佐藤氏)

 佐藤氏は、ウィルス対策とシステムのスナップショットが取得できるシステムバックアップのソリューションは、以前から協業関係はあったと説明する。マルウェアに感染した状態をスナップショットにとり、それを使ってテストや解析を行う使い方を、セキュリティベンダーはこれまでも行ってきた。あるいは、システム監査を行うような際にも、ある時点のPC状態を証明するためにシステムスナップショットは利用されている。システムバックアップは、このように多様な使い方ができるものでもある。

 「今回のようなランサムウェアの事件は、日本のセキュリティに対する意識を底上げするチャンスかもしれません。一般的なセキュリティ対策とともにシステムバックアップをそれにどう組み合わせるのか。日本のセキュリティやDRの考え方を、前に進めるきっかけにすべきでしょう。そのために我々も、積極的に情報発信していきたいと考えています」(佐藤氏)

 東日本大震災から5年近くの時間が経過し、バックアップの重要性、さらにはDRやBCPに対する意識が少し薄れてきたところもあると古舘氏は言う。ランサムウェアの拡大は、もう一度それらに目を向けるきっかけにもなるのかもしれない。

 「アクロニスのCEOのセルゲイも、バックアップが最大のセキュリティ対策になると言っています。データの価値は今、どんどん高まっています。どのデータが重要かの重み付けをいちいちするのではなく、すべてを守っていく。ストレージの価格も下がりクラウドストレージも登場して、それが今は可能となっています」(古舘氏)

 アンチウイルスなどのセキュリティ・ソフトウェアを導入するのは今や当たり前だ。それと同じように、システムバックアップも当たり前にする。そうすることで、ランサムウェアの負の連鎖を断ち切ることができるはずだ。そのためには、システムバックアップをきちんと取得し、それを確実に戻せるよう日頃から訓練する必要もある。先の28時間で戻せた例も、日頃からDRのためにシステム復旧訓練をしていたからこその結果だと古舘氏は述べる。

 ランサムウェアの脅威を少しでも感じているならば、マルウェア対策の見直しはもちろん、自社のシステムバックアップ・リカバリーの体制がどうなっているか、今一度確認することをお勧めする。

最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)

バックアップとリカバリに関する重要なつの真実

本ホワイトペーパー 『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。

ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。 

詳細&資料ダウンロードはこちら!

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7818 2016/03/25 11:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング