ランサムウェア対策は企業のBCPそのもの
「今回は病院の経営判断としてお金を払っていますが、個人のPCがランサムウェアに感染した場合などには、ちょっとお金を払えば解決すると思いお金を払ってしまう人もいるでしょう。自分のPCだけなら会社に報告などせずに払って済ませようと考える人もいるかもしれません」と、アクロニス・ジャパン セールスエンジニア マネージャの佐藤匡史氏は述べる。
海外の事例では「法律に違反している証拠のファイルがあるので、それを暗号化してファイルを差し押さえました」といったメッセージを出すランサムウェアもある。公的機関を巧妙に装って罰金を払えと命令されると、個人にやましいことが少しでもあれば払ってしまうかもしれない。
攻撃者にとっては、システムに侵入しそこから重要な情報を盗み出して誰かに売るには、手間もかかるしリスクもある。一方でコンピュータという人質をとり、身代金を要求する方法は、リスクも少なく簡単にお金を稼げる方法ともいえる。攻撃者に旨味があるので、ランサムウェアが急激に拡大しているというわけだ。
このランサムウェアの対策は、具体的にどのようにすればよいのだろうか。ランサムウェアとはいえ、基本的には従来のマルウェアと侵入方法は同じだ。そのため、アンチウイルスやセキュアゲートウェイなど基本的なマルウェア対策を強化するのが1つだろう。
しかし、次々と生まれる新しいマルウェアの攻撃を完璧に防げるセキュリティ対策などはもはや存在ない。境界の防御に加え、万が一侵入されてもシステムに大きな被害が出ないような対策が必要となる。
それには「システムのバックアップがあるかないかが鍵になります」と佐藤氏。そもそもシステムのバックアップを企業がきちんと取得していれば、ランサムウェアはここまで拡大することはなかっただろうと述べる。ランサムウェアの被害では、基本的には重要な情報が流出するわけではない。感染したPCやシステムが使えなくなるだけだ。そのため、被害に遭ったPCを迅速に復旧できれば、ランサムウェアの攻撃はそれほど怖くないことになる。
これはPC上で失われたものを復旧させることであり、アンチウイルスというよりは、バックアップ・リカバリーの領域だ。佐藤氏はランサムウェア対策では、単なるバックアップではなくシステムバックアップが極めて有効だと指摘する。
「以前のランサムウェアは、主要なファイルを暗号化するものでした。たとえば暗号化後にファイルの拡張子を".vvv"に変えてしまうものなどが有名です。この被害であれば、暗号化されたファイルをリストアップし、バックアップから対象ファイルを戻すことで対策できました。ところが2015年後半くらいから、ランサムウェアも進化しており暗号化する対象のファイルの種類が大きく広がっています。暗号化後の拡張子もランダムになっており、こうなると戻すべきファイルがなかなか特定できません。対処するには、システムをリセットするしかなくなるのです」(佐藤氏)
どのファイルを戻せばいいかがはっきりしなければ、PCのシステムを丸ごと復旧させるほうが手間はかからない。システムバックアップをきちんと取得しているかどうかが、ランサムウェア対策では重要となるわけだ。実際にシステムバックアップで事なきを得た事例があると、リージョナル プロダクト マネージャの古舘與章氏は述べる。
「アクロニスに相談された海外のランサムウェア被害としては、企業内の23台のPCが感染した事例があります。このユーザーは、Acronis Access Advancedを利用していて、Acronis Cloud(アクロニス クラウド)にバックアップをとっていました。海外ではクラウド上のバックアップデータをハードディスクに入れてユーザーに届けるサービスがあり、これを使って23台のPCの復旧をおよそ28時間で実施しています」(古舘氏)
ファイルを洗い出しバックアップから復旧させる方法でも、PCは使えるように復旧できるかもしれない。OSからリセットするよりは、ファイル単位で復旧するほうが速いだろう。しかし、それでPCが完全に元に戻ったかどうかは誰も保証できない。
「戻ったとIT担当者が言っても、なんらか爆弾は残っているかもしれません」と佐藤氏。そんな不安を取り除くには、システムをリセットして丸ごと復旧させるしかない。
また、最近のランサムウェアは、1台のPCだけの被害では終わらない。ネットワークにつながった他のPCにも感染し、ファイルサーバーで共有しているファイルなども暗号化してしまう。被害が数10台、数100台と拡大すれば、その復旧をOSのインストールから始め環境をセットアップし必要なファイルを戻すといった作業を行っていたのでは、復旧までには徹夜作業が何日も続くことになるだろう。その手間とコストを考えたら、身代金を支払ったほうが安いと判断してしまうかもしれない。
対してシステムバックアップをきちんととっていれば、感染していない状態に戻すのにそれほど手間と時間はかからないだろう。これは、ランサムウェアの被害だけを想定する話ではなく、日常的な災害対策(DR)や事業継続計画(BCP)といったことと同様な問題だ。「ランサムウェア対策は、企業のBCPそのものでもあります」と佐藤氏。
最新ホワイトペーパー『ランサムウェアの被害を受けた企業PCの復元』(無料PDF)
本ホワイトペーパー 『ランサムウェアの被害を受けた企業PCの復元』(全9頁、無料PDF版)では、実際にランサムウェアの被害に遭った企業の事例を紹介しています。「どのように企業システムを保護していたのか」「ランサムウェアの攻撃を受けた後、どのようにシステムを復元したのか」など、被害の経緯や概要、具体的な対応プロセスについて解説しています。
ぜひ本資料をご参照いただき、企業のセキュリティ対策と安全なデータ保護の実現にお役立てください。
