猛威を振るうランサムウェア対策に何が有効か？カスペルスキー、アクロニスが合同で解説

　ランサムウェアは最近急速に猛威を振るっている。最初の登場は2005年という記録があるものの、実質的には2012年から。2015年になるとCryptoLockerなどが猛威を振るい、被害が急増している。2016年に入り日本でも被害事例が頻出し、ニュースでも報道されるようになってきた。

　ランサムウェアというと活動はユーザーデータの暗号化というイメージが強いものの、スクリーンをロックしたり、マスターブートレコードを書き換えてハードディスク全体を暗号化してシステムが起動できないようにするものもある。 　

　身代金はビットコインで指定されることが多い。ただし個人だとビットコインを用意する方法が分からないまま時間切れとなり、支払に応じられないケースもある。最近ではPayPalやiTunesカードなど個人でも支払いやすい手段も提示されるようになり、不正とはいえビジネスとして成果を着実に上げられるようになってきている。

　「（犯人たちは）荒稼ぎしています」と川合氏は言う。個人だと要求金額は平均で数百ドル程度、企業だともっとつり上がる。海外だと、犯人は最初に高い金額を要求したもののFAXも使うなど執拗に脅迫を繰り返し、途中で値引きに応じるなど、サイバー攻撃にも関わらず泥臭く交渉するケースもあったという。サイバー攻撃とはいえ大事なデータを盾にとられているので、しぶしぶ要求に応じる被害者は少なくない。今や被害額は3億米ドルとも言われている。

　技術的な仕組みで見ると、ランサムウェアはトロイの木馬と暗号化を組み合わせたものからできている。メールからサイトへのリダイレクトまたは添付ファイル（マクロやJavaScript）から感染させる。最近の統計データを見ると、ドロッパー（ランサムウェアを仕込んだメール）が配布されてから1週間ほどで活動は収束している。これは配布されてもエンドポイント製品が対応するためだ。次々と新しいものが配布されている。

　ランサムウェアが猛威を振るう理由として川合氏は「手軽だから」と言う。標的型攻撃のように準備や侵入をすることなく、技術的な難易度は低い。今ではランサムウェアを販売するWebサイトもあるほどだ。こうしたものを利用すれば、犯人がやることはランサムウェアを仕込んだメールを一斉配布するだけ。後は口を開けて待っていれば身代金が入ってくるようなもの。川合氏は「ランサムウェアは今後も引き続き猛威を振るうでしょう。2016年のセキュリティで大きなトピックになるのは間違いありません」と警告する。

　グレベンニコフ氏はまず海外でのランサムウェア事例をいくつか挙げた。電力施設が攻撃されてシステムダウンが起きたり、病院という人命に関わる場所での感染も生じるなどエスカレートしている。FBIが警告を発している。

　ランサムウェアについてグレベンニコフ氏は「ユーザーを教育する、ソフトウェアのアップデートとパッチ管理、包括的なネットワークとエンドポイントセキュリティだけでは、ランサムウェアの100％の防御策にはなりません」と言う。

　ではどうするか。「クラウドへのバックアップです」とグレベンニコフ氏は断じる。

　ランサムウェアはユーザーが持つデータを暗号化して脅迫するものの、バックアップからデータを元に戻せれば脅迫など無視すればいい。安全な場所にデータをバックアップし、感染前の状態に復元できればランサムウェア対策としては完璧と言っていいだろう。

　実際アクロニスのクラウドバックアップでデータをバックアップしていたことで、ランサムウェアの被害から免れたケースもある。例えばある海外企業では23台のパソコンがランサムウェアに感染した。復元すべきデータの合計は923GB。アクロニスが必要な全データをHDDにコピーして顧客企業に送付し、データを復元することができた。感染発覚から26時間後に23台全ての復元が完了したという。

　クラウドバックアップの詳細に入る前に、ランサム対策としてのバックアップにはどのような要件があるか考えてみよう。「ランサムウェアで暗号化されてしまったデータはバックアップからリストアすればいい」のが基本ではあるものの、細かな留意点がある。

　ランサムウェアによっては、OSでマウントしている外付けHDDやネットワーク上のフォルダ、クラウドサービスのストレージも暗号化してしまうものもある。肝心なバックアップデータまで暗号化されてしまっては元も子もない。

　もし手動で対策するなら、バックアップする時だけデータコピーする媒体やドライブを接続するとか、正常に復元できることを確認するとかもする必要がある。しかしこれでは労力が多く、現実的ではない。

　Acronis Backupならではの特徴を見ていこう。例えばバックアップ専用のアクセス権設定がある。バックアップの保存先にはパソコンのユーザーとは別のアカウントでアクセスを設定するのだ。なぜこんなことをするかというと、ランサムウェアはパソコンにログインしているユーザーがアクセスできるフォルダやドライブにあるデータを暗号化するため、バックアップ先を別アカウントにすればランサムウェアの活動を防ぐことができるというわけだ。

　パソコンのHDD内にバックアップ専用のパーティション「Acronis セキュアゾーン（ASZ）」を作成することもできる。専用パーティションならOSからはボリュームマウントされない（見えない）領域となり、バックアップ専用エージェントからのみアクセスできる。ランサムウェアからはアクセスできないため、暗号化の活動が及ぶことはない。

　バックアップ先としてアクロニスのクラウドストレージも利用できる。独自のプロトコルでクラウドストレージにデータを転送し、通信も保存データも暗号化して保護する。Acronisクラウドもユーザーのアカウントからバックアップ保存領域を直接参照することはできないため、ランサムウェアがアクセスすることはできない。

　クラウドを使うとオンプレミス環境にストレージを構築する必要がなく、データが急増してもスケールアウトが可能などの利点がある。またマルチクラウド対応しているため、複数の異なるクラウドを併用しても管理者は一元的に管理できる。ロケーションなどに依存せず一括してリモートからエージェントのアップデートができたり、リモートからのシステム復元も可能だ。佐藤氏は「オンプレミス管理では鉄板だった管理サーバーは不要です」と胸を張る。

　バックアップ手法についての違いについても触れておこう。バックアップには大きく分けてファイルバックアップとイメージバックアップがある。ファイルバックアップは通常のファイルシステム操作に近く、ファイル単位でバックアップする。イメージバックアップはシステムまるごとバックアップする。ファイルを意識せずブロック単位でコピーするため、バックアップにかかる時間は圧倒的に短くてすむ。 　アクロニスによると、Windowsのrobocopyコマンド（ファイル単位でコピー）とAcronis Backup 11.5（ブロック単位でコピー）でバックアップを比較したところ、robocopyコマンドでは14時間20分でAcronis Backup 11.5ではわずか1時間20分ですんだ。圧倒的に高速だ。

　あらためてランサムウェア対策を考えよう。フォルダ単位だろうとシステムブートレコードだろうと、ランサムウェアにデータを暗号化されても、暗号化される前のデータに復元できれば犯人からの法外な身代金要求に応じることはない。ただ戻せばいいだけだ。

　バックアップ手法はいろいろとあるが、ランサムウェアの中にはパソコンにログインしているユーザーがアクセスできるディスクやドライブ、バックアップ先も含めて暗号化するものも出てきている。せっかくバックアップしていても、バックアップ先まで暗号化されてしまったり、暗号化されたデータでバックアップを上書きしてしまったらバックアップは意味をなさない。

　だからこそ、バックアップデータにもランサムウェアの活動がおよばないようなバックアップ専用ソフトが有効になる。Acronis Backupならバックアップ先にはバックアップエージェントしかアクセスできないようなアカウントを用いたり、バックアップ専用のパーティションにバックアップすることができる。

　クラウドへのバックアップも有効だ。マルチクラウド対応していたり、スケールが容易なのでオンプレミスで運用するよりもメリットが多い。なお今回はランサムウェア対策としてのバックアップソリューションを見てきたが、こうした対策は災害対策やBCPソリューションとしても有効だ。

　最後に佐藤氏は「Acronis Backupはランサムウェア対策を十分に考慮したバックアップソフトウェアです」とその有効性を強調して、講演を締めくくった。