悪質化が止まらない。進化するランサムウェアの脅威
2013年頃から流行りだしたランサムウェア、初期のものは感染したPCのファイルを暗号化し身代金を要求するものだった。暗号化されたファイルは拡張子が変更されるため、どれが暗号化されたかは明らか。そのためシステムバックアップなどから、暗号化されたファイルのみを戻すことで比較的容易に復旧できた。
その後、ランサムウェアはどんどん進化している。ファイル名をハッシュ化して変更するものもあり、どのファイルが暗号化されたかを容易に判別できなくなった。またランダムにファイル名を変更してしまうものも出てきて、復旧にはイメージバックアップからシステム全体を戻すしかない状況にもなった。
さらに「ランサムウェア対策にはイメージバックアップが有効だと言っていましたが、今は単純なイメージバックアップだけでは対処しきれません」と言うのは、アクロニス・ジャパン セールスエンジニア マネージャの佐藤匡史氏だ。たとえば2016年に確認された「PETYA」は、PCに搭載されているハードディスクのMBRを上書きしOSへのアクセスをできなくする。「ランサムウェアはどんどん悪質化しています。さらに感染対象もWindowsだけでなくMac OSやモバイル端末用OS、Linuxなどへと広がっています」と佐藤氏は述べる。
アクロニス・ジャパン セールスエンジニア マネージャ 佐藤 匡史氏
各システムの脆弱性を見つけ出し、それに合わせた攻撃もある。またランサムウェア用の対策を検知し、それを回避するものも出てきた。SPORAというシリーズでは、お金をどうやって払い込んだらいいかをサポートするチャットの仕組みまで組み込まれた。MySQLやOracle、SQL Serverといったデータベースシステムを攻撃するものもあり、対策の甘い個人ユーザーから企業へとターゲットも変化している。
先日大きなニュースになったWannaCryは、ワーム型で感染したPCが接続するネットワーク内で拡散したのが大きな特徴だった。これにより感染したPCからパンデミック的に広がり被害が拡大した。また遅延型のランサムウェアでは「感染したPCの中でしばらく潜伏し徐々に暗号化を行うので、直近のバックアップだけでは正常な状態に戻せません。現状はランサムウェアを作っている攻撃者がかなり頑張っています。背景にはビットコインの普及があり、それを使えばかなり儲かることが分かってきたからでしょう」と佐藤氏は説明する。
今、ランサムウェアへの有効な対策方法とは?
もちろん、アンチウィルスなど基本的なセキュリティ対策を行うことは大前提だ。その上で進化しているランサムウェアに対しまずやるべきは、確実にバックアップをとることだ。PCを利用している多くの人は、ハードディスクなどをUSB接続しそれにバックアップを保存しているだろう。最近はそのバックアップファイルを狙うランサムウェアもあり、ローカル接続のハードディスクにバックアップファイルを置いていると暗号化される可能性がある。
対策としては、バックアップする時だけUSBにハードディスクを接続する。個人のPCであればそのような運用も可能だが、企業などではそもそもUSBにハードディスクなどのメディアを接続すること自体が禁止されていることも多い。そのためネットワーク越しのどこかにバックアップをとることになり、そうなればOSから見えてしまいそこが攻撃されるかもしれない。
回避するには、バックアップファイルなどにきちんとアクセス権限を設定することだ。「権限を設定し、ユーザーが触れられないようにします」と佐藤氏は述べ、ランサムウェア対策でバックアップを活用する際にはアクセス権限の管理が重要なポイントになると指摘する。
この権限管理を加味した対策として、簡単に実現できる有効な機能をAcronisは提供している。それが「Acronis Secure Zone」だ。これはバックアップ専用の「隠しパーティション」で、OSからマウントしない領域でユーザーは触ることができない。Acronisのバックアップソフトウェアからのみアクセスでき、ランサムウェアは攻撃できない。「これはローカルディスクの空き領域を集めて設定でき、OS権限があってもアクセスはできません」(佐藤氏)。
▲図:Acronis Secure Zone[クリックすると図が拡大します]
もう1つバックアップを守る方法として有効なのが、「Acronis Storage Node」を使う中継サーバー構成だ。「クライアントのPCとバックアップ処理を行うAcronis Storage Nodeの間は、Acronis独自のプロトコルを利用します。そのため、そこでランサムウェアからの攻撃を防げます」(佐藤氏)。
▲図:Acronis Storage Node[クリックすると図が拡大します]
中継サーバーを利用する方法は、大規模なバックアップ環境を運用するのに向いている。バックアップの集中管理ができ、データの重複排除などとも組み合わせられメリットは多い。しかしながら、1万台を超えるような極めて数の多いクライアントのバックアップとなると、中継サーバーがボトルネックになる可能性もある。そういった際にも効果の高いのが、クラウドを使う方法だ。これなら、インターネット接続さえあればすぐにバックアップをとれる。
「Amazon S3などパブリッククラウドにバックアップをとると、API情報などが公開されておりそこを狙われる可能性もあります。Acronisのクラウドは独自プロトコルで接続するので、ランサムウェアから見ることができません。クラウド上のアーカイブはもちろん転送経路も暗号化されるので、安全性は極めて高いものになります」(佐藤氏)
バックアップをとる時にだけクラウドとの接続は確立するので、バックアップの際だけUSBで接続するのと同様の安全性がある。さらにバックアップ用ハードウェアなどを用意する必要もなく、初期投資を小さく始められるメリットもある。
重要なファイルはDropboxなどのクラウドストレージに置いているから大丈夫と言う人もいるかもしれない。この方法では、ランサムウェアにより暗号化されたファイルをクラウドに同期する可能性がある。遅延型のランサムウェアもあるので、かなり長期間にわたり世代管理をするサービスでなければ、過去にさかのぼり確実に正常なファイルを取得するのは難しい。
注目ホワイトペーパー『アクロニスで万全のランサムウェア対策バックアップ』(全25ページ、無料PDF)
本ホワイトペーパーは、企業の対応が急務となっているランサムウェアの最新動向と昨今の手口、企業の損失、ランサムウェア対策に適したバックアップ方法について紹介した資料(無料PDF)です。本資料をぜひご一読いただき、自社のランサムウェア対策と安全なデータ保護にお役立てください。
今後はセキュリティ対策とデータ保護が融合する
世間でAcronisがランサムウェア対策に有効だと認識されれば、今度はAcronis自身が攻撃される。この懸念は、他のセキュリティ対策ソフトウェアでも同様だ。これには、Acronisのアプリケーション自身を攻撃から防ぐ「Acronis Active Protection」がある。「バックアップのアーカイブはもちろん、Acronisの構成ファイルやレジストリにも触らせません。振る舞い検知でランサムウェアがアーカイブを暗号化するのも防ぎます。これらの機能により、Acronisのアプリケーションの性善説が担保されます」(佐藤氏)。
▲図:Acronis Active Protection[クリックすると図が拡大します]
さらに「データ保護を考えれば、改ざん防止機能が確実にバックアップにも入ってきます。今後はセキュリティとデータ保護は融合します。今やセキュリティとデータ保護は同じ土俵にあるのです」とも言う。アクロニス・ジャパン リージョナルプロダクトマネージャの古舘與章氏は「3年前にAcronisのCEO セルゲイ・ベロウゾフが、これからはバックアップが最大のセキュリティ対策になると言っていました。それを突き詰めたら、今のAcronisの姿になることが良く分かります」と述べ、セキュリティ対策の延長線上にデータ保護があると指摘する。
アクロニス・ジャパン リージョナルプロダクトマネージャ 古舘 與章氏
セキュリティ対策とデータ保護が融合した機能の1つとして、Acronisでは非改ざん性証明のための仕組み「Acronis Notary」を開発した。「バックアップでは、同じ状態に戻せるのが大前提です。データ保護を実践しているベンダーとして、ブロックチェーン技術の中でももっとも強力だと言われているイーサリアムを使いシステムで改ざんがないことを証明しています」と佐藤氏は説明する。
ITシステムを使い、人々は便利を手に入れるはずだった。ところが今は、セキュリティ対策などの手間が増え不便になっている。「ユーザーに負担を強いる対策は良くありません。Acronisでは、日常の自動バックアップの処理でランサムウェア対策ができます。中小企業など専門家が確保できない環境では、手間なくすぐに使える対策が重要です。Acronis Backupなどは、まさにそういった要求に応えられます」(古舘氏)。
WannaCryへの対策などをきっかけに、改めてバックアップ、リカバリーについて考えてみてほしいと古舘氏。その上で事業継続も考慮する。そして「旧来のバックアップの運用に満足するのではなく、きちんと戻せるかどうかまで一度試してほしい。そういうことをきっかけに新たにどんな対策をすべきかを考えてくれれば」(佐藤氏)。
実際に災害などが発生すれば、SIなどのパートナーがすぐに助けてくれるとは限らない。何かあった時に、自分たちの手でどこまで復旧できるのか。そのために今、どんな準備をしておけばいいのか。これらを考えることが、目の前に迫りつつあるランサムウェアの対策にもなり、さらには事業継続計画にも確実につながることになるだろう。
注目ホワイトペーパー『アクロニスで万全のランサムウェア対策バックアップ』(全25ページ、無料PDF)
本ホワイトペーパーは、企業の対応が急務となっているランサムウェアの最新動向と昨今の手口、企業の損失、ランサムウェア対策に適したバックアップ方法について紹介した資料(無料PDF)です。本資料をぜひご一読いただき、自社のランサムウェア対策と安全なデータ保護にお役立てください。
