ランサムウェア(身代金要求型マルウェア)による被害でデータへのアクセスができなくなった場合、バックアップデータがあれば速やかな復旧が可能*です。
※なお、バックアップデータがあれば、すべてのランサムウェアに対する対策が出来ているわけではない点はご注意ください
しかし、バックアップがあっても、万一の時に復旧できなければ意味がありません。
本記事では、ランサムウェアに感染しないための対策方法から、いざという時に使える安全なバックアップデータの保存方法までをわかりやすくまとめました。
ランサムウェアに備えることで、BCP(事業継続計画)対策も同時に行うことができますので、データのバックアップでお悩みの方はぜひ参考になさってください。
ランサムウェアとは、データやファイルを人質に取り、身代金の要求を行うマルウェアです。
さまざまなサイバー攻撃の中でもランサムウェアが特に警戒されているのは、一度の感染で複数の被害に遭うリスクがあるからです。
ランサムウェアによる主な被害には、次のようなものがあります。
ランサムウェアはシステムに侵入すると、ファイルやドキュメントを暗号化したり、パソコンなどのデバイスをロックして使用不能にしてしまいます。
このため、企業では業務の遂行が困難になり、復旧までサービスや取引が停止してしまうこともあります。
ランサムウェア攻撃では、暗号化したデータの復旧やロック解除を行う代わりに身代金を支払えと要求されます。
特に、企業や組織を狙った標的型のランサムウェア攻撃では身代金が高額になることも多くあります。
また、要求に応じて身代金を支払ったとしても、約束通りデータが解放される保証はありません。また、身代金を支払うと悪意ある攻撃者の新たな活動資金となるため、支払いをしないことが推奨されています。
ランサムウェア攻撃において近年増えているのが、データの暗号化だけではなく、データを盗み出してそれを公開すると脅迫する「二重脅迫」という手法です。
個人情報や機密情報を含むデータの流出は顧客の信頼を失うだけでなく、法的な責任を問われる可能性が高く、企業のブランド価値や市場での地位に甚大な被害を及ぼす恐れがあります。
ランサムウェア被害が起きた時、バックアップデータがあれば、攻撃者の要求に屈することなくデータを復旧し業務を再開することが可能になります。
しかし、ただバックアップを取っている、というだけでは安心とは言えません。
バックアップがあったとしても、バックアップデータ自体が汚染されている可能性があり必ずしも復旧できるとは限りませんので注意が必要です。
ランサムウェア攻撃では、感染はパソコンだけではなくシステム全体に拡大します。
標的型のランサムウェア攻撃では手動で侵入を試みる場合も多く、同一ネットワーク内の端末はすべて感染のリスクがあると言っても過言ではありません。
最近ではバックアップサーバーも標的となるケースが増えているため、ネットワーク内のバックアップデータも同時に暗号化されてしまう可能性があります。
また、暗号化がされていなくても、ランサムウェア感染の疑いがあるバックアップデータは未感染のシステムに感染を広げる危険があるため、復旧に使用することもリスクとなり得ます。
定期的なバックアップを実施しているものの、バックアップからのリストアを一度も試したことがない場合は要注意です。
データの量が多く復旧に時間がかかりすぎたり、そもそも復旧することができなければ宝の持ち腐れです。
バックアップを実施する場合は、そのデータからリストアできるかどうか・どのくらいの時間がかかるかどうかも事前に確認しておきましょう。
ランサムウェアに感染し被害を受けた場合の対策として、バックアップからの復旧は有効です。
しかし、そもそもランサムウェアの被害を発生させないための対策が最重要であることは言うまでもありません。
企業の規模や業種を問わず、今やランサムウェアの脅威は避けられないものとなっているため、攻撃を受けることを前提にした予防対策が必要とされています。
この章では、ランサムウェアに効果的に対抗するためのエンドポイント検知について解説します。
EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)は、マルウェアやランサムウェアなどの侵入からデバイスを保護するための製品です。
EPP は脅威の侵入や攻撃を防ぐためのもので、セキュリティインシデントの予防が主とした機能となります。
次世代型アンチウイルス NGAV(Next Generation Anti-Virus)も EPP の一種といえるでしょう。
EDR はマルウェアが侵入した後の被害を最小限に抑えるためのもので、セキュリティインシデントを検出した際は、管理者にアラートで知らせ、被害拡大防止や原因特定を行います。
EPPとEDRを組み合わせることで飛躍的に防御力を向上させることが期待できます。
ランサムウェア攻撃を受けることは避けられないとすれば、侵入・感染を防止するためのセキュリティ対策と、感染し被害に遭った場合を想定したバックアップはどちらも欠かせない対策方法です。
さらに、被害発生時に確実にバックアップデータを活用できるようにするためには、バックアップの構成は強固にしなければなりません。
この章では、データ保護の基本である「3-2-1ルール」に従ったバックアップ構成について解説します。
バックアップデータは、少なくとも3つ作成しましょう。
これは、1つのデータソースが破損したり、アクセス不能になったりしても、他からデータを復旧できるようにするためです。
データが3つあれば、すべて同時に使用不可能になる可能性は非常に低くなります。
オリジナル1つに対し、バックアップとしてコピーを2つ以上作成しておきましょう。
データを少なくとも2種類の媒体に保存することで、データの安全性がさらに高まります。
同じ媒体にバックアップを保存した場合、経年劣化など媒体固有の障害による故障が懸念されるからです。
例えば、HDDとSSD、クラウドと物理的なテープドライブなど、異なるタイプの記憶媒体を使用することで、データを失うリスクを抑えることができます。
少なくとも1つのバックアップデータをオフサイト(物理的に離れた場所)に保管することを推奨します。
これにより、ランサムウェア攻撃だけではなく、火災や洪水などの自然災害や盗難などの場合にも、データが完全に失われるリスクを最小限に抑えることができます。
オフサイトのバックアップは必ずしもオフラインでなければならないわけではありませんので、クラウドを利用するという方法も有効です。
ただし、データが自動同期されるクラウドストレージでは感染したファイルも同期してしまいます。
バックアップとして利用する場合は、クラウドバックアップサービスを利用することも効果的です。
ランサムウェアを侵入させないためのエンドポイントでのセキュリティ対策と、安全なバックアップデータの確保。
このどちらかが欠けた状態では、ランサムウェア対策は十分とは言えません。
しかし、「最適な製品や方法がわからない」「人手不足で手が回らない」といった理由から、なかなかランサムウェア対策に着手できないこともあるのではないでしょうか。
自社だけで対策を行うのが難しい場合は、アウトソーシングするという選択肢もあります。
本記事を監修しているNECネッツエスアイでは、セキュリティ診断から最適なソリューションの選定・ご提案、構築、運用、保守まで一貫したサポートを行っております。
セキュリティ対策でお悩みの方はもちろん、最新のセキュリティツールを導入したいとお考えの方、おすすめの商品を知りたいという方は、ぜひNECネッツエスアイへお問い合わせください。
