ランサムウェアはクラウドストレージに感染する可能性があるか?
ユーザーや組織は、パブリッククラウドストレージが非常に信頼性が高く、ランサムウェアの被害を受けることはないという誤解を抱きがちです。実際には、クラウドストレージの信頼性は、クラウドプロバイダーがデータセンター内で実施しているディスクやネットワーク接続の冗長化、およびレプリケーション対策によって支えられています。しかし、だからといって、クラウド上のデータが安全であり、ランサムウェアによって破損することはないというわけではありません。本ブログ記事では、ランサムウェアがクラウド上のデータをどのように攻撃し得るか、そしてその場合にデータ損失を防ぐ方法について解説します。
ランサムウェアに対するクラウドセキュリティの変遷
残念ながら、ランサムウェアは進化を続け、より巧妙かつ危険なものとなっています。サイバー攻撃もより広範囲に及ぶようになっています。その結果、この脅威に対応するためには、クラウドセキュリティ対策も進化させなければなりません。サイバーセキュリティおよびバックアップのベンダー各社は、ユーザーや組織がデータを保護できるよう支援するソリューションを開発しています。
近年、最も危険な傾向の一つとして挙げられるのが、"ランサムウェア・アズ・ア・サービス(RaaS)"です。 熟練したサイバー犯罪者が、即戦力となるランサムウェアキットを技術力の低い攻撃者に販売することで、ランサムウェア攻撃の件数が増加しています。こうした攻撃で使用されるランサムウェアの亜種は、組織のローカルネットワークにアクセスし、クラウド環境全体に拡散することも可能です。
クラウドランサムウェアは、クラウド上のデータへのアクセスを目的として設計された、もう一つの新しいタイプのランサムウェアです。データを盗み出し、攻撃者に送信するだけでなく、データを暗号化することも可能です。このタイプのランサムウェアは、クラウド環境の脆弱性を悪用する可能性があります。
ランサムウェアがクラウドストレージを標的にする方法
ランサムウェアは、ソフトウェアの脆弱性を悪用したり、ユーザーを騙したりするなど、さまざまな方法でクラウドストレージを標的にすることがあります。マイクロソフト、アマゾン、グーグルといったクラウドプロバイダーは常に強力なセキュリティ対策を講じていますが、攻撃者はユーザー側、つまり組織のローカルインフラ内の脆弱性を悪用することが可能です。
- ファイルの同期. クラウドストレージサービスでは通常、クラウド上のストレージに加え、ローカルディスク上のファイルも同期できるようになっています(例:Microsoft OneDrive、Google Driveなど)。もしユーザーのコンピュータがランサムウェアに感染した場合、ランサムウェアはローカルドライブ上のファイルを暗号化し、その破損したファイルがクラウドストレージに同期されます。その結果、パブリッククラウド上のファイルも破損してしまいます。
- 漏洩したユーザー認証情報. 攻撃者はフィッシングやブルートフォース攻撃を用いてユーザーの認証情報を盗み出し、ユーザーのコンピュータやネットワーク内の他のコンピュータにあるファイルへのアクセス権を取得します。ランサムウェアをインストールすると、ファイルが暗号化され、その結果、破損してしまいます。この手法により、攻撃者はクラウド上のアカウントにアクセスし、データを削除したり破損させたりすることが可能になります。
- クラウドAPIの活用. アプリケーション・プログラミング・インターフェース(API)は、利便性を高め、クラウドサービスと連携するサードパーティ製アプリケーションを開発できるようにするために、クラウドベンダーによって提供されています。 APIを利用することで、アプリケーションはクラウドサービスとの連携時にタスクを自動化できます。攻撃者は、APIの脆弱性を悪用したり、盗んだAPIキーを使用したりして、クラウドストレージにアクセスすることが可能です。攻撃者がアクセスを獲得すると、ランサムウェアを展開してファイルを破損・削除することができます。したがって、APIの脆弱性により、ランサムウェアが通常のセキュリティ対策を迂回して、攻撃者がクラウドストレージのデータに直接アクセスできるようになる可能性があります。
- 共有フォルダとコラボレーションツール共有フォルダは、主に組織内での共同作業のために使用されます。1台のデバイスやアカウントが侵害されると、ランサムウェアが共有フォルダにアップロードされる可能性があります。他のユーザーもこれらの共有ファイルにアクセスする可能性があるため、ランサムウェアは組織全体に急速に拡散する恐れがあります。Microsoft TeamsやGoogle Workspaceなどのクラウドベースのコラボレーションツールでは、共有ファイルが感染した場合、ランサムウェアの拡散がさらに加速する恐れがあります。
- 不十分なアクセス制御. 強固なセキュリティポリシーがなければ、攻撃者は権限設定の不備を悪用する可能性があります。ユーザーがクラウドストレージに対して不必要な書き込み権限や管理者権限を持っている場合、ランサムウェアがこれらの権限を乗っ取り、ファイルを暗号化・破壊する恐れがあります。
クラウドストレージをランサムウェアから守る
クラウドストレージをランサムウェアから保護するには、予防策、アクセス制御、データ復旧戦略などを組み合わせたアプローチが必要です。クラウドベンダーは高度なセキュリティを確保していますが、その責任範囲は基盤となるクラウドインフラストラクチャに限られます。これらのリソースを利用してデータを保存する組織は、自組織側でのデータ損失を防ぐためのデータ保護および関連措置について責任を負います。これは"責任分担モデル"と呼ばれ、ほとんどのクラウドベンダーのエンドユーザー使用許諾契約(EULA)に盛り込まれています。
以下に、組織が利用できる主なランサムウェア対策を示します:
- クラウドファイルのバージョン管理を有効にするファイルのバージョン管理機能を利用すれば、最新のファイルがランサムウェアによって暗号化または破損した場合でも、感染前の以前のバージョンを復元することができます。この機能の設定により、各ファイルの複数のバージョンをクラウドストレージに保存しておくことが可能です。Microsoft OneDriveやGoogle Driveなどの主要なクラウドストレージプロバイダーでは、ファイルのバージョン管理機能を提供しています。
- データ暗号化を有効にする強力な暗号化により、攻撃者がクラウドストレージへのアクセス権限を獲得したとしても、機密ファイルに容易にアクセスしたり改ざんしたりすることを防ぐことができます。可能な限り、転送中および保存時の暗号化を有効にし、高いセキュリティレベルを確保してください。 暗号化されたデータにアクセスできるのは、鍵やパスワードを保有する権限のあるユーザーのみです。通常、サービスに組み込まれた暗号化機能を使用するか、クライアント側での暗号化を適用するかを選択できます。ランサムウェアは暗号化されたファイルを暗号化することはできますが、攻撃者は鍵がなければ、あなたが暗号化したファイルを読み取ることはできません。
- ユーザー権限は慎重に設定してください. アクセス権限を設定する際は、"最小権限の原則"を適用してください。攻撃者は、システム管理者ではなく一般ユーザーを標的にしてランサムウェア攻撃を開始する方が、常に容易です。ユーザーに必要な管理権限と書き込み権限のみを付与しておけば、ランサムウェアがネットワーク上で拡散し、他のリソースに感染することを防ぐことができます。
- 高度な脅威検知を導入するエンドユーザーのコンピュータにウイルス対策ソフトをインストールし、ランサムウェアが感染を試みた場合にそれを検知・削除できるようにします。コンピュータがランサムウェアに感染していなければ、クラウドストレージと同期されているファイルを暗号化することはできません。
- 監視. 自動アラートや通知機能を備えた監視システムを活用し、ランサムウェア活動の兆候となり得る不審な動作を迅速に検知してください。大量のファイル変更、一斉共有、および不明な場所からのログイン試行などは、不審な活動と見なすべきです。ランサムウェアを早期に検知できれば、攻撃を阻止し、深刻な被害を回避しやすくなります。
- クラウドストレージを分離する. ローカルディスクとクラウドストレージ間のファイル同期設定は避けてください。これにより、ローカルユーザーのコンピュータがランサムウェアに感染した場合でも、クラウドに保存されているファイルが破損するリスクを軽減できます。
- 信頼できないソースからのファイル共有を無効にする. 共有ドキュメントを介したランサムウェア感染のリスクを最小限に抑えるため、外部ユーザーへのファイル共有を制限してください。Microsoft Officeドキュメント内のマクロは、ユーザーのコンピュータを感染させる一般的な手段です。誰が誰とファイルを共有できるかについて厳格なポリシーを設定し、共有フォルダを定期的に監査して、権限のないユーザーがアクセスできないようにしてください。
- ユーザーへの啓発. ユーザーへの継続的な啓発活動とセキュリティ意識向上トレーニングを実施してください。ユーザーがランサムウェア攻撃の基本的な仕組みを理解し、不審な兆候を検知した際の対処法を知っていれば、ランサムウェアに感染するリスクは低減されます。ユーザーのコンピュータを感染させるフィッシング攻撃は、組織のインフラ内でランサムウェアを拡散させる一般的な手口です。ユーザーはフィッシングメールや不審なリンクを見分けられるようにし、サイバー攻撃の兆候が見られた場合はシステム管理者に報告できるようにする必要があります。
- 定期的にデータのバックアップを取ってくださいバックアップがあれば、ランサムウェア攻撃によって元のデータが失われた場合でも、データを復元することができます。定期的な自動バックアップを設定し、必要なスケジュールや保存期間のポリシーを定義することで、さまざまな期間にわたるデータの復旧を確実にできるようにします。ローカル上のデータとクラウドに保存されたデータの両方をバックアップしてください。
- 不変バックアップを有効にする. ランサムウェアがバックアップストレージにアクセスできてしまうと、バックアップデータが破損し、使用できなくなってしまいます。不変バックアップは、WORM(Write Once Read Many)の原則を採用しています。不変バックアップが書き込まれると、不変期間が終了するまで変更を加えることはできません。不変バックアップに加え、バックアップデータの書き込み後に接続を切断するテープやハードディスクドライブなどのエアギャップストレージを利用することも可能です。 エアギャップ方式のバックアップも、ランサムウェアが物理的にアクセスできないため、ランサムウェアに対する耐性があります。
- 災害復旧訓練を実施する. ランサムウェア攻撃に備え、バックアップのテストを行うことが重要です。各従業員は、ランサムウェア攻撃が検知された場合の対応策――感染の阻止方法やファイルの暗号化を防ぐ方法――を把握しておく必要があります。ランサムウェア攻撃を阻止・排除した後は、攻撃に利用された脆弱性を修正し、データを復旧させることが重要です。データ復旧の手順を十分にテストしておけば、データを簡単かつ迅速に復元することができます。
NAKIVOによるコンプライアンスとセキュリティの確保
NAKIVO Backup & Replication は、ランサムウェア攻撃が発生した場合にデータをバックアップおよび復旧できるデータ保護ソリューションです。NAKIVOのソリューションは、ランサムウェアからデータやバックアップを保護する上で特に役立つ機能を含め、幅広い機能を備えています。
- クラウド上のデータのバックアップNAKIVOのソリューションは、VMware vSphere、Proxmox VE、Hyper-V、Nutanix AHV、WindowsおよびLinuxのワークステーション/サーバー、Amazon EC2、ならびにExchange Online、OneDrive for Business、SharePoint Online、Microsoft Teamsを含むMicrosoft 365のバックアップに対応しています。
- 異なる種類のストレージへのバックアップの保存バックアップはクラウドおよびローカルストレージに保存できます。Amazon EC2、Amazon S3、S3互換ストレージ、Azure Blob Storage、BackBlaze B2、その他のクラウドストレージプラットフォームがサポートされています。ローカルストレージについては、LinuxおよびWindowsマシンのローカルバックアップリポジトリ、NASデバイス、テープメディアにバックアップを保存できます。バックアップメディアを取り外し、エアギャップを施したバックアップを行うことで、ランサムウェアからの保護が可能になります。
- 変更不可能なバックアップ. Linuxにマウントされたバックアップリポジトリ トランスポーター バックアップの不変性をサポートする。 変更不可能なバックアップ 一度作成すると、定義された期間中は変更できません。Amazon S3のバックアップリポジトリも不変のバックアップに対応しており、クラウド上のランサムウェアからの保護を確実にします。
- スケジュールと保存期間の設定. NAKIVO Backup & Replication 高度な機能を提供します スケジュール管理と顧客維持 設定。バックアップジョブは、任意の時刻、定期的に、または別のジョブ終了後に自動的に実行されるようスケジュール設定できます。柔軟な保存期間設定により、複雑な保存ポリシーを実装し、直近または過去の復元ポイントからデータを復元することが可能です。 祖父・父・息子 (GFS) スキームや、その他のより複雑な保持ポリシーも、コンプライアンス要件の遵守に役立ちます。
- 災害復旧機能. 以下の サイト復旧 災害復旧ワークフローを作成し、災害復旧テストを実行するための機能です。このアプローチにより、万が一の障害に備えることができ、クラウド環境およびオンプレミス環境において、データをスムーズかつ迅速に復旧させることができます。
- 粒状回復. ランサムウェアによってデータが感染し、特定のファイルやオブジェクトのみを復元する必要がある場合、詳細な復元機能を使用すれば、迅速に復元を行うことができます。VMware vSphere VM、Microsoft Hyper-V VM、Linux/Windows 物理マシン、Amazon EC2 のバックアップから特定のファイルやフォルダを復元できるほか、Microsoft OneDrive の特定のファイル、Exchange のメール、SharePoint サイト、Microsoft Teams のオブジェクトなども復元可能です。
- ロールベースのアクセス制御. ユーザーアカウント、ロール、および権限は、 NAKIVO Backup & Replication バックアップおよび復旧作業のためです。複数のアクセスレベルを用いて適切な権限を設定することで、不正アクセスを制限できます。マルチテナントモードは、クラウド型ランサムウェア対策に関心のある大規模組織やマネージドサービスプロバイダーにとって有用です。
- バックアップの暗号化. バックアップデータを暗号化することで、バックアップサーバーがランサムウェアに感染した場合でも、サイバー犯罪者によるデータ盗難から保護できます。バックアップコピーを使用し、以下の手順に従うことをお勧めします。 3-2-1バックアップルール ~とともに NAKIVO Backup & Replication ランサムウェアによるバックアップデータの破損を防ぐために。有効にするには ソース側でのバックアップ暗号化、ネットワーク暗号化および保存時のデータ暗号化(リポジトリレベル)。
- バックアップのマルウェアスキャン。バックアップデータにウイルスやランサムウェアが含まれていないことを確認することが重要です。ウイルスやランサムウェアを含むファイルを復元した場合、二次感染により復元後のデータが破損する恐れがあります。NAKIVOソリューションは、さまざまなウイルス対策ソフトウェアとの連携をサポートしており、 バックアップのスキャン そして、ウイルスに感染していないことを確認してください。
結論
クラウド上のデータをランサムウェアから保護するには、一連の予防策を講じ、定期的にデータのバックアップを行う必要があります。パブリッククラウドストレージに保存されたデータは、さまざまな経路を通じてランサムウェアに感染する可能性があります。ランサムウェアはバックアップファイルも攻撃対象とするため、クラウド上およびオンプレミスに保存されたバックアップをランサムウェアから保護することが重要です。 NAKIVO Backup & Replication 高度なバックアップおよび復旧機能により、クラウド上およびオンプレミス上のデータを保護できます。
