ランサムウェア対策におけるバックアップのベストプラクティス
Security Intelligenceによると、ハッカーたちは バックアップデータの約93%を対象とする ランサムウェア攻撃の増加に伴い、バックアップデータが失われたり復旧に利用できなくなったりする事態が生じており、組織はシステムへのアクセスを回復させることを期待して、身代金を支払う傾向が強まっています。
ランサムウェア被害発生後の復旧を確保するために、サイバーセキュリティ対策を講じ、データをバックアップするだけではもはや不十分です。 アンチウイルスソフトは初期段階においてコンピュータとそのデータを保護できますが、ウイルスやランサムウェアによってコンピュータが感染し、データが破壊されてしまった場合、データを復元する唯一の方法はデータバックアップを利用することです。インターネット経由でアクセス可能なクラウド上のバックアップリポジトリがあれば、 バックアップはランサムウェアの被害に遭うリスクがさらに高くなりますそのため、主要なデータだけでなく、バックアップも保護するための追加対策を講じる必要があります。
このブログ記事では、効果的なランサムウェア対策戦略の策定方法について解説しています。
ランサムウェア攻撃を受けた後、バックアップから復元することは可能ですか?
ソフォスが実施した調査によると、 ランサムウェア被害後のデータ復旧は、バックアップを利用することでより迅速に行えます 身代金を支払うよりも、適切に設定されたバックアップを活用して、ランサムウェア攻撃後のデータやマシンを復旧させることができます。信頼性が高く、感染していないバックアップコピーがあれば、データを復元し、インシデントによるダウンタイムを最小限に抑えることができます。
ランサムウェアのインシデント発生後にシステムを復旧させるには、以下の対応策を検討してください:
- 感染したシステムを隔離するランサムウェアへの感染を確認したら、マルウェアのさらなる拡散を防ぐため、直ちに感染したマシンをネットワークから切り離してください。
- ランサムウェアを削除する信頼できるウイルス対策ソフトやマルウェア対策ソフトを使用して、システムからランサムウェアを削除してください。成功率を高めるため、ウイルス定義ファイルを最新の状態に更新しておいてください。あるいは、ランサムウェアに感染したディスクドライブをフォーマットし、バックアップからデータを復元する方法もあります(バックアップデータは感染していない必要があります)。
- バックアップの可用性を評価する. バックアップシステムを確認し、ランサムウェア攻撃の影響を受けていないことを確認してください。
- データを復元するデータバックアップソリューションを使用して、データの復元プロセスを開始できます。これには、以下の操作が含まれる場合があります。 特定のファイル、フォルダ、または復元するシステムイメージ。バックアップソフトウェアまたはサービスプロバイダーの指示に従ってください。
- 復元されたデータをテストする復元が完了したら、復元されたデータをテストし、データにアクセスでき、かつ破損していないことを確認してください。これは、バックアップデータがランサムウェアによって侵害されていないことを確認するために極めて重要です。
- パッチを適用してセキュリティを確保する感染したコンピュータをネットワークに再接続する前に、システムのセキュリティを強化し、再攻撃のリスクを低減するために、必要なセキュリティパッチ、更新プログラム、および改善プログラムを適用してください。
- 調査し、報告する. 今後の攻撃を防ぐため、ランサムウェアがどのようにシステムに侵入したかを調査してください。また、法執行機関やサイバーセキュリティ関連団体などの当局に、この事案を報告してください。
復旧の成否は、定期的に更新され、安全に管理されたバックアップがあるかどうかにかかっていることを忘れないでください。バックアップが侵害されたり、古くなっていたりすると、データを完全に復旧できない可能性があります。ランサムウェアによる被害を最小限に抑えるためには、サイバーセキュリティ対策の一環として、バックアップを中核とした強固なランサムウェア対策戦略を維持することが極めて重要です。
ランサムウェアはバックアップを攻撃できるのか?
バックアップもマルウェア感染の影響を受けます。感染したシステムからバックアップに直接アクセスできる場合、あるいはランサムウェアがバックアップシステムを標的として特別に設計されている場合、ランサムウェアはバックアップファイルを攻撃し、暗号化(破壊)する可能性があります。
ランサムウェアを悪用する犯罪グループは、組織が身代金を支払う代わりにバックアップを利用してシステムを復旧させようとすることを知っています。このため、バックアップはランサムウェアの主要な標的の一つとなり得ます。
感染したコンピュータからアクセス可能な以下のリソースに保存されたバックアップは、危険にさらされています:
- 共有ドライブ
- ネットワーク接続ストレージ(NAS)
- 感染したマシンに接続された外付けハードディスク
- 感染したマシンからアクセス可能なクラウドストレージ
ランサムウェアがバックアップを標的にする可能性はありますが、ランサムウェア対策の一環として、バックアップデータを保護・保全するための予防策を講じることができます。そうすることで、万が一攻撃を受けた場合でも、確実な復旧手段を確保することができます。
ランサムウェア対策におけるバックアップのベストプラクティス
ランサムウェア対策におけるバックアップのベストプラクティスは、ランサムウェア攻撃が発生した場合でもデータの完全性と復旧性を確保することを目的としています。これには、バックアップの手法に加え、主要システムが感染した場合でもバックアップが侵害されないように保護するための戦略が含まれます。
3-2-1バックアップ戦略
ランサムウェア対策戦略の根幹となるのが、"3-2-1"バックアップルールです。これは、バックアップコピーの冗長性、多様性、および隔離を確保することで、ランサムウェア攻撃からの保護に役立つ堅牢なデータバックアップ手法です。 このルールでは、データのコピーを少なくとも3つ用意し、そのうち2つは異なるメディアに保存し、1つはオフサイトに保管することが求められます。3-2-1ランサムウェア対策バックアップ戦略は、エアギャップ化されたコピーや不変のコピーを含めるために、3-2-1-1へとさらに拡張することも可能です。
以下に、その仕組みを 3-2-1バックアップ戦略 ランサムウェアからデータを保護することができます:
- データのコピー3部:
- 本文. これらは、実際のデータ、元のファイル、そしてあなたが日々扱っているデータです。
- ローカルバックアップ. ローカルに保存されているデータのコピーをもう1つ作成します。保存先は、外付けハードドライブ、バックアップサーバー、またはネットワーク接続ストレージ(NAS) デバイス。これにより、データが消失したり破損したりした場合でも、バックアップに素早く簡単にアクセスできます。
- オフサイトバックアップ3つ目のコピーは、主要な拠点とは別の場所に保管する必要があります。これは物理的に異なる場所でも構いませんが、一般的にはクラウドストレージを利用したり、ネットワーク経由でデータバックアップをセカンダリ拠点に転送したり、あるいは定期的にバックアップを物理的に別の場所へ搬送したりすることで実現されます。
- 2種類のメディア. バックアップのコピーごとに異なる保存媒体を使用することで、耐障害性を高めることができます。たとえば、物理ハードディスクドライブにローカルバックアップを保存している場合は、オフサイトバックアップにはクラウドストレージや別の物理デバイスなど、異なる種類の媒体を使用してください。このように保存媒体を多様化させることで、ローカルバックアップとオフサイトバックアップの両方が同時に同じ種類のランサムウェアの被害を受けるリスクを軽減できます。
- 1つのメディアはオフサイトに保管されています. バックアップコピーを1部、オフサイトに保管しておけば、火災、洪水、ハリケーンなどの災害によって主要サイトが破壊された場合でも、データを復元することができます。
- エアギャップ化された、または不変のコピー 1つ. エアギャップ方式のバックアップはネットワークから隔離されており、インターネット経由で直接アクセスすることはできず、メインシステムとも接続されていません。一方、不変のバックアップは、変更や削除が可能な不変のリポジトリに保存されます。つまり、たとえランサムウェアがネットワークに侵入したとしても、これらのバックアップを暗号化することはできないのです。
エアギャップ方式のバックアップ(オフラインバックアップ)は定期的に更新するようにしてください。ただし、使用していないときは、このバックアップをネットワークから切り離すか、物理的な設置場所から撤去してください。このように隔離することで、バックアップはランサムウェア攻撃に対して極めて高い耐性を持ちます。
"3-2-1"ランサムウェア対策バックアップ戦略は、次のような方法でランサムウェアからシステムを保護します:
- データの冗長性. 主要なデータを標的としたランサムウェア攻撃が発生した場合でも、身代金を支払うことなくデータを復元できる追加のコピー(ローカルとオフサイト)が2つ用意されています。
- 多様性. 異なる保存媒体を使用することで、ある種類のバックアップがランサムウェアの被害に遭っても、他のバックアップは影響を受けないようにできます。この多様性により、ランサムウェアがデータのすべてのコピーを破壊することはより困難になります。
- 隔離. オフラインまたは隔離された環境に保存されたエアギャップ化されたコピーは、最後の防衛線として機能します。たとえランサムウェアがネットワークやローカルバックアップへのアクセス権を獲得したとしても、エアギャップ化されたコピーには到達できません。
- 復旧の柔軟性. 軽微なデータ損失の場合はローカルコピーから素早く復元でき、深刻なランサムウェア攻撃が発生した場合には、オフサイトおよびエアギャップ化されたコピーをバックアップとして活用できます。
"3-2-1-1"データ保護アプローチは、他のセキュリティ対策と組み合わせ、適切に実施されれば、ランサムウェア対策として有効なデータバックアップ戦略となります。
DRの計画とテスト
災害復旧計画 そして テスト ランサムウェア攻撃への備えを徹底し、ダウンタイムを最小限に抑え、万が一の攻撃発生時に効率的なデータ復旧を可能にすることで、ランサムウェア攻撃からの防御において極めて重要な役割を果たします。災害復旧計画では、データ復旧だけでなく、 事業継続 重要な業務の継続。これは、ランサムウェア攻撃が発生した場合でも事業を継続できるよう、バックアップシステムやプロセスを整備しておくことを意味します。十分に検証された災害復旧計画があれば、重要なシステムやデータをより迅速に復旧させることができます。
災害復旧計画を作成する:
- 重要なシステムとデータを特定するこれにより、ランサムウェア攻撃が発生した場合に、何を保護すべきかを優先順位付けするのに役立ちます。
- バックアップおよび復旧戦略を策定するこれには、3-2-1バックアップ戦略の実施、データの冗長性の確保、およびオフサイトバックアップの整備が含まれます。
- インシデント対応. 災害復旧計画に、ランサムウェアに特化したインシデント対応手順を盛り込んでください。これにより、攻撃を受けた際にチームが効果的に対応できるようになります。
以下の方法で、災害復旧計画を検証し、改善する:
- 定期的なテストの実施. ランサムウェアのシナリオを含めた災害復旧テストやシミュレーションを定期的に実施してください。テストを行うことで、計画の弱点を特定し、必要な改善を行うことができます。
- バックアップデータの整合性の確認 データ復旧プロセスをテストすることで。ランサムウェア対策において、バックアップが侵害されていないことを確認することは極めて重要です。
- シナリオに基づく研修ランサムウェア特有のシナリオについてスタッフを訓練することで、攻撃が発生した際に効果的に対応できるよう備えることができます。
ドキュメント作成とコンプライアンスも忘れないでください:
- ドキュメント. 災害復旧計画は、適切に文書化され、定期的に更新される必要があります。この文書化により、インシデント発生時に全員が各自の役割と責任を確実に把握できるようになります。
- 法令遵守データ保護規制への準拠には、多くの場合、堅牢な災害復旧計画の策定が求められます。これにより、ランサムウェア攻撃が発生した場合でも、法的トラブルや罰則を回避することができます。
不変ストレージの使用
不変ストレージとは、一度書き込まれたデータを変更できないストレージの一種です。 不変ストレージ この技術により、指定された保存期間中は、保存されたデータの変更、削除、暗号化が一切行われません。不変ストレージを使用してバックアップを保存することで、ランサムウェア攻撃を受けた際のデータ復旧成功率を高めることができます。
不変ストレージでは、以下のさまざまな仕組みを活用できます:
- 書き込み一回、読み取り多数(WORM): データは一度書き込むと、その後は読み取り専用となり、変更や削除はできなくなります。
- 暗号ハッシュデータは暗号アルゴリズムを用いてハッシュ化され、ハッシュ値は別途保存されます。データに変更が加わるとハッシュ値が異なるものになるため、改ざんの可能性を検知することができます。
- バージョン管理データはバージョン管理されており、現在のバージョンに問題が生じた場合でも、以前のバージョンを復元することができます。
- アクセス制御. 不変ストレージシステムは通常、データへの不正な変更を防ぐために厳格なアクセス制御が施されています。
ランサムウェアは通常、ファイルを暗号化し、復号鍵と引き換えに身代金を要求することで機能します。不変ストレージは、いくつかの方法でランサムウェアから保護することができます:
- 変更を防止します不変ストレージ内のデータは変更できないため、ランサムウェアによるファイルの暗号化や改ざんの試みは失敗に終わります。
- 迅速な復旧を実現しますたとえランサムウェアによって主要なデータが暗号化されてしまっても、不変ストレージを活用すれば、ファイルの正常なコピーを復元することができます。元のデータはそのまま残っているため、データを簡単に暗号化前の状態に復元することができます。
- 不正操作アラート. 不変型ストレージシステムは、データへの不正な改ざん試行が検出された際にアラートを発信することができ、ランサムウェア攻撃の脅威に対して迅速に対応することが可能になります。
データの暗号化
データの暗号化 は、ランサムウェア攻撃による悪影響を軽減するのに役立ちます。ただし、暗号化だけではランサムウェア攻撃から完全に防御できるわけではありません。ランサムウェアは、ファイルが暗号化されているかどうかにかかわらず、アクセスしたファイルを暗号化または破壊する可能性があります。しかし、暗号化を行うことで、データの機密性が確保され、ランサムウェア攻撃者を含む権限のない第三者がデータを解読できなくなります。
たとえランサムウェアがシステムに侵入したとしても、暗号化された機密データにアクセスするために必要な権限や暗号化キーを持っていない可能性があります。 つまり、ランサムウェアは暗号化されたデータを解読できないということです。その結果、ランサムウェア攻撃者は盗んだデータをインターネットにアップロードして被害者を脅迫することができなくなります。これは、罰則を回避するというコンプライアンスの観点からも利点となります。
ネットワーク経由の送信中やクラウドサービスへの保存時など、転送中のデータを暗号化することで、傍受されたデータがサイバー犯罪者にとって無価値なものになります。 VPN(仮想プライベートネットワーク)やSSL(Secure Sockets Layer)接続などの暗号化された通信チャネルは、転送中のデータを傍受しようとするランサムウェアから保護します。
暗号化の効果を高めるには、適切な鍵管理が不可欠です。ランサムウェアがデータと鍵の両方にアクセスできないように、暗号化鍵は保護対象のデータとは別々に、安全に保管してください。
データバックアップへのアクセス権限を設定する
バックアップデータのアクセス権を設定することで、ランサムウェアによるバックアップコピーの侵害や破壊を防ぐことができます。適切に設定されたアクセス権により、許可されたユーザーやシステムのみがバックアップデータにアクセスできるようになります。
バックアップデータへのアクセスを制限することで、ランサムウェアの攻撃対象領域を縮小できます。ランサムウェアがネットワークに侵入した場合、ネットワーク内の複数のシステムを標的とする可能性があります。アクセス権が制限されたシステムにランサムウェアが感染しても、バックアップ先への拡散やバックアップデータの侵害は困難になります。
権限の設定は、最小権限の原則および職務分掌の原則に沿ったものです。これにより、単一のユーザーやシステムがバックアップデータに対して過度な制御権を持つことを防ぎ、内部脅威のリスクを低減します。
権限設定により、バックアップデータへのアクセス監査と監視が可能になります。ランサムウェアがバックアップを侵害しようとした場合、監査機能によってアラートが生成され、調査のための不正アクセス試行の記録が提供されます。監視およびアラートシステムを通じて、バックアップデータへの不正アクセスや改ざんを迅速に検出できます。これにより、潜在的なランサムウェア攻撃に対して迅速に対応し、データ損失を最小限に抑えることが可能になります。
その他の推奨事項
ランサムウェア対策のバックアップ戦略を改善するための、いくつかの追加の推奨事項をご紹介します:
- 定期的にデータのバックアップを取ってください組織のニーズに合わせた定期的なバックアップスケジュールを設定してください。毎日や毎時間といった頻度の高いバックアップは、RPOを短縮することで、攻撃を受けた際のデータ損失を最小限に抑えるのに役立ちます。
- バックアップの自動化. プロセスを自動化するバックアップソリューションを活用し、人為的なミスのリスクを低減し、データの保存漏れを防ぐようにしましょう。
- バージョン管理されたバックアップを使用する. ファイルの過去のバージョンにアクセスして復元できる、バージョン管理機能や柔軟な保存期間設定を備えたバックアップソリューションを選択してください。これは、ランサムウェアがしばらくの間検出されなかった場合に、特定の時点への復元を行う際に役立ちます。
- 環境を監視する. 実装 監視システム システム上で異常や不審な動きがないか検知するためです。不正なアクセス試行、バックアップ設定の変更、あるいは単に通常とは異なるリソース消費などに対して、アラートを設定してください。
- 安全なバックアップサーバーバックアップサーバー自体に対しても、定期的なセキュリティ更新や強固なパスワードポリシーなど、セキュリティ上のベストプラクティスを適用してください。リモート攻撃のリスクを低減するため、バックアップサーバーへのインターネットからのアクセスを最小限に抑えてください。ランサムウェアに悪用される可能性のある脆弱性に対処するため、バックアップソフトウェアやシステムを定期的に更新してください。
- 信頼できるバックアッププロバイダーを選びましょうクラウド型バックアップサービスを利用する場合は、データの保護実績があり、信頼性が高く、セキュリティ意識の高いプロバイダーを選びましょう。
- 労働者を教育する. 従業員やユーザーに対し、ランサムウェア攻撃につながる可能性のあるフィッシングやその他のソーシャルエンジニアリングの手口を見抜けるよう教育を行う。災害復旧計画の策定やテストを通じて、従業員はランサムウェアに関連するリスクに対する認識を深める。こうした意識の高まりは、サイバーセキュリティ対策の徹底やインシデント報告体制の改善につながる。
NAKIVOのランサムウェア耐性のあるバックアップ機能の活用
NAKIVO Backup & Replication は、データを効果的にバックアップし、ランサムウェアから保護できる、高速で信頼性が高く、手頃な価格のデータ保護ソリューションです。以下に、データを保護し、ランサムウェア被害後の復旧を可能にする主な機能をご紹介します。 NAKIVO Backup & Replication:
- 変更不可能なバックアップ. バックアップは、ローカルストレージ、NAS、パブリッククラウドプラットフォーム上で不変化することができます(Amazon S3, Azure Blob Storage(Wasabi、BackBlaze B2など)やプライベートクラウドなど。バックアップの不変期間を設定すると、その期間が終了するまでバックアップデータを編集または削除することはできません。この機能により、ランサムウェアによるバックアップデータの改ざんを防ぐことができます。
- テープへのバックアップ. テープカートリッジは、エアギャップ方式のバックアップ記憶媒体の一種です。記録後に テープへのバックアップ テープカートリッジを取り出せば、このカートリッジに記録されたデータはランサムウェアからアクセスされることはありません。
- 柔軟な保持設定ランサムウェア攻撃がいつ発生するかは予測できません。異なる日付のバックアップを用意しておけば、ランサムウェアによってデータが破損する前の状態に戻すことができます。増分バックアップや頻繁な復元ポイントの設定により、ランサムウェア攻撃が発生する直前の実際の状態に近いデータをより多く復元することが可能になります。
- データの暗号化. データ暗号化は バックアップリポジトリ また、ネットワーク経由での転送時にはセキュリティレベルが向上し、転送中のデータが傍受されるのを防ぎます。暗号化されたバックアップリポジトリを使用することで、ランサムウェア攻撃者がこのリポジトリからデータを復号化し、危険な恐喝目的でインターネット上にアップロードすることを防ぐことができます。
- バックアップコピー. "3-2-1"のバックアップルールに従い、バックアップコピージョブを使用して、バックアップデータを他のストレージメディアやオフサイトへコピーしてください。ジョブチェーン機能は、バックアップジョブが完了すると自動的にバックアップコピーの作成を開始できる、バックアップコピーにおける便利な機能です。
- マルウェアのバックアップスキャン. 復旧プロセス中にバックアップをスキャンすることで、ユーザーが感染したファイルをシステムに復元することを防ぎ、本番環境でのウイルス拡散を未然に防ぐことができます。
- サイト復旧. による災害復旧 サイト復旧 この機能は高速かつ効果的です。Site Recovery を使用すれば、災害復旧シナリオのテストを行うことができます。また、バックアップリポジトリの接続・切断が可能であり、接続を解除したリポジトリはランサムウェアの攻撃を受けにくくなります。
