ランサムウェア対策にバックアップが効果的な理由

2017年4月7日

ランサムウェア対策にはバックアップが効果的です。

セキュリティ対策ソフトではなく、バックアップが有効とされる理由をランサムウェアの基本的な知識を交えながら解説します。

[目次]
ランサムウェアとは?
ランサムウェアの歴史
セキュリティ対策ソフトはランサムウェア対策に成り得るか?
ランサムウェア対策としてやってはいけないバックアップ
ランサムウェアに効果的なバックアップの方法とは?
ランサムウェア対策には複合的なセキュリティ施策が必要

ランサムウェアとは?

ランサムウェアはファイルを暗号化し使用不能にする

ランサムウェアはマルウェア(ウィルス)の一種です。

ランサムウェアは感染したパソコン内のファイルの他、USBメモリ、外付けハードディスク、NAS、サーバー、他PCの共有フォルダ内のファイルを暗号化し使用不能にします。

ランサムウェアとは

ファイルを人質に身代金を要求

ファイルを元に戻すことを引き換えに金銭=身代金を要求します。

犯人が要求する身代金額はランサムウェアによって数千円~数億円と大きな差があります。

また、身代金の支払いはビットコインなど電子マネーを使用しており犯人を特定することは困難です。

ランサムウェアはファイルの復号と引き換えに身代金を要求

身代金を支払っても暗号化されたファイルは戻らないことがある

ランサムウェアの犯人に身代金を支払ったとしても、応答がない、正常に復旧しない、身代金の追加要求が発生することがあります。

被害者によって身代金額を吊り上げることも

ランサムウェアの種類によっては感染したパソコンから情報を不正に抜き取るものがあります。

犯人は取得した情報を元にパソコンがどのような場所で使われているかを特定します。

大手企業、医療機関、公共機関などランサムウェアの被害による影響が大きなターゲットに対して、身代金の吊り上げや追加請求が発生しています。

ランサムウェアの歴史

ランサムウェアは2012年に誕生

2012年に発見された『RANSOMLOCK』が世界で最初のランサムウェアと言われており、現在に至るまで数百種程見つかっています。

ランサムウェアの歴史

日本国内では当初から被害報告があったものの、被害者はごく一部に限られており『ランサムウェア』という存在は一般には知られていませんでした。

日本でランサムウェアへの感染が拡大したのは2015年から

2015年12月初旬、『TeslaCrypt 2.0』による被害報告がSNSで拡散し、拡張子を『.vvv』に変更することから『VVVウィルス』としてマスコミでも取り上げられました。

『TeslaCrypt 2.0』は日本においてランサムウェアが新たなる脅威として認識されたきっかけとなったマルウェアでした。

初の日本語対応ランサムウェア『Locky』の登場

国内でランサムウェアによる被害が本格化したのは『Locky』でした。

『Locky』は日本を含む世界各国をターゲットにしており、史上初の日本語対応したランサムウェアとなりました。

日本語化されたランサムウェアLocky

『Locky』への感染数は一時ウィルス全体の半数を占め、ランサムウェアは企業において情報漏洩対策と共に優先して対策すべき脅威となりました。

セキュリティ対策ソフトはランサムウェア対策に成り得るか?

ランサムウェア対策として真っ先に思い浮かべるのはセキュリティ対策ソフトやファイアウォール(UTM)といった情報セキュリティ商品でしょう。

情報セキュリティ商品はランサムウェア対策としてどの程度の効果があるのでしょうか。

セキュリティ対策ソフトのランサムウェア検知率

弊社では2016年に国内で販売されている主要5社のセキュリティ対策ソフトに対しランサムウェアへをどの程度検知できるかテストしました。

セキュリティ対策ソフトごとのランサムウェア検知率

最も検知したセキュリティ対策ソフトでも約30%と厳しい結果になりました。

なぜランサムウェアを検知できないのか?

セキュリティ対策ソフトがランサムウェアを発見し、対策を立て、ソフトを更新するまでに平均2週間程度かかると言われています。

その為、新たなランサムウェアがリリースされた場合、セキュリティ対策ソフトが効かない期間が発生します。

ウィルス対策ソフトの空白期間

ランサムウェアによっては活動期にマイナーチェンジを含め毎週アップデートしていたものもあります。

セキュリティ対策ソフトはメーカーの対策更新が間に合わず、更新した頃には既にランサムウェアのアップデート済といったことも多々あります。

犯人はセキュリティ対策ソフトを研究している

ランサムウェアの制作者はセキュリティ対策ソフトを研究しており、より検知の難しい種を作ろうと日々品種改良を続けています。

ランサムウェアとセキュリティ対策ソフトは常にいたちごっこの状態にあり、ランサムウェアへの完璧な感染予防は実現していません。

ランサムウェア対策をする上で重要なポイント

上記のことからランサムウェア対策をする上で次の2点が重要なポイントとなります。

・セキュリティ対策ソフトではランサムウェアを防ぎきれない

・感染してもデータを保護できる仕組みを構築する

ランサムウェア対策としてやってはいけないバックアップ

 

USBメモリ、外付けハードディスクへのバックアップ

USBメモリ、外付けハードディスクへのバックアップ

PCが感染するとUSBメモリや外付けハードディスク内のデータも暗号化されます。

感染時に取り外していた場合は安全ですが、ランサムウェアに感染しているパソコンに接続すると暗号化されてしまいます。

同一ネットワーク上のNASやサーバーなどの共有フォルダへのバックアップ

NAS、サーバーへのバックアップ

PCが感染するとNASや共有フォルダ内のバックアップも暗号化されます。

バックアップしたものを定期的に別のNASへバックアップ

NAS、サーバーのバックアップ

メイン機内の暗号化されたデータがそのままバックアップされてしまいます。

バックアップ実施日までにランサムウェアの感染に気付けば防ぐことができます。

ランサムウェアに効果的なバックアップの方法とは?

ランサムウェア対策にはスナップショット機能を活用

スナップショットとはデータに変更が生じた際、変更後のデータと共に変更前のデータを残す機能です。

万が一ランサムウェアの被害に遭っても暗号化前のデータが自動で保存されるので復旧が容易になります。

バックアップのスナプショットとは

機器によっては変更前のデータを履歴として複数残すことができます。

ランサムウェア対策として効果的なバックアップ方法

ランサムウェア対策だけにバックアップを構築するなら同一ネットワーク内にスナップショット機能を持つNASなどの機器を置くことで被害を防ぐことができます。

スナップショットを設定したNAS、サーバーへのバックアップ

しかし、バックアップ本来の目的でもあるデータ保護も踏まえて構築するならサブ機を置いて多重化するのが最も理想的です。

スナップショットの多重化

ランサムウェア対策には複合的なセキュリティ施策が必要

2017年4月現在、スナップショットを用いたバックアップでランサムウェアからデータを保護することができます。

しかし、データのダウンタイムを生じさせない為にスタッフ教育などでセキュリティに対する知識の育成、セキュリティ対策ソフト、ファイアウォール(UTM)といった防御手段と共に適切なバックアップを運用するべきです。

また、ランサムウェアは日々進化しており、攻撃形態の変化をセキュリティ環境にフィードバックする必要があります。

さくらパソコンサービスではセキュリティ環境構築・更新から障害復旧までをパッケージにした統合型ITサービス『さくらアシスタンス』を提供しております。

ランサムウェア対策についてご不明な点がございましたらお気軽にご相談ください。

コメント