2017年4月7日
ランサムウェア対策にはバックアップが効果的です。
セキュリティ対策ソフトではなく、バックアップが有効とされる理由をランサムウェアの基本的な知識を交えながら解説します。
[目次]
・ランサムウェアとは?
・ランサムウェアの歴史
・セキュリティ対策ソフトはランサムウェア対策に成り得るか?
・ランサムウェア対策としてやってはいけないバックアップ
・ランサムウェアに効果的なバックアップの方法とは?
・ランサムウェア対策には複合的なセキュリティ施策が必要
ランサムウェアはマルウェア(ウィルス)の一種です。
ランサムウェアは感染したパソコン内のファイルの他、USBメモリ、外付けハードディスク、NAS、サーバー、他PCの共有フォルダ内のファイルを暗号化し使用不能にします。
ファイルを元に戻すことを引き換えに金銭=身代金を要求します。
犯人が要求する身代金額はランサムウェアによって数千円~数億円と大きな差があります。
また、身代金の支払いはビットコインなど電子マネーを使用しており犯人を特定することは困難です。
ランサムウェアの犯人に身代金を支払ったとしても、応答がない、正常に復旧しない、身代金の追加要求が発生することがあります。
ランサムウェアの種類によっては感染したパソコンから情報を不正に抜き取るものがあります。
犯人は取得した情報を元にパソコンがどのような場所で使われているかを特定します。
大手企業、医療機関、公共機関などランサムウェアの被害による影響が大きなターゲットに対して、身代金の吊り上げや追加請求が発生しています。
2012年に発見された『RANSOMLOCK』が世界で最初のランサムウェアと言われており、現在に至るまで数百種程見つかっています。
日本国内では当初から被害報告があったものの、被害者はごく一部に限られており『ランサムウェア』という存在は一般には知られていませんでした。
2015年12月初旬、『TeslaCrypt 2.0』による被害報告がSNSで拡散し、拡張子を『.vvv』に変更することから『VVVウィルス』としてマスコミでも取り上げられました。
『TeslaCrypt 2.0』は日本においてランサムウェアが新たなる脅威として認識されたきっかけとなったマルウェアでした。
国内でランサムウェアによる被害が本格化したのは『Locky』でした。
『Locky』は日本を含む世界各国をターゲットにしており、史上初の日本語対応したランサムウェアとなりました。
『Locky』への感染数は一時ウィルス全体の半数を占め、ランサムウェアは企業において情報漏洩対策と共に優先して対策すべき脅威となりました。
ランサムウェア対策として真っ先に思い浮かべるのはセキュリティ対策ソフトやファイアウォール(UTM)といった情報セキュリティ商品でしょう。
情報セキュリティ商品はランサムウェア対策としてどの程度の効果があるのでしょうか。
弊社では2016年に国内で販売されている主要5社のセキュリティ対策ソフトに対しランサムウェアへをどの程度検知できるかテストしました。
最も検知したセキュリティ対策ソフトでも約30%と厳しい結果になりました。
セキュリティ対策ソフトがランサムウェアを発見し、対策を立て、ソフトを更新するまでに平均2週間程度かかると言われています。
その為、新たなランサムウェアがリリースされた場合、セキュリティ対策ソフトが効かない期間が発生します。
ランサムウェアによっては活動期にマイナーチェンジを含め毎週アップデートしていたものもあります。
セキュリティ対策ソフトはメーカーの対策更新が間に合わず、更新した頃には既にランサムウェアのアップデート済といったことも多々あります。
ランサムウェアの制作者はセキュリティ対策ソフトを研究しており、より検知の難しい種を作ろうと日々品種改良を続けています。
ランサムウェアとセキュリティ対策ソフトは常にいたちごっこの状態にあり、ランサムウェアへの完璧な感染予防は実現していません。
上記のことからランサムウェア対策をする上で次の2点が重要なポイントとなります。
・セキュリティ対策ソフトではランサムウェアを防ぎきれない
・感染してもデータを保護できる仕組みを構築する
PCが感染するとUSBメモリや外付けハードディスク内のデータも暗号化されます。
感染時に取り外していた場合は安全ですが、ランサムウェアに感染しているパソコンに接続すると暗号化されてしまいます。
PCが感染するとNASや共有フォルダ内のバックアップも暗号化されます。
メイン機内の暗号化されたデータがそのままバックアップされてしまいます。
バックアップ実施日までにランサムウェアの感染に気付けば防ぐことができます。
スナップショットとはデータに変更が生じた際、変更後のデータと共に変更前のデータを残す機能です。
万が一ランサムウェアの被害に遭っても暗号化前のデータが自動で保存されるので復旧が容易になります。
機器によっては変更前のデータを履歴として複数残すことができます。
ランサムウェア対策だけにバックアップを構築するなら同一ネットワーク内にスナップショット機能を持つNASなどの機器を置くことで被害を防ぐことができます。
しかし、バックアップ本来の目的でもあるデータ保護も踏まえて構築するならサブ機を置いて多重化するのが最も理想的です。
2017年4月現在、スナップショットを用いたバックアップでランサムウェアからデータを保護することができます。
しかし、データのダウンタイムを生じさせない為にスタッフ教育などでセキュリティに対する知識の育成、セキュリティ対策ソフト、ファイアウォール(UTM)といった防御手段と共に適切なバックアップを運用するべきです。
また、ランサムウェアは日々進化しており、攻撃形態の変化をセキュリティ環境にフィードバックする必要があります。
さくらパソコンサービスではセキュリティ環境構築・更新から障害復旧までをパッケージにした統合型ITサービス『さくらアシスタンス』を提供しております。
ランサムウェア対策についてご不明な点がございましたらお気軽にご相談ください。
コメント