Archiware P5でランサムウェアから守る

はじめに

ランサムウェアは随所で見かけます。コンピュータのストレージ上のデータを暗号化して読み取れないようにし、身代金を支払って復号/復元することで、大きな混乱を引き起こします。
この犯罪行為は非常に一般的で、小さな組織にも大きな組織にも甚大な被害をもたらし、被害者は被害を元に戻すために数百万ドル(通常はビットコイン)を支払います。
多くの場合、重要なデータは永久に失われます。犯罪組織は利益を得ており、この活動は増加傾向にあります。

この記事のメインである、バックアップをしっかりとってランサムウェア感染から身を守る方法の前に、マルウェア感染を未然に防ぐために取るべき行動のチェックリストを紹介します。

  • マルウェア/ウイルス対策製品を使用し、常に最新の状態に保つ
  • 複雑なキーワードやパスワード管理ソフトウェアを使用する
  • 不審なメールの添付ファイルやリンクを開かない
  • 信頼できないソースからのソフトウェアのダウンロードを避ける
  • OS、ブラウザ、プラグイン、アプリを定期的にアップデートする
  • ポップアップを積極的に使用し、コンテンツを受け入れるためにクリックを強要するウェブサイトからは離れる
  • コンピュータの管理者アカウント以外を使用する
  • OSのツールを使ってマシンを保護する(ファイアウォール、セーフティスキャナーなど)

この記事の残りの部分では、可能な限り攻撃を受けないようにデータのバックアップとアーカイブを作成する方法を説明します。
攻撃を回避する戦略と、ランサムウェアに対抗するバックアップ戦略を組み合わせることが、最善の策だと私たちは考えています。

重要な"3-2-1ルール"

まず最初に、よく知られている3-2-1バックアップ・テクニックを再度説明しましょう。3-2-1バックアップルールは、災害時にデータを確実に保護するための業界標準のアプローチです。
このルールでは、重要なデータのコピーを少なくとも3つ、2つの異なるストレージに保存し、少なくとも1つのバックアップは通常の本番環境の外に保存することを推奨しています。
シンプルなルールなので、現在のバックアップ戦略を拡張する必要がある場合は、それを優先してください。

”到達不可能”なバックアップ

ランサムウェアはファイルを見つけて暗号化します。コンピュータが感染した場合、ローカルのファイルシステムは「到達可能」なため、この暗号化は成功する可能性が高いです。
ディスク上のファイルを読み書きすることができるため、コンピュータ上で実行されているランサムウェアも同様です。内蔵ドライブだけでなく、接続されたUSBドライブやネットワークドライブも同様です。
ランサムウェアが「到達可能」なストレージにバックアップを取れば、バックアップも暗号化されます。
バックアップが個々のファイルやフォルダを別の場所にコピーしたものであっても、「コンテナ」を書き込むバックアップ・ソフトウェアを使用したものであっても、どちらのバックアップも攻撃される可能性があります。

コンテナとは、バックアップソフトが複数のソースファイルを1つの大きなコンテナファイルに格納するために書き込むファイルのことです。
個々のファイルを個別にコピーするのではなく、バックアップソフトが独自のコンテナファイルを作成し、その中にファイルを格納します。
これらのバックアップコンテナは、独自の内部構造を持っていることが多く、サイズが大きい場合があります。それでもランサムウェアによって暗号化される可能性はあり、保護はされません。

バックアップがランサムウェアから安全に保護されるためには、バックアップが「到達不可能」でなければなりません。

ストレージへの攻撃手段(ランサムウェアがどのように被害をもたらすか)

コンピュータがランサムウェアに感染すると、悪意のあるソフトウェアは利用可能なファイルにアクセスし、オリジナルを暗号化されたバージョンに置き換えて読めなくしようとします。
これは重要なことで、悪意のあるソフトウェアは単にデータを削除するだけでは不十分で、ファイルを読み取り、新しいファイルを書き込んで暗号化し、オリジナルを削除できなければなりません。

マルウェアは、所有者にとって最も価値があると思われるファイルに優先順位をつけ、最大限の被害を与え、身代金が支払われる可能性を高めます。
オペレーティングシステムを構成するファイルは無視される可能性が高く、ドキュメントやメディアファイル(写真/ビデオ)がターゲットになります。
ランサムウェアは、コンピュータに接続されているすべてのディスクに対してこの暗号化を実行することができます。
これらのディスクは、物理的に接続されている場合もあれば(内蔵、またはUSBやその他の接続を介して)、ネットワークを使用して外部に「マウント」されている場合もあります。
いずれの場合も、ランサムウェアはファイルを暗号化するため、これらすべてのディスクに損害を与える可能性があります。
また、マルウェアはネットワークを通じて伝播し、他のコンピュータやそれらに接続されたディスクを攻撃します。

マルウェアが書き込み可能なファイルシステムはすべて、攻撃のリスクにさらされています。
したがって、ファイル/フォルダをファイルシステムにコピーして作成したバックアップやアーカイブは安全ではありません。

ランサムウェアに感染しない(到達できない)ストレージの選択肢

マルウェアに到達できない2種類のストレージを見てみましょう。

LTOテープ - テープドライブやライブラリ/ジュークボックスとテープの組み合わせにより、Archiware P5 BackupやP5 Archiveなど、この種のハードウェアに対応するよう特別に設計されたソフトウェアでデータを書き込むことができます。
テープの大きな特徴は、保存されたファイルは上書きできないということです。テープはその性質上、アペンド(テープの最後にデータを追加すること)か、完全に消去して最初から書き直すことしかできません。
この動作は物理的な設計に組み込まれており、回避することはできません。したがって、マルウェアがテープ上のデータを暗号化することはできないのです:

  • 元のファイル・バージョンを暗号化バージョンに置き換えてテープから削除することはできない。
  • テープ全体が消去された場合、身代金を要求することはできず、データは単に失われる。

テープのこの基本的に便利な機能に加えて、次のことも付け加えておきます:

  • ドライブやライブラリから取り外されたテープは、どのような形であれ、一切変更できない。テープは棚や安全な場所で「物理的に保管」される
  • テープ・ハードウェアを使用するには、オペレーティング・システムによって特別なドライバが必要であり、(ほとんどのディスク・デバイスのように)デフォルトでは含まれていない。
    ハードディスクやSSDにアクセスするための標準的なソフトウェア・ドライバとは異なり、テープやテープ・ドライブにアクセスするにはさまざまな方法がある
  • P5 Backupを含むバックアップ・ソフトウェアは、ランサムウェアに理解されない独自のフォーマットでテープを書き込むことが多い

クラウドストレージ - このカテゴリのストレージは、データセンターにホストされたサーバーと、それに接続されたディスクストレージで構成され、レンタルすることができます。
Google、Amazon、BackBlaze、Microsoftなどのベンダーはすべて、「オブジェクトストレージ」と呼ばれることもあるこのようなストレージを「使用した分だけ支払う」方式で提供しています。
このようなストレージは、本質的にオフサイトであり(上記3-2-1を参照)、バックアップを開始するための初期投資が不要であるため、バックアップのための一般的な選択肢となっています。

顧客のコンピューター上で実行されているランサムウェアがこのクラウドストレージにアクセスするためには、様々なアクセス認証情報が必要となります。
バックアップ・ソフトウェアは通常、これらの認証情報を内部に保存します。そのため、クラウド・ストレージはローカル・ディスク・ストレージのように攻撃を受ける可能性はありません。

多くのクラウドベンダーは、保存データに対して「不変性」を設けています。一度書き込まれたデータは、変更も削除もできません。

ランサムウェア攻撃からの復旧

バックアップが定期的に取得され、テープやクラウドに保存されているため、ランサムウェアに到達できない場合は、影響を受けたコンピュータにデータを復元できる状態にあります。

危険にさらされたマシンは、暗号化されたデータを含む起動可能なオペレーティング・システムを持っているかもしれませんが、OSからランサムウェアをうまく削除できたとは考えないでください。
バックアップからデータを復元する前に、OSを再インストールするか、既知のクリーンなOSイメージから復元してください。コンピュータからランサムウェアを削除できたかどうかを100%確認する方法はありません。
唯一の安全な方法は、OSとアプリケーション・スタックを安全であることが分かっているソースから再インストールすることです。

結論

ランサムウェアに感染しないよう、賢明な予防策を講じてください。組織内では、すべてのサーバーとワークステーションを対象としましょう。バックアップを冗長化するために、3-2-1テクニックを採用します。
バックアップの1つは、感染したマシン上で実行されているランサムウェアが事実上到達できないストレージ上に存在するようにします。
こうすることで、不幸にも感染してしまった場合でも、少なくとも1つのバックアップは復旧することができます。

最後に、感染したマシンを効果的に「クリーニング」できるとは考えません。最悪の事態を想定し、信頼できるソースからOSを再構築してください。

https://blog.archiware.com/blog/protect-against-ransomware-with-archiware-p5/